一种提高组播安全性的方法
【技术领域】
本发明涉及计算机数据通信领域,特别涉及一种提高组播安全性的方法。
【背景技术】
组播传输是在发送者和每一接收者之间实现点对多点网络连接,如果一台发送者同时给多个接收者传输相同的数据,也只需复制一份的相同数据包。它提高了数据传送效率,减少了骨干网络出现拥塞的可能性。
请参阅图1,当一台AP1(AP全称:Access Point,中文名称为无线接入点)想要加入某个组播组时,它将发出GMRP加入消息(GMRP全称:Multicast Registration Protocol,是基于GARP的一个组播注册协议,用于维护交换机中的动态组播注册信息),接入控制器AC(AC全称:AccessControl,用来连接、汇聚和管理AP)将接到所述GMRP加入消息的端口1加入到该组播组中,并在VLAN(VLAN即虚拟局域网)中广播该GMRP加入消息,VLAN中的组播服务器就可以知晓组播成员的存在。当组播服务器向组播组发送组播报文时,接入控制器AC就只把组播报文转发给与该组播成员相连的端口1,从而实现了在二层内的组播,所述二层内的组播是指在同一个VLAN内的组播,即将组播报文发送给同一VLAN内的所有成员口。而图1中的另一台无线AP2虽然与所述接入控制器AC上的端口2实现物理连接,但未加入所述组播组,即组播服务器并未开通端口2,则无线AP2收不到组播服务器发出的消息。
组播技术实现了点对多网络连接,如果一台发送者同时给多个的接收者传输相同的数据,也只需复制一份相同数据包;它提高了数据传送效率,减少了骨干网络出现拥塞的可能性。但是,组播技术在给人们提供方便快捷服务的同时,也给人们留下了一道难题——组播安全;非法接入者可以通过冒充组播成员非法获取组播信息,导致信息泄露,损失巨大。
针对当前严峻的组播安全问题,目前主要的解决方案,常用的有以下几种:
1、提供认证中心,对组播成员进行认证;认证中心通过加入组播成员的身份信息来识别非法接入者;
2、提供组播源数据库;通过将组播源的信息录入组播源数据库来识别非法的接入者;
3、通过授权密钥形式,通过给组播成员授权密钥的形式,防止非法接入者获取组播信息;
4、通过组播报文认证形式,通过组播报文对组播成员进行验证,防止非法接入者;
5、通过设置信任端口的形式,通过这种方式,组播服务器只接受或往信任端口发送数据或接受数据,来避免非法接入者的接入。
虽然上述解决方案在一定程度上提供了组播的安全性,但在实际应用中并不完善;如果采用非法接入信任端口的方式,是在等合法的组播成员认证结束,直接使用该合法组播成员的信息,上述解决方案将无法识别,更无法识别被非法接入的位置信息。非法接入信任端口的案例,请参阅图2,现有组播技术是通过将申请加入组播组的连接成员的所在端口加入组播组的方法来实现对AP的组播,即只有将接入控制器AC的端口加入到组播组,成为组播组的成员口,该端口才能获得组播流,但非法接入者可以通过接入信任端口的方式,冒充合法的组播成员,以达到盗取组播信息的目的;因此,目前的组播安全性方案无法解决该问题。图1和图2中STA的意思为站,即station的简称;在WLAN中,WLAN主要由站STA、接入点AP和接入控制器AC等组成;站STA在WLAN中一般为客户端,可以是装有无线网卡的计算机,也可以是有WiFi模块的智能手机。
公开号为1571335,公开日为2005-01-26的发明专利《一种应用于组播通信系统中的源认证方法》,其技术方案是:对每一个参与组播通信的成员提供一个身份凭证,用来在组播客户和认证中心职期间进行双向认证,确定通信双方传输密钥和客户公私匙;在组播信息传输时,采用基于事件序列的源认证方案对传输的信息进行签名认证,保证组播信息的发送者即为其声明的发送者。但该技术方案在提供一个身份凭证时,可能将一个身份凭证提供给非法接入者,即在提供身份凭证前无法识别非法接入,无法防止非法接入者截取身份凭证信息。
公开号为1960321,公开日为2007-05-09的发明专利《一种实现组播安全的控制方法》,其技术方案是:根据策略允许或禁止组播源或者加入用户数据流的方法;其步骤包括:步骤一,在支持组播转发的设备上,创建由数据流信息构成的组播源数据库;步骤二,对于新的组播源数据流,在创建组播源数据库的数据流信息中进行查询,合法,则正常处理;否则,被丢弃。该技术方案是通过将组播源加入组播源数据库的方式来提高组播安全性;但无法识别非法的组播源;即无法防止非法接入者冒充已加入数据库的组播源。
