專利名稱:基于會(huì)話初始化協(xié)議的安全組播方法
技術(shù)領(lǐng)域:
本發(fā)明是一種在大規(guī)模網(wǎng)絡(luò)環(huán)境中進(jìn)行安全組播(MSSIP)的方法。主要用于解決大規(guī)模組播網(wǎng)絡(luò)的安全問(wèn)題,屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用的技術(shù)領(lǐng)域���。
背景技術(shù):
會(huì)話初始化協(xié)議(Session Initiation Protocol,SIP)是由IETF組織于1999年提出的一個(gè)在基于IP的網(wǎng)絡(luò)中��,特別是在Internet這樣一種結(jié)構(gòu)的網(wǎng)絡(luò)環(huán)境中,實(shí)現(xiàn)實(shí)時(shí)通信應(yīng)用的一種信令協(xié)議��。而所謂的會(huì)話����,就是指用戶之間的數(shù)據(jù)交換���。在基于SIP協(xié)議的應(yīng)用中�����,每一個(gè)會(huì)話可以是各種不同的數(shù)據(jù)�����,可以是普通的文本數(shù)據(jù)����,也可以是經(jīng)過(guò)數(shù)字化處理的音頻、視頻數(shù)據(jù)����,還可以是諸如游戲等應(yīng)用的數(shù)據(jù)���,應(yīng)用具有巨大的靈活性����。作為一個(gè)IETF提出的標(biāo)準(zhǔn),SIP協(xié)議在很大程度上借鑒了其它廣泛存在的Internet協(xié)議��,如HTTP、SMTP等���。和這些協(xié)議一樣����,SIP也采用基于文本的編碼方式��,這也是SIP協(xié)議同視頻通信領(lǐng)域其它現(xiàn)有協(xié)議相比最大的特點(diǎn)之一�����。SIP被描述為用來(lái)生成��、修改和終止一個(gè)或多個(gè)參與者之間的會(huì)話��。SIP支持會(huì)話描述��,允許參與者在一組兼容媒體類型上達(dá)成一致��,它同時(shí)通過(guò)代理和重定向請(qǐng)求到用戶當(dāng)前位置來(lái)支持用戶移動(dòng)性����。
IP組播是一種受到廣泛重視的網(wǎng)絡(luò)技術(shù),在一對(duì)多和多對(duì)多的網(wǎng)絡(luò)通信中����,組播技術(shù)可以使只在需要的時(shí)候才復(fù)制數(shù)據(jù)包�,因此可以有效節(jié)省網(wǎng)絡(luò)帶寬�。但是目前IP組播技術(shù)并沒(méi)有在Internet上得到廣泛應(yīng)用。阻礙'組播技術(shù)部署的原因是組播技術(shù)在保持簡(jiǎn)單性和開(kāi)放性的同時(shí)缺少必要的安全控制��,用戶可以隨意地加入組播組和隨意地向組播組發(fā)送信息�����,這種隨意性使得IP組播很難在商業(yè)應(yīng)用中有所作為�����。因此�,安全組播是組播技術(shù)的一個(gè)研究熱點(diǎn)。目前���,提出的大多數(shù)安全組播系統(tǒng)都是針對(duì)組播中的某個(gè)安全問(wèn)題進(jìn)行研究���,給出解決方案,不能從整體上解決提供組播服務(wù)所需的全部安全需求�����。而且,這些方案都不能適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境下的復(fù)雜網(wǎng)絡(luò)環(huán)境和擴(kuò)展性要求���。基于SIP的安全組播是第一個(gè)提出使用SIP協(xié)議實(shí)施安全組播業(yè)務(wù)的方法����,而且提出了解決組播安全的一整套方案,包括組播源訪問(wèn)控制����、組播接收者訪問(wèn)控制、組密鑰管理����、組播源鑒別以及業(yè)務(wù)統(tǒng)計(jì)與計(jì)費(fèi)能力。MSSIP特別針對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境����、眾多用戶同時(shí)使用時(shí)的擴(kuò)展性提供了多種擴(kuò)展技術(shù)。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是提供一種在大規(guī)模網(wǎng)絡(luò)環(huán)境下基于會(huì)話初始化協(xié)議的安全組播方法�����,該方法具有實(shí)用性強(qiáng)�����、安全程度高、運(yùn)行穩(wěn)定���、擴(kuò)展性好的優(yōu)點(diǎn)��,并能夠在IPv4和IPv6兩種網(wǎng)絡(luò)環(huán)境下運(yùn)行�。
技術(shù)方案本發(fā)明提出了解決組播安全的一整套方案�����,包括組播源訪問(wèn)控制�、組播接收者訪問(wèn)控制、組密鑰管理�����、組播源鑒別以及業(yè)務(wù)統(tǒng)計(jì)與計(jì)費(fèi)能力���。MSSIP特別針對(duì)大規(guī)模網(wǎng)絡(luò)環(huán)境��、眾多用戶同時(shí)使用時(shí)的擴(kuò)展性提供了多種擴(kuò)展技術(shù)。本發(fā)明所采用的方法是采取分布式處理的策略��,根據(jù)現(xiàn)代網(wǎng)絡(luò)的特點(diǎn)劃分區(qū)域���,將每個(gè)用戶接入網(wǎng)作為單個(gè)區(qū)域,核心網(wǎng)將這些區(qū)域連接起來(lái)�。在用戶接入網(wǎng)和核心網(wǎng)之間部署組播控制服務(wù)器(Multicast Control Server,MCS)完成組播業(yè)務(wù)的控制功能。這些服務(wù)器(MCS)控制組播源向核心網(wǎng)發(fā)送組播數(shù)據(jù)�,控制用戶加入組播組��,并提供組播源的身份驗(yàn)證能力�����。為完成這些控制功能����,并且為保證組播數(shù)據(jù)的安全傳輸,MCS也是區(qū)域的密鑰管理服務(wù)器��。組播源以及接收者在使用組播業(yè)務(wù)之前必須通過(guò)SIP協(xié)議與MCS通訊�,從MCS獲得訪問(wèn)業(yè)務(wù)的授權(quán)和組密鑰。當(dāng)區(qū)域內(nèi)某組播組有成員關(guān)系變化時(shí),MCS同時(shí)控制組密鑰的變更。在大規(guī)模網(wǎng)絡(luò)中�����,將每個(gè)用戶接入網(wǎng)作為一個(gè)單獨(dú)的區(qū)域�����,每個(gè)區(qū)域有獨(dú)立的MCS����,負(fù)責(zé)該區(qū)域的安全組播管理����,實(shí)現(xiàn)組播網(wǎng)絡(luò)安全管理任務(wù)的分布。對(duì)于大型區(qū)域�,系統(tǒng)提出三種擴(kuò)展性方法區(qū)域MCS集群、區(qū)域物理分割和區(qū)域邏輯分割�。