公开号为101345677,公开日为2009-01-14的发明专利《一种增强广播或组播系统安全性的方法》,其技术方案是:步骤一,终端向基站机型注册,每个终端到提供服务的基站处进行物理认证和注册,并从基站处得到一个授权密钥;步骤二:基站进行广播/组播过程,基站构造广播/组播信息密文,基站想终端发送广播/组播信息密文,终端通过授权密钥解密广播/组播信息密文获取广播/组播信息明文。该技术方案无法防止非法接入者终端向基站的注册过程获取授权密钥。
公开号为101588361,公开日为2009-11-25的发明专利《一种增强组播安全性的方法》,其技术方案是:步骤一,对组播管理服务器、边缘路由器和汇聚服务器进行初始化设置;步骤二,组播用户通过边缘路由器向组播管理服务器发送申请加入组播组的报文;步骤三,组播管理服务器对组播用户进行验证,并向组播用户接入的边缘路由器发送组播用户验证成功报文;步骤四,建立组播用户到汇聚服务器的端到端虚电路,并且对这条虚电路进行预留资源;步骤五,隐藏IP地址,使用虚电路标识发送组播数据,组播数据由汇聚服务器集中转发;步骤六,定时查看组播用户是否存在,如果存在,继续维护虚电路状态,否则撤销虚电路;步骤七,组播用户想组播管理服务器发送组成员离开报文,撤销虚电路,释放虚电路上预留的资源。但该技术方案无法防止非法接入者获取组播报文,从而冒充合法的组播用户获得组播信息。
公开号为102546670A,公开日为2012-07-04的发明专利《安全的组播侦听者发现协议窥探方法和装置》,其技术方案是:步骤一,通过设置信任端口,只有从信任端口收到的MLD普遍组查询报文才被转发;步骤二:启用重复地址检查监听并获取主机地址信息,如果收到的MLD成员关系报文,其源主机地址信息不在主机地址信息表中,则将报文丢弃;步骤三,预设每个IP地址可请求组播组的最大个数,超过最大请求个数的报文将被丢弃。但该技术方案无法识别非法接入者非法接入信任端口,无法防止非法接入者伪造相关信息。
【发明内容】
本发明是针对当前组播安全性存在的以下问题提出的一种提高组播安全性的方法,问题一、组播组的组播成员的加入,容易被非法加入,需要及时识别;问题二、合法的组播成员可能被假冒和盗用,导致组播信息的泄露;问题三、通过设置信任端口的方式也有可能被非法加入,并非一劳永逸。
本发明是这样实现的:
一种提高组播安全性的方法,统计接入控制器AC中各组播组发送的组播报文数,统计各个成为组播成员的AP接收到的组播报文数,各所述AP将自身统计的组播报文数发送给所述接入控制器AC,所述接入控制器AC将自身对各组播组统计的组播报文数与各组播组内的AP发送的组播报文数进行比较,求差值,若该差值超过了丢包值范围,则表明存在非法的接入AP。
进一步地,各所述AP向所述接入控制器AC发送组播报文数的时间间隔周期能根据需要进行设置。
进一步地,每所述组播组由至少一个接入控制器AC端口组成。
进一步地,统计接入控制器AC中各组播组的组播报文数是通过设置于接入控制器AC内的组播报文统计器进行统计。
进一步地,统计所述AP的组播报文数是通过设置于AP内的组播报文统计器进行统计。
本发明具有如下优点:本发明可以及时发现存在的非法接入者,并可以做到准确定位事发位置,具体如下:
1、准确性高:比较接入控制器AC上对各组播组统计的组播报文数和AP上统计的组播报文数,将差值与合理的丢包值进行比较来判断,从而确定是否存在非法接入者,准确性比较高;
2、定位精准:当判定为存在非法接入者时,可以根据AP准确定位到AP所连接的具体端口,即被非法接入的端口;
3、及时性:通过每隔一段时间组播成员的AP向接入控制器AC发送接收到的报文数,可以及时发现存在的非法接入者;
4、简单、经济:通过设置报文统计与差值比较,即可及时发现非法接入者并准确定位事发端口,与之前设置认证中心、授权密钥和组播源数据库等解决方案相比,本发明更加简单、经济。
【附图说明】
下面参照附图结合实施例对本发明作进一步的说明。
图1为现有组播技术的结构示意图。
图2为现有组播技术中非法AP接入的示意图。
图3为本发明的结构示意图。
【具体实施方式】
请参阅图3,对本发明具体实施例进行详细说明,本发明中,所述AP为无线接入点。
一种提高组播安全性的方法,统计接入控制器AC中各组播组发送的组播报文数,统计各个成为组播成员的AP接收到的组播报文数,各所述AP将自身统计的组播报文数发送给所述接入控制器AC,所述接入控制器AC将自身对各组播组统计的组播报文数与各组播组内的AP发送的组播报文数进行比较,且所述比较是相同时间段内组播报文数的比较,求差值,若该差值超过了丢包值范围,则表明存在非法的接入AP,且可以根据AP准确定位到AP所连接的具体端口,即被非法接入的端口,定位精准;当然,所述比较是取相同时间段内的组播报文数的比较,即相同的起始时间,相同的截止时间,AP收到的组播报文数与接入控制器AC记录的该AP所属的组播组发送的组播报文数进行比较。
统计接入控制器AC中各组播组的组播报文数是通过设置于接入控制器AC内的组播报文统计器进行统计。统计所述AP的组播报文数是通过设置于AP内的组播报文统计器进行统计。所述组播报文统计器为软件模块,其按时间点统计报文数,即统计结果包括发送报文的时间点和报文数,以便于后期接入控制器AC和AP在同一时间点报文数的比较,该软件模块的实现为本领域技术人员公知技术。
在本实施例中,各所述AP将自身统计的组播报文数发送给所述接入控制器AC的时间间隔周期能根据需要进行设置,例如,AP可以每周发送一次组播报文数,也可以每隔3天发送一次组播报文数,通过每隔一段时间组播成员的AP向接入控制器AC发送接收到的报文数,可以及时发现存在的非法接入者。
每所述组播组由至少一个接入控制器AC端口组成,例如,接入控制器AC有5端口,可以将接入控制器AC的端口1至端口3划分在第一组播组,将接入控制器AC的端口4至端口5分为第二组播组。
下面详细介绍一下AP加入组播组的具体过程,其为本方案的背景技术,也是现有技术:
当AP申请加入组播组时,其申请报文中包含AP的端口信息、AP的IP地址、AP的MAC地址(即物理地址)、将要加入的组播组的IP地址以及其MAC地址,所述AP的IP地址、AP的MAC地址作为源地址,将要加入的组播组的IP地址以及其MAC地址作为目的地址。
AC根据AP发送的申请加入组播组的报文判断该报文的目的地址中该MAC的组播组是否已经存在;若对应的MAC组播组不存在,则通知无线接入器AC有成员加入该MAC的组播组,并新建该MAC组播组,并将申请加入的AP所在的端口加入该MAC的组播组,同时将申请加入的AP的MAC地址和所在的端口加入加入该MAC组播组的地址表;若对应该MAC的组播组已存在,即可直接加入该MAC的组播组中。
当组播成员AP的MAC地址被冒充时,由于MAC地址是唯一的,将使该AP暂时收不到组播信息,导致该AP收到的组播报文数少于AC对该组播组成员发送的组播报文总数;通过基于MAC地址和端口对组播报文数进行统计,当接入控制器AC往某组播组发送的组播报文数和组播成员收到的组播报文数的差值超过正常的丢包时,说明该组播成员所在的端口存在非法的接入者。组播服务器发送组播信息的流程如下:首先,组播服务器向接入控制器AC提供组播信息;其次,所述接入控制器AC将需要接收该组播信息的AP所在的端口作为成员口加入到组播组中;然后,接入控制器AC通过组播组向这些组播成员口发送组播信息;最后,组播成员获得组播信息。
需要说明的是,在组播技术中,需要接入控制器AC开启指定端口的组播服务;接着,连接到该端口的AP通过发送申请加入组播组或者离开组播组的报文来实现加入组播组或者离开组播组;该报文中包含的目的地址是组播组的IP地址,即范围在224.0.0.0~239.255.255.255的D类地址,该报文的目的地址也是组播组的划分依据,是区别于其他组播组的标示;当有其他AP发送的报文的目的地址在该范围内,则该AP与上述AP在同一个组播组内。
组播报文时通过组播地址+端口的方式来发送和接收组播信息。
本发明通过设置组播报文数统计与差值比较,即可及时发现非法接入者并准确定位事发端口,与之前设置认证中心、授权密钥和组播源数据库等解决方案相比,本发明显得更加简单、经济。
虽然以上描述了本发明的具体实施方式,但是熟悉本技术领域的技术人员应当理解,我们所描述的具体的实施例只是说明性的,而不是用于对本发明的范围的限定,熟悉本领域的技术人员在依照本发明的精神所作的等效的修饰以及变化,都应当涵盖在本发明的权利要求所保护的范围内。