一��、體系結(jié)構(gòu)MSSIP對(duì)每個(gè)區(qū)域獨(dú)立進(jìn)行安全組播控制,是一種分布的體系結(jié)構(gòu)�����。源從開(kāi)始發(fā)送數(shù)據(jù)至結(jié)束發(fā)送���,以及接收者從發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議(IGMP/MLD)報(bào)文加入組播組,到發(fā)送IGMP/MLD報(bào)文離開(kāi)組播組均可視為一個(gè)會(huì)話�,使用SIP建立會(huì)話支持用戶身份驗(yàn)證,并可在建立會(huì)話的過(guò)程中交換參數(shù)信息例如加密/解密媒體的組密鑰以及源認(rèn)證信息�����。為提供安全組播業(yè)務(wù)���,MSSIP需要對(duì)傳統(tǒng)的組播路由器進(jìn)行改造,使其具備安全組播特性���。MSSIP稱這種具有安全組播特性的路由器為安全組播路由器�。本發(fā)明所述的基于SIP的安全組播方法體系結(jié)構(gòu)包括組播源及接收者端系統(tǒng)、MCS和安全組播路由器��。端系統(tǒng)負(fù)責(zé)代表用戶通過(guò)SIP協(xié)議向MCS發(fā)起訪問(wèn)請(qǐng)求;管理MCS通告的本地密鑰�����;接受并處理上層應(yīng)用交付的欲傳輸組播數(shù)據(jù)(對(duì)于組播源)�����,或者處理接收到的組播數(shù)據(jù)并交付給上層應(yīng)用(對(duì)于接收者)��。MCS接受用戶的組播服務(wù)請(qǐng)求�����,驗(yàn)證用戶的身份�����,這是通過(guò)SIP協(xié)議完成的�;為用戶分配組密鑰和源鑒別信息;并控制安全組播路由器���。安全組播路由器接受MCS的控制��。部署在安全組播路由器上的防火墻在默認(rèn)情況下阻斷所有的組播流����,在MCS的控制下���,能夠?yàn)楹戏ǖ慕M播源在防火墻上打開(kāi)通道允許其組播流通過(guò)。為防止非授權(quán)用戶接收組播流�����,在安全組播路由器上為組播流進(jìn)行加密�����,加密密鑰由MCS提供����。最后,安全組播路由器不從子網(wǎng)上接收IGMP/MLD報(bào)文,為不改變其上的組播路由系統(tǒng)的工作方式�,IGMP/MLD適配器模塊提供了一個(gè)適配層���,為路由器上的組播路由系統(tǒng)提供其賴以工作的IGMP/MLD報(bào)文。IGMP/MLD適配器所需的信息由MCS提供���。
二��、方法流程本發(fā)明的基于會(huì)話初始化協(xié)議的安全組播方法由組播源及接收者訪問(wèn)控制及組密鑰管理、因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器�����、區(qū)域組播控制服務(wù)器部署三部分構(gòu)成,其中組播源及接收者訪問(wèn)控制及組密鑰管理�����,使用會(huì)話初始化協(xié)議建立會(huì)話支持用戶身份驗(yàn)證���,并可在建立會(huì)話的過(guò)程中交換加密/解密媒體的組密鑰以及源認(rèn)證等參數(shù)信息���;因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器提供了一個(gè)適配層,為路由器上的組播路由系統(tǒng)提供其賴以工作的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文�;區(qū)域組播控制服務(wù)器部署,用以適應(yīng)大規(guī)模網(wǎng)絡(luò)中的管理需求���。
所述的組播源及接收者訪問(wèn)控制及組密鑰管理的方法為安全組播源認(rèn)證根據(jù)網(wǎng)絡(luò)的層次特點(diǎn)采用兩階段方案�����,在核心網(wǎng)部分采用散列消息鑒別碼的認(rèn)證方式���;而用戶接入網(wǎng)具有高速�����、低丟包率的特點(diǎn)��,采用報(bào)文鏈等組播源認(rèn)證方式����,具體有以下步驟
1)組播源發(fā)起身份驗(yàn)證過(guò)程在提供組播服務(wù)之前���,組播源通過(guò)向組播控制服務(wù)器發(fā)送SIP請(qǐng)求消息發(fā)起身份驗(yàn)證過(guò)程�����,SIP消息的消息體部分包含了組播組地址����,并使用安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議封裝進(jìn)行加密和簽名��;2)組播控制服務(wù)器發(fā)出驗(yàn)證要求組播控制服務(wù)器向組播源返回未驗(yàn)證代碼401消息�����,要求對(duì)組播源身份進(jìn)行驗(yàn)證;401消息的鑒別標(biāo)題頭攜帶了驗(yàn)證的方法和參數(shù)��;組播源收到此消息后����,向組播控制服務(wù)器發(fā)送一個(gè)確認(rèn)應(yīng)答;3)組播源發(fā)送回應(yīng)值組播源計(jì)算回應(yīng)值��,放入下一個(gè)請(qǐng)求的驗(yàn)證標(biāo)題頭中發(fā)送給組播控制服務(wù)器�����;4)組播控制服務(wù)器計(jì)算回應(yīng)值并和收到信息中的回應(yīng)值對(duì)比驗(yàn)證正確后�,使用請(qǐng)求者的數(shù)字證書驗(yàn)證安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議簽名的正確性����,然后使用組播控制服務(wù)器的私鑰解密消息體,得到組播源所請(qǐng)求加入的組播組��;之后逐條確認(rèn)組播策略庫(kù)中的每條相關(guān)策略以決定是否接受源發(fā)送數(shù)據(jù)����;若拒絕���,則返回禁止代碼403消息,并在該消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)����;若接受源的訪問(wèn)請(qǐng)求,則向源返回確認(rèn)代碼200消息��,并在后面的步驟中通過(guò)配置離該源最近一跳的安全組播路由器上的防火墻允許該源的數(shù)據(jù)流通過(guò)這種操作對(duì)源進(jìn)行授權(quán)����;確認(rèn)代碼200消息的消息體中封裝了源所請(qǐng)求組播組的組密鑰,組播源使用組密鑰加密組播流然后再發(fā)送到網(wǎng)絡(luò)上��;收到該消息后����,組播源向組播控制服務(wù)器發(fā)送一個(gè)確認(rèn)應(yīng)答消息;5)安全組播路由器上部署防火墻和密碼模塊通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道��,組播控制服務(wù)器將防火墻控制信息發(fā)送給離源最近一跳的安全組播路由器����,允許該源的數(shù)據(jù)流通過(guò);同時(shí)�,組播控制服務(wù)器將組密鑰通告給與核心網(wǎng)相連的安全組播路由器����,當(dāng)組播流通過(guò)該路由器要轉(zhuǎn)發(fā)進(jìn)入核心網(wǎng)時(shí)�����,使用組密鑰解密組播流����;6)組播源開(kāi)始向網(wǎng)絡(luò)發(fā)送加密的組播數(shù)據(jù)流;7)組播源結(jié)束發(fā)送發(fā)送結(jié)束后����,組播源向組播控制服務(wù)器發(fā)送結(jié)束消息結(jié)束會(huì)話��,組播控制服務(wù)器以確認(rèn)代碼200應(yīng)答該請(qǐng)求�����,并控制路由器關(guān)閉在防火墻上為源打開(kāi)的通道和刪除先前通告的組密鑰�;8)接收者加入組播組的第一步是將因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入消息放入SIP請(qǐng)求消息體部分發(fā)送給組播控制服務(wù)器,并且該消息體經(jīng)過(guò)了加密和簽名�;組播控制服務(wù)器向接收者返回未驗(yàn)證代碼401消息,要求對(duì)其身份進(jìn)行驗(yàn)證���;除了消息體中封裝的是因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入消息外���,接收者與組播控制服務(wù)器交互的前四個(gè)消息與源訪問(wèn)控制中組播源與組播控制服務(wù)器交互的前四個(gè)消息相同����;9)組播控制服務(wù)器根據(jù)策略驗(yàn)證的結(jié)果決定對(duì)用戶授權(quán)���,或者返回禁止代碼403消息并在消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)�����;若接受接收者的訪問(wèn)請(qǐng)求����,則向接收者返回確認(rèn)代碼200���,并在消息的消息體部分包含了一個(gè)用于解密該組組播數(shù)據(jù)的密鑰�����,即組密鑰����,消息體通過(guò)安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議保護(hù);所謂的授權(quán)即將組密鑰通告給接收者��,所謂的權(quán)限收回即將變更后的組密鑰通告給組中其它接收者����,沒(méi)有被通告新的組密鑰的成員將不能解密組播數(shù)據(jù)而被隔離出了組外;為保證加解密效率�,MSSIP使用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)對(duì)稱加密方式,因此確認(rèn)代碼200的消息體中封裝的是接收者所請(qǐng)求組的三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)密鑰�����;10)通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道��,組播控制服務(wù)器將由不活躍變?yōu)榛钴S的組以及由活躍變?yōu)椴换钴S的組關(guān)系信息通告給離該接收者最近一跳的安全組播路由器���,并將組密鑰通告給與核心網(wǎng)相連的安全組播路由器���;這里�,安全組播路由器上的防火墻阻止接收者直接發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入組,而只從組播控制服務(wù)器獲得活動(dòng)組信息�;11)離該接收者最近一跳的安全組播路由器通過(guò)正常的組播路由系統(tǒng)加入組播樹(shù);位于核心網(wǎng)邊界的安全組播路由器用從組播控制服務(wù)器獲得的組密鑰加密組播數(shù)據(jù)流并向接入網(wǎng)內(nèi)轉(zhuǎn)發(fā)�;接收者用會(huì)話建立期間從組播控制服務(wù)器獲得的組密鑰解密組播數(shù)據(jù)����;12)接收者向組播控制服務(wù)器發(fā)送結(jié)束消息來(lái)結(jié)束會(huì)話���,結(jié)束消息的消息體部分?jǐn)y帶了加密和簽名的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議離開(kāi)消息�����,組播控制服務(wù)器生成新的組密鑰�����,并通告給組中其它成員和核心網(wǎng)邊界安全組播路由器��,若組播組由活躍狀態(tài)轉(zhuǎn)為非活躍狀態(tài)�����,則路由器停止轉(zhuǎn)發(fā)組播流��。
所述的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器的方法為在MSSIP系統(tǒng)中����,組播接收者通過(guò)向組播控制服務(wù)器發(fā)送SIP請(qǐng)求加入組播組而不是直接向路由器發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文,但因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議對(duì)于組播路由器的操作是至關(guān)重要的�,組播路由器需要通過(guò)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議了解其直接連接的子網(wǎng)上是否有組播組處于活動(dòng)狀態(tài);為了避免過(guò)多地改動(dòng)組播路由器的操作���,MSSIP引入了因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊��,其流程如下1)組播控制服務(wù)器保存有區(qū)域中所有安全組播路由器的接口地址信息��,當(dāng)收到用戶加入/離開(kāi)組請(qǐng)求時(shí)��,組播控制服務(wù)器判斷是否組狀態(tài)發(fā)生變化�,即組從非活躍狀態(tài)變?yōu)榛钴S狀態(tài)���,或從活躍狀態(tài)變?yōu)榉腔钴S狀態(tài)�;若組狀態(tài)發(fā)生了變化���,則組播控制服務(wù)器將變化信息通告給離用戶最近一跳的安全組播路由器上的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊����;2)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊接收組播控制服務(wù)器發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表����,當(dāng)從組播控制服務(wù)器了解到活動(dòng)組有變化時(shí),因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊主動(dòng)產(chǎn)生因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)告報(bào)文發(fā)給所在的路由器�;當(dāng)路由器組播路由系統(tǒng)向子網(wǎng)發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)查詢報(bào)文時(shí),該模塊截獲查詢報(bào)文���,并根據(jù)活動(dòng)組地址列表代為產(chǎn)生一個(gè)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)報(bào)告給組播路由系統(tǒng)�,安全組播路由器上的防火墻阻塞從網(wǎng)絡(luò)接口接收到的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文���;3)組播控制服務(wù)器上不僅保存有活動(dòng)組的信息�,還有組的詳細(xì)成員列表����,但只有當(dāng)活動(dòng)組發(fā)生變化時(shí)才需要向因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊通告;當(dāng)收到加入組請(qǐng)求時(shí)�����,組播控制服務(wù)器查詢本地?cái)?shù)據(jù)庫(kù)��,若組是活動(dòng)的�����,說(shuō)明路由器已經(jīng)開(kāi)始向接入網(wǎng)轉(zhuǎn)發(fā)該組的組播數(shù)據(jù)流了�����,則路由器上的組關(guān)系不必改變,只需要通告新的組密鑰即可�;若組不存在,則在本地?cái)?shù)據(jù)庫(kù)中添加組關(guān)系和成員列表���,并向路由器通告組信息和組密鑰����;當(dāng)收到離開(kāi)組請(qǐng)求時(shí)�����,組播控制服務(wù)器查詢本地?cái)?shù)據(jù)庫(kù)���,若是該組的最后一臺(tái)主機(jī)����,則向路由器通告組信息���,并刪除本地該組的所有信息���;否則組播控制服務(wù)器只把該成員從本地?cái)?shù)據(jù)庫(kù)該組中刪除�����,并只向路由器通告新的組密鑰,這時(shí)路由器上的組信息沒(méi)有變化�����;4)安全組播路由器因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊接收組播控制服務(wù)器發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表���;MSSIP為每個(gè)區(qū)域配置了一臺(tái)組播控制服務(wù)器��,負(fù)責(zé)該區(qū)域的組播業(yè)務(wù)安全控制���;通常情況下區(qū)域內(nèi)都不止一臺(tái)路由器,只在核心網(wǎng)的邊界路由器上進(jìn)行訪問(wèn)控制和加密是不夠的����,為此MSSIP定義了兩種安全組播路由器角色連接核心網(wǎng)和某區(qū)域的組播邊界路由器,以及只在區(qū)域內(nèi)有接口并且有主機(jī)直接連接的組播區(qū)域路由器�����;組播控制服務(wù)器需要與本區(qū)域所有這些組播邊界路由器和組播區(qū)域路由器建立網(wǎng)絡(luò)安全連接����,并在本地保存它們的相關(guān)信息����;主機(jī)加入組播組不是通過(guò)直接發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文�,而是向組播控制服務(wù)器發(fā)送訪問(wèn)請(qǐng)求,因此組播邊界路由器和組播區(qū)域路由器就需要某種途徑獲得其直連子網(wǎng)上的組關(guān)系��;這是通過(guò)在其上部署因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊實(shí)現(xiàn)的當(dāng)主機(jī)加入某組播組的請(qǐng)求獲得組播控制服務(wù)器認(rèn)可后���,組播控制服務(wù)器通過(guò)檢查主機(jī)發(fā)出請(qǐng)求的網(wǎng)絡(luò)地址以及保存在組播控制服務(wù)器上的路由器信息���,可以確定主機(jī)所接入的路由器以及連接的接口;通過(guò)網(wǎng)絡(luò)安全通道��,組播控制服務(wù)器指示該路由器上的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊向路由器的組播路由系統(tǒng)發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)報(bào)告報(bào)文�����,向路由器報(bào)告有新組轉(zhuǎn)為活動(dòng)狀態(tài)�����,則該路由器通過(guò)組播路由協(xié)議加入組播分布樹(shù)�,開(kāi)始轉(zhuǎn)發(fā)組播流�����。
所述的區(qū)域組播控制服務(wù)器部署方法為針對(duì)大規(guī)模網(wǎng)絡(luò)���,MSSIP提供了三種系統(tǒng)擴(kuò)展性方法���,步驟如下1)區(qū)域組播控制服務(wù)器集群使用SIP代理服務(wù)器可以創(chuàng)建由多個(gè)組播控制服務(wù)器組成的集群���。假設(shè)區(qū)域university.edu.cn有一個(gè)處理進(jìn)入邀請(qǐng)的代理服務(wù)器,當(dāng)接收者嘗試地址“SIPmcs@ university.edu.cn”時(shí)����,它將首先到達(dá)“university.edu.cn”區(qū)域的代理服務(wù)器;這個(gè)服務(wù)器將迅速代表接收者的用戶代理嘗試地址“SIPmcs@ university.edu.cn”�;在集群的情況下,區(qū)域有一個(gè)由兩臺(tái)組播控制服務(wù)器即組播控制服務(wù)器-1和組播控制服務(wù)器-2組成的集群����,代理服務(wù)器首先嘗試與組播控制服務(wù)器-1聯(lián)系,如組播控制服務(wù)器-1上已經(jīng)達(dá)到了所請(qǐng)求組的預(yù)配置最大數(shù)量���,組播控制服務(wù)器-1將以“抱歉�����,服務(wù)已滿”作為答復(fù)���;收到此答復(fù)后���,代理繼續(xù)嘗試與組播控制服務(wù)器-2聯(lián)系,組播控制服務(wù)器-2正好有空��,它以“好�,我有空”作為應(yīng)答,最終接收者的請(qǐng)求由組播控制服務(wù)器-2負(fù)責(zé)處理����;通過(guò)改變請(qǐng)求到達(dá)時(shí)代理服務(wù)器聯(lián)系組播控制服務(wù)器的順序,可以在各組播控制服務(wù)器之間進(jìn)行負(fù)載均衡�����;2)區(qū)域物理分割當(dāng)區(qū)域過(guò)度膨脹���,通過(guò)增加組播控制服務(wù)器也不能解決問(wèn)題時(shí)����,可以對(duì)區(qū)域進(jìn)行分割;所謂的物理分割就像細(xì)胞分裂一樣����,一個(gè)大的區(qū)域分裂為兩個(gè)小的區(qū)域,每個(gè)小區(qū)域有自己獨(dú)立的組播控制服務(wù)器�,單獨(dú)處理各自區(qū)域內(nèi)的組成員變化,區(qū)域有獨(dú)立的組密鑰����;區(qū)域物理分割對(duì)用戶是不透明的�����,當(dāng)發(fā)生物理分割時(shí)�,用戶可能需要重配置他們的計(jì)算機(jī);3)區(qū)域邏輯分割當(dāng)加入組請(qǐng)求到達(dá)組播控制服務(wù)器����,組播控制服務(wù)器跟蹤組的所有成員知道組的當(dāng)前規(guī)模,當(dāng)組規(guī)模達(dá)到一個(gè)配置的閾值�,分割動(dòng)態(tài)地發(fā)生組播控制服務(wù)器從欲配置的組播地址池中選取一個(gè)未使用的局部組地址,并建立映射關(guān)系����;組播控制服務(wù)器向請(qǐng)求組播服務(wù)的接收者發(fā)送服務(wù)不可用代碼503消息�����,在消息體中包含一個(gè)組映射指示和站點(diǎn)局部組地址�����,要求接收者重新向局部組地址發(fā)起加入請(qǐng)求���,同時(shí)組播控制服務(wù)器指示核心網(wǎng)邊界處的安全組播路由器將原始組的數(shù)據(jù)復(fù)制一份到映射組,并分別用各自組的組密鑰加密��;邏輯分割操作對(duì)用戶是透明的����。
以下為本發(fā)明中的名詞解釋會(huì)話初始化協(xié)議 Session Initiation Protocol,SIP基于會(huì)話初始化協(xié)議的安全組播方法MSSIP因特網(wǎng) Internet因特網(wǎng)工程任務(wù)組Internet Engineering Task Force��,IETF因特網(wǎng)協(xié)議 IP因特網(wǎng)協(xié)議第4版����、第6版 IPv4、IPv6超文本傳輸協(xié)議 Hypertext Transfer Protocol�����,HTTP簡(jiǎn)單郵件傳輸協(xié)議Simple Message Transfer Protocol,SMTP組播控制服務(wù)器 Multicast Control Server��,MCS因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議 IGMP/MLD散列消息鑒別碼 HMACSIP請(qǐng)求 SIP INVITE安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議S/MIME未驗(yàn)證代碼401 401 Unauthorized
確認(rèn)ACK回應(yīng)值 response驗(yàn)證Authorization禁止代碼403 403Forbidden確認(rèn)代碼200 200OK結(jié)束B(niǎo)YE三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)Triple Data Encryption Standard���,3DES服務(wù)不可用代碼503 503 Service Unavailable組播邊界路由器 Multicast Border Router�,MBR組播區(qū)域路由器 Multicast Internal Router�,MIR統(tǒng)一資源標(biāo)識(shí)符 Uniform Resource Identifier,URI有益效果本發(fā)明所述的基于SIP的安全組播方法MSSIP提出了解決組播安全的一整套方案��,包括組播源訪問(wèn)控制�����、組播接收者訪問(wèn)控制��、組密鑰管理�、組播源鑒別以及業(yè)務(wù)統(tǒng)計(jì)與計(jì)費(fèi)能力����。該方法在每個(gè)用戶接入網(wǎng)中部署組播控制服務(wù),各區(qū)域相對(duì)獨(dú)立自治��,實(shí)現(xiàn)最大限度的分布計(jì)算和高擴(kuò)展性。具體來(lái)說(shuō)���,本發(fā)明所述的方法具有如下的有益效果1)將SIP協(xié)議用于組播安全控制��,給出了一個(gè)一體化的安全組播系統(tǒng)架構(gòu)��。借助于SIP協(xié)議的安全機(jī)制和參數(shù)協(xié)商能力����,很好地解決了組播安全中的訪問(wèn)控制�、組密鑰管理和源認(rèn)證要求;以及商業(yè)應(yīng)用所需的統(tǒng)計(jì)計(jì)費(fèi)能力�。
2)提出了IGMP/MLD適配器層,隔離了MSSIP和組播路由系統(tǒng)的界限��,使組播路由系統(tǒng)不必改變即可被MSSIP使用�����。而且IGMP/MLD適配器部署在安全組播路由器中�����,消除了網(wǎng)絡(luò)中周期性的IGMP/MLD查詢報(bào)文����,提高了網(wǎng)絡(luò)效率���。
3)系統(tǒng)部署在網(wǎng)絡(luò)的邊緣,各用戶接入網(wǎng)成為單獨(dú)的區(qū)域���,有自己的控制服務(wù)器和組密鑰�,系統(tǒng)擴(kuò)展性很高���。而且由于核心網(wǎng)不必發(fā)生變化���,系統(tǒng)實(shí)際應(yīng)用價(jià)值很高。
4)根據(jù)網(wǎng)絡(luò)特點(diǎn)�����,提出了在網(wǎng)絡(luò)的不同部分使用不同的源認(rèn)證方式的兩階段方案�����。在核心網(wǎng)關(guān)注性能和效率���,包丟失無(wú)關(guān)性;在接入網(wǎng)關(guān)注最終用戶的認(rèn)證需求。使整個(gè)認(rèn)證方案安全有效���。
5)支持大規(guī)模組播業(yè)務(wù)應(yīng)用的能力����,系統(tǒng)可以采用多種密鑰管理方法����,例如集中式的或基于樹(shù)的。
6)系統(tǒng)組密鑰重分配有很高的擴(kuò)展性�����,通過(guò)使用SIP代理服務(wù)器���,提出了MCS集群的概念����,并有負(fù)載均衡的能力�����。
7)創(chuàng)造性地提出了系統(tǒng)擴(kuò)展的物理分割和邏輯分割方法����,以及全局組播地址到局部組播地址的映射���,使系統(tǒng)擴(kuò)展性有了更進(jìn)一步的提高。
8)易于與其它服務(wù)集成����。SIP已得到大量設(shè)備的支持,包括桌面計(jì)算機(jī)���、手持移動(dòng)設(shè)備等����。使用SIP實(shí)現(xiàn)業(yè)務(wù)��,MSSIP系統(tǒng)只需要最小的成本就可在這些設(shè)備上使用���。
9)與SIP共同發(fā)展���。SIP是一個(gè)得到廣泛應(yīng)用并不斷發(fā)展的協(xié)議,隨著SIP協(xié)議的發(fā)展��,新的安全認(rèn)證方法能夠被容易地應(yīng)用到MSSIP系統(tǒng)中來(lái)�����。
圖1是基于SIP的安全組播方法部署示意圖��。
圖2是組播源訪問(wèn)控制及組密鑰管理流程���。
圖3是組播接收者訪問(wèn)控制及組密鑰管理流程��。
具體實(shí)施例方式
本發(fā)明方案由組播源及接收者訪問(wèn)控制及組密鑰管理��、因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議(IGMP/MLD)適配器�����、區(qū)域MCS部署三部分構(gòu)成����,具體如下1�、組播源及接收者訪問(wèn)控制及組密鑰管理MSSIP源認(rèn)證根據(jù)網(wǎng)絡(luò)的層次特點(diǎn)采用兩階段方案。由于核心網(wǎng)通常為廣域網(wǎng)���,流量大����、地域范圍廣,雖然最近建設(shè)的核心網(wǎng)鏈路帶寬已達(dá)到10G���,但網(wǎng)絡(luò)上仍然大量存在包丟失��,而且包丟失影響的范圍更大���。因此MSSIP在核心網(wǎng)部分采用HMAC的認(rèn)證方式;而用戶接入網(wǎng)具有高速�、低丟包率的特點(diǎn),可采用報(bào)文鏈等組播源認(rèn)證方式�����。具體有以下步驟1)組播源發(fā)起身份驗(yàn)證過(guò)程�����。在提供組播服務(wù)之前��,組播源通過(guò)向MCS發(fā)送SIP INVITE消息發(fā)起身份驗(yàn)證過(guò)程�,SIP消息的消息體部分包含了組播組地址,并使用安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議(S/MIME)封裝進(jìn)行加密和簽名�。
2)組播控制服務(wù)器MCS發(fā)出驗(yàn)證要求。MCS向組播源返回未驗(yàn)證代碼401(401 Unauthorized)消息,要求對(duì)組播源身份進(jìn)行驗(yàn)證�����。401消息的WWW-Authenticate標(biāo)題頭攜帶了驗(yàn)證的方法和參數(shù)�。組播源收到此消息后�,向MCS發(fā)送一個(gè)確認(rèn)(ACK)應(yīng)答。
3)組播源發(fā)送回應(yīng)值(response)�。組播源計(jì)算response,放入下一個(gè)INVITE請(qǐng)求的驗(yàn)證(Authorization)標(biāo)題頭中發(fā)送給MCS�����。
4)MCS計(jì)算response并和收到信息中的response對(duì)比����。驗(yàn)證正確后,使用請(qǐng)求者的數(shù)字證書驗(yàn)證S/MIME簽名的正確性��,然后使用MCS的私鑰解密消息體�����,得到源請(qǐng)求加入的組播組�����。之后逐條確認(rèn)組播策略庫(kù)中的每條相關(guān)策略以決定是否接受源發(fā)送數(shù)據(jù)。若拒絕���,則返回禁止代碼403(403 Forbidden)消息��,并在該消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)�����。若接受源的訪問(wèn)請(qǐng)求�,則向源返回確認(rèn)代碼200(200 OK)消息�����,并在后面的步驟中通過(guò)配置離該源最近一跳的安全組播路由器上的防火墻允許該源的數(shù)據(jù)流通過(guò)這種操作對(duì)源進(jìn)行授權(quán)����。200OK消息的消息體中封裝了源所請(qǐng)求組播組的組密鑰,源使用組密鑰加密組播流然后再發(fā)送到網(wǎng)絡(luò)上�。收到該消息后,源向MCS發(fā)送一個(gè)ACK應(yīng)答消息�����。
5)安全組播路由器上部署防火墻和密碼模塊。通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道�,MCS將防火墻控制信息發(fā)送給離源最近一跳的安全組播路由器,允許該源的數(shù)據(jù)流通過(guò)����。同時(shí),MCS將組密鑰通告給與核心網(wǎng)相連的安全組播路由器�����,當(dāng)組播流通過(guò)該路由器要轉(zhuǎn)發(fā)進(jìn)入核心網(wǎng)時(shí)�����,使用組密鑰解密組播流。
6)組播源開(kāi)始向網(wǎng)絡(luò)發(fā)送加密的組播數(shù)據(jù)流�。
7)組播源結(jié)束發(fā)送。發(fā)送結(jié)束后�����,組播源向MCS發(fā)送結(jié)束(SIP BYE)消息結(jié)束會(huì)話�����,MCS以200 OK應(yīng)答該請(qǐng)求,并控制路由器關(guān)閉在防火墻上為源打開(kāi)的通道和刪除先前通告的組密鑰���。
8)接收者加入組播組的第一步是將IGMP/MLD加入消息放入SIP INVITE消息體部分發(fā)送給MCS�,并且該消息體經(jīng)過(guò)了加密和簽名��。MCS向接收者返回401 Unauthorized消息���,要求對(duì)其身份進(jìn)行驗(yàn)證�。除了消息體中封裝的是IGMP/MLD加入消息外����,接收者與MCS交互的前四個(gè)消息與源訪問(wèn)控制中源與MCS交互的前四個(gè)消息相同。
9)MCS根據(jù)策略驗(yàn)證的結(jié)果決定對(duì)用戶授權(quán)���,或者返回403Forbidden消息并在消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)����。若接受接收者的訪問(wèn)請(qǐng)求�,則向接收者返回200 OK,并在消息的消息體部分包含了一個(gè)用于解密該組組播數(shù)據(jù)的密鑰(即組密鑰)����,消息體通過(guò)S/MIME保護(hù)�。所謂的授權(quán)即將組密鑰通告給接收者�,所謂的權(quán)限收回即將變更后的組密鑰通告給組中其它接收者,沒(méi)有被通告新的組密鑰的成員將不能解密組播數(shù)據(jù)而被隔離出了組外�。為保證加解密效率,MSSIP使用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(3DES)對(duì)稱加密方式���,因此200OK的消息體中封裝的是接收者所請(qǐng)求組的3DES密鑰��。
10)通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道����,MCS將組關(guān)系信息(由不活躍變?yōu)榛钴S的組以及由活躍變?yōu)椴换钴S的組)通告給離該接收者最近一跳的安全組播路由器����,并將組密鑰通告給與核心網(wǎng)相連的安全組播路由器�����。這里���,安全組播路由器上的防火墻阻止接收者直接發(fā)送IGMP/MLD加入組��,而只從MCS獲得活動(dòng)組信息��。
11)離該接收者最近一跳的安全組播路由器通過(guò)正常的組播路由系統(tǒng)加入組播樹(shù)���。位于核心網(wǎng)邊界的安全組播路由器用從MCS獲得的組密鑰加密組播數(shù)據(jù)流并向接入網(wǎng)內(nèi)轉(zhuǎn)發(fā)��。接收者用會(huì)話建立期間從MCS獲得的組密鑰解密組播數(shù)據(jù)�。
12)接收者向MCS發(fā)送SIP BYE消息結(jié)束會(huì)話���,BYE消息的消息體部分?jǐn)y帶了加密和簽名的IGMP/MLD離開(kāi)消息��。MCS生成新的組密鑰��,并通告給組中其它成員和核心網(wǎng)邊界安全組播路由器��。若組播組由活躍狀態(tài)轉(zhuǎn)為非活躍狀態(tài)��,則路由器停止轉(zhuǎn)發(fā)組播流�����。
2����、IGMP/MLD適配器在MSSIP系統(tǒng)中,組播接收者通過(guò)向MCS發(fā)送SIP INVITE加入組播組而不是直接向路由器發(fā)送IGMP/MLD報(bào)文����,但I(xiàn)GMP/MLD對(duì)于組播路由器的操作是至關(guān)重要的,組播路由器需要通過(guò)IGMP/MLD了解其直接連接的子網(wǎng)上是否有組播組處于活動(dòng)狀態(tài)�����。為了避免過(guò)多地改動(dòng)組播路由器的操作����,MSSIP引入了IGMP/MLD適配器模塊,其流程如下1)MCS保存有區(qū)域中所有安全組播路由器的接口地址信息�����,當(dāng)收到用戶加入/離開(kāi)組請(qǐng)求時(shí)��,MCS判斷是否組狀態(tài)發(fā)生變化����,即組從非活躍狀態(tài)變?yōu)榛钴S狀態(tài)��,或從活躍狀態(tài)變?yōu)榉腔钴S狀態(tài)���。若組狀態(tài)發(fā)生了變化�����,則MCS將變化信息通告給離用戶最近一跳的安全組播路由器上的IGMP/MLD適配器模塊��。
2)IGMP/MLD適配器模塊接收MCS發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表�����。當(dāng)從MCS了解到活動(dòng)組有變化時(shí)����,IGMP/MLD適配器模塊主動(dòng)產(chǎn)生IGMP/MLD報(bào)告報(bào)文發(fā)給所在的路由器;當(dāng)路由器組播路由系統(tǒng)向子網(wǎng)發(fā)送IGMP/MLD組播偵聽(tīng)查詢報(bào)文時(shí)�����,該模塊截獲查詢報(bào)文�����,并根據(jù)活動(dòng)組地址列表代為產(chǎn)生一個(gè)IGMP/MLD組播偵聽(tīng)報(bào)告給組播路由系統(tǒng)�。安全組播路由器上的防火墻阻塞從網(wǎng)絡(luò)接口接收到的IGMP/MLD報(bào)文。
3)MCS上不僅保存有活動(dòng)組的信息��,還有組的詳細(xì)成員列表,但只有當(dāng)活動(dòng)組發(fā)生變化時(shí)才需要向IGMP/MLD適配器模塊通告�。當(dāng)收到加入組請(qǐng)求時(shí),MCS查詢本地?cái)?shù)據(jù)庫(kù)��,若組是活動(dòng)的���,說(shuō)明路由器已經(jīng)開(kāi)始向接入網(wǎng)轉(zhuǎn)發(fā)該組的組播數(shù)據(jù)流了���,則路由器上的組關(guān)系不必改變,只需要通告新的組密鑰即可�。若組不存在,則在本地?cái)?shù)據(jù)庫(kù)中添加組關(guān)系和成員列表���,并向路由器通告組信息和組密鑰�����。當(dāng)收到離開(kāi)組請(qǐng)求時(shí)����,MCS查詢本地?cái)?shù)據(jù)庫(kù)����,若是該組的最后一臺(tái)主機(jī),則向路由器通告組信息��,并刪除本地該組的所有信息���;否則MCS只把該成員從本地?cái)?shù)據(jù)庫(kù)該組中刪除�,并只向路由器通告新的組密鑰�,這時(shí)路由器上的組信息沒(méi)有變化。
4)安全組播路由器����。IGMP/MLD適配器模塊接收MCS發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表。MSSIP為每個(gè)區(qū)域配置了一臺(tái)MCS�����,負(fù)責(zé)該區(qū)域的組播業(yè)務(wù)安全控制����。通常情況下區(qū)域內(nèi)都不止一臺(tái)路由器,只在核心網(wǎng)的邊界路由器上進(jìn)行訪問(wèn)控制和加密是不夠的�����,為此MSSIP定義了兩種安全組播路由器角色連接核心網(wǎng)和某區(qū)域的組播邊界路由器(MulticastBorder Router,MBR)����,以及只在區(qū)域內(nèi)有接口并且有主機(jī)直接連接的組播區(qū)域路由器(Multicast Internal Router,MIR)����。MCS需要與本區(qū)域所有這些MBR和MIR建立網(wǎng)絡(luò)安全連接,并在本地保存它們的相關(guān)信息�����,例如路由器的接口地址等�����。主機(jī)加入組播組不是通過(guò)直接發(fā)送IGMP/MLD報(bào)文�����,而是向MCS發(fā)送訪問(wèn)請(qǐng)求��,因此MBR和MIR就需要某種途徑獲得其直連子網(wǎng)上的組關(guān)系����。這是通過(guò)在其上部署IGMP/MLD適配器模塊實(shí)現(xiàn)的當(dāng)主機(jī)加入某組播組的請(qǐng)求獲得MCS認(rèn)可后,MCS通過(guò)檢查主機(jī)發(fā)出請(qǐng)求的IP地址以及保存在MCS上的路由器信息,可以確定主機(jī)所接入的路由器以及連接的接口��。通過(guò)網(wǎng)絡(luò)安全通道����,MCS指示該路由器上的IGMP/MLD適配器模塊向路由器的組播路由系統(tǒng)發(fā)送IGMP/MLD組播偵聽(tīng)報(bào)告報(bào)文����,向路由器報(bào)告有新組轉(zhuǎn)為活動(dòng)狀態(tài),則該路由器通過(guò)組播路由協(xié)議加入組播分布樹(shù)�����,開(kāi)始轉(zhuǎn)發(fā)組播流����。
3、區(qū)域MCS部署針對(duì)大規(guī)模網(wǎng)絡(luò)����,MSSIP提供了三種系統(tǒng)擴(kuò)展性方法,步驟如下1)區(qū)域MCS集群����。使用SIP代理服務(wù)器可以創(chuàng)建由多個(gè)MCS組成的集群。假設(shè)區(qū)域university.edu.cn有一個(gè)處理進(jìn)入邀請(qǐng)的代理服務(wù)器,當(dāng)接收者嘗試地址SIPmcs@university.edu.cn時(shí)����,它將首先到達(dá)university.edu.cn區(qū)域的代理服務(wù)器。這個(gè)服務(wù)器將迅速代表接收者的用戶代理嘗試地址SIPmcs@university.edu.cn�����。在集群的情況下����,例如區(qū)域有一個(gè)由兩臺(tái)MCS(MCS-1和MCS-2)組成的集群。代理服務(wù)器首先嘗試與MCS-1聯(lián)系��。假設(shè)MCS-1上已經(jīng)達(dá)到了所請(qǐng)求組的預(yù)配置最大數(shù)量���,MCS-1將以“抱歉��,服務(wù)已滿”作為答復(fù)。收到此答復(fù)后��,代理繼續(xù)嘗試與MCS-2聯(lián)系�,MCS-2正好有空�,所以它以“好,我有空”作為應(yīng)答�����。最終接收者的請(qǐng)求由MCS-2負(fù)責(zé)處理�。通過(guò)改變請(qǐng)求到達(dá)時(shí)代理服務(wù)器聯(lián)系MCS的順序��,可以在各MCS之間進(jìn)行負(fù)載均衡���。區(qū)域MCS集群的操作對(duì)用戶是透明的�����,當(dāng)需要時(shí)能夠透明地增加MCS的數(shù)量,而用戶不會(huì)感覺(jué)到這種變化�����。
2)區(qū)域物理分割�。當(dāng)區(qū)域過(guò)度膨脹,通過(guò)增加MCS也不能解決問(wèn)題時(shí)��,可以對(duì)區(qū)域進(jìn)行分割�����。所謂的物理分割就像細(xì)胞分裂一樣��,一個(gè)大的區(qū)域分裂為兩個(gè)小的區(qū)域,每個(gè)小區(qū)域有自己獨(dú)立的MCS,單獨(dú)處理各自區(qū)域內(nèi)的組成員變化�,區(qū)域有獨(dú)立的組密鑰。區(qū)域物理分割對(duì)用戶是不透明的��,當(dāng)發(fā)生物理分割時(shí)���,用戶可能需要重配置其計(jì)算機(jī)。
3)區(qū)域邏輯分割當(dāng)加入組請(qǐng)求到達(dá)MCS����,因?yàn)镸CS跟蹤組的所有成員��,所以它知道組的當(dāng)前規(guī)模��。當(dāng)組規(guī)模達(dá)到一個(gè)配置的閾值����,分割動(dòng)態(tài)地發(fā)生MCS從欲配置的組播地址池中選取一個(gè)未使用的局部組地址����,并建立映射關(guān)系;MCS向請(qǐng)求組播服務(wù)的接收者發(fā)送服務(wù)不可用代碼503(503 Service Unavailable)消息����,在消息體中包含一個(gè)組映射指示和站點(diǎn)局部組地址,要求接收者重新向局部組地址發(fā)起加入請(qǐng)求���。同時(shí)MCS指示核心網(wǎng)邊界處的安全組播路由器將原始組的數(shù)據(jù)復(fù)制一份到映射組�,并分別用各自組的組密鑰加密。邏輯分割操作對(duì)用戶是透明的。
下面對(duì)本發(fā)明作更詳細(xì)的描述����。
一、IGMP/MLD適配器的部署在MSSIP系統(tǒng)中,組播接收者通過(guò)向MCS發(fā)送SIP INVITE加入組播組而不是直接向路由器發(fā)送IGMP/MLD報(bào)文�����,但I(xiàn)GMP/MLD對(duì)于組播路由器的操作是至關(guān)重要的組播路由器需要通過(guò)IGMP/MLD了解其直接連接的子網(wǎng)上是否有組播組處于活動(dòng)狀態(tài)����。為了避免過(guò)多地改動(dòng)組播路由器的操作��,MSSIP引入了IGMP/MLD適配器模塊����。
1)MCS保存有區(qū)域中所有安全組播路由器的接口地址信息�,當(dāng)收到用戶加入/離開(kāi)組請(qǐng)求時(shí)����,MCS判斷是否組狀態(tài)發(fā)生變化,即組從非活躍狀態(tài)變?yōu)榛钴S狀態(tài)�,或從活躍狀態(tài)變?yōu)榉腔钴S狀態(tài)。若組狀態(tài)發(fā)生了變化�����,則MCS將變化信息通告給離用戶最近一跳的安全組播路由器上的IGMP/MLD適配器模塊。
2)IGMP/MLD適配器模塊接收MCS發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表���。當(dāng)從MCS了解到活動(dòng)組有變化時(shí)����,IGMP/MLD適配器模塊主動(dòng)產(chǎn)生IGMP/MLD報(bào)告報(bào)文發(fā)給所在的路由器��;當(dāng)路由器組播路由系統(tǒng)向子網(wǎng)發(fā)送IGMP/MLD組播偵聽(tīng)查詢報(bào)文時(shí)�,該模塊截獲查詢報(bào)文,并根據(jù)活動(dòng)組地址列表代為產(chǎn)生一個(gè)IGMP/MLD組播偵聽(tīng)報(bào)告給組播路由系統(tǒng)��。安全組播路由器上的防火墻阻塞從網(wǎng)絡(luò)接口接收到的IGMP/MLD報(bào)文�����。
MCS上不僅保存有活動(dòng)組的信息��,還有組的詳細(xì)成員列表�,但只有當(dāng)活動(dòng)組發(fā)生變化時(shí)才需要向IGMP/MLD適配器模塊通告1)當(dāng)收到加入組請(qǐng)求時(shí)���,MCS查詢本地?cái)?shù)據(jù)庫(kù)�����,若組是活動(dòng)的�����,則說(shuō)明路由器已經(jīng)開(kāi)始向接入網(wǎng)轉(zhuǎn)發(fā)該組的組播數(shù)據(jù)流了��。則路由器上的組關(guān)系不必改變,只需要通告新的組密鑰即可����。若組不存在�,則在本地?cái)?shù)據(jù)庫(kù)中添加組關(guān)系和成員列表,并向路由器通告組信息和組密鑰��。
2)當(dāng)收到離開(kāi)組請(qǐng)求時(shí),MCS查詢本地?cái)?shù)據(jù)庫(kù)�,若是該組的最后一臺(tái)主機(jī)�,則向路由器通告組信息��,并刪除本地該組的所有信息����;否則MCS只把該成員從本地?cái)?shù)據(jù)庫(kù)該組中刪除�,并只向路由器通告新的組密鑰,這時(shí)路由器上的組信息沒(méi)有變化。
二、安全組播路由器角色
IGMP/MLD適配器模塊接收MCS發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表�����。MSSIP為每個(gè)區(qū)域配置了一臺(tái)MCS�,負(fù)責(zé)該區(qū)域的組播業(yè)務(wù)安全控制���。通常情況下區(qū)域內(nèi)都不止一臺(tái)路由器,只在核心網(wǎng)的邊界路由器上進(jìn)行訪問(wèn)控制和加密是不夠的�����,為此MSSIP定義了兩種安全組播路由器角色連接核心網(wǎng)和某區(qū)域的組播邊界路由器MBR��,以及只在區(qū)域內(nèi)有接口并且有主機(jī)直接連接的組播區(qū)域路由器MIR����。MCS需要與本區(qū)域所有這些MBR和MIR建立網(wǎng)絡(luò)安全連接�,并在本地保存它們的相關(guān)信息�����,例如路由器的接口地址等�����。主機(jī)加入組播組不是通過(guò)直接發(fā)送IGMP/MLD報(bào)文�,而是向MCS發(fā)送訪問(wèn)請(qǐng)求,因此MBR和MIR就需要某種途徑獲得其直連子網(wǎng)上的組關(guān)系。這是通過(guò)在其上部署IGMP/MLD適配器模塊實(shí)現(xiàn)的當(dāng)主機(jī)加入某組播組的請(qǐng)求獲得MCS認(rèn)可后�,MCS通過(guò)檢查主機(jī)發(fā)出請(qǐng)求的IP地址以及保存在MCS上的路由器信息,可以確定主機(jī)所接入的路由器以及連接的接口�����。通過(guò)網(wǎng)絡(luò)安全通道��,MCS指示該路由器上的IGMP/MLD適配器模塊向路由器的組播路由系統(tǒng)發(fā)送IGMP/MLD組播偵聽(tīng)報(bào)告報(bào)文��,向路由器報(bào)告有新組轉(zhuǎn)為活動(dòng)狀態(tài)��,則該路由器通過(guò)組播路由協(xié)議加入組播分布樹(shù)���,開(kāi)始轉(zhuǎn)發(fā)組播流。注意�����,若MBR上沒(méi)有直連主機(jī)����,則MBR上不必部署IGMP/MLD適配器模塊。對(duì)于沒(méi)有部署IGMP/MLD適配器模塊的路由器(也即沒(méi)有直連主機(jī)的路由器)��,為安全起見(jiàn)應(yīng)關(guān)閉其上的IGMP/MLD功能���。
三��、組播源所在區(qū)域的MBR操作組播源所在區(qū)域的MBR和區(qū)域內(nèi)不存在源的MBR的操作稍有不同����。MBR必須根據(jù)組播流的流向采取不同的動(dòng)作,分兩種情況1)組播流從區(qū)域內(nèi)流向核心網(wǎng)�����。這說(shuō)明本區(qū)域內(nèi)有活動(dòng)組的源�,并且其它區(qū)域有該組的接收者。由于源使用本區(qū)域組密鑰加密了組播流���,當(dāng)流到達(dá)MBR要轉(zhuǎn)發(fā)出本區(qū)域時(shí)���,需要在MBR上解密。
2)組播流從核心網(wǎng)流向區(qū)域內(nèi)���。這種情況需要在MBR上用本區(qū)域組密鑰加密�����,然后再將組播流引入?yún)^(qū)域����。
四、用戶請(qǐng)求加入組或離開(kāi)組時(shí)的處理當(dāng)用戶請(qǐng)求加入組或離開(kāi)組時(shí)��,MCS分別進(jìn)行處理����。用戶請(qǐng)求加入組時(shí),MCS為用戶分配一個(gè)與用戶共享的3DES密鑰�����,稱為用戶密鑰�����。同時(shí)為了防止用戶解密加入前的組播數(shù)據(jù)和防止用戶解密離開(kāi)組后的組播數(shù)據(jù)�����,當(dāng)組成員發(fā)生變化時(shí)(有用戶加入或退出)�,需要重新分配組密鑰���。重分配密鑰時(shí)���,MCS使用每個(gè)用戶的用戶密鑰加密組密鑰傳輸給各用戶�����。組密鑰重分配的效率是評(píng)價(jià)一個(gè)組密鑰管理系統(tǒng)的主要指標(biāo)�����。MSSIP通過(guò)將網(wǎng)絡(luò)拆分為相對(duì)獨(dú)立的區(qū)域��,將密鑰重分配的范圍大大縮小了����。在單個(gè)區(qū)域內(nèi)����,MSSIP使用集中式的密鑰重分配方法,即重分配由區(qū)域MCS針對(duì)組中每個(gè)成員以單播的方式進(jìn)行�����。
五��、區(qū)域MCS集群的創(chuàng)建使用SIP代理服務(wù)器可以創(chuàng)建由多個(gè)MCS組成的集群。假設(shè)區(qū)域university.edu.cn有一個(gè)處理進(jìn)入邀請(qǐng)的代理服務(wù)器��,當(dāng)接收者嘗試地址SIPmcs@university.edu.cn時(shí)�,它將首先到達(dá)university.edu.cn區(qū)域的代理服務(wù)器。這個(gè)服務(wù)器將迅速代表接收者的用戶代理嘗試地址SIPmcs@university.edu.cn�����。如果只有一臺(tái)MCS����,并且其SIP URI是SIPmcs@university.edu.cn的話,那么最終接收者的請(qǐng)求到達(dá)該MCS���。
更有用的是�����,代理服務(wù)器能夠?yàn)橛脩魢L試多于一個(gè)的地址,這稱為派生代理�����。派生代理可以按照它的配置處理并行或順序的搜索�。一個(gè)并行搜索是同時(shí)嘗試搜索所有可能的位置���,而一個(gè)順序搜索是每次單獨(dú)地嘗試搜索一個(gè)位置。這就為創(chuàng)建MCS集群創(chuàng)造了條件�。派生代理接收到一個(gè)目的地址為SIPmcs@university.edu.cn的邀請(qǐng),它將首先嘗試與MCS-1聯(lián)系�����。因?yàn)镸CS-1上已經(jīng)達(dá)到了所請(qǐng)求組的預(yù)配置最大數(shù)量�����,所以MCS-1以“抱歉���,服務(wù)已滿”作為答復(fù)����。收到此答復(fù)后�����,派生代理繼續(xù)嘗試與MCS-2聯(lián)系����,MCS-2正好有空�����,所以它以“好��,我有空”作為應(yīng)答��。最終接收者的請(qǐng)求由MCS-2負(fù)責(zé)處理�����。若派生代理聯(lián)系了所有的MCS未找到可以提供服務(wù)的MCS��,則只好以失敗告終�,告訴接收者“服務(wù)已滿��,請(qǐng)稍候再試”�����。這樣也同時(shí)提供了一個(gè)控制本區(qū)域組內(nèi)最大成員數(shù)量的方法�����,而且消除了單個(gè)MCS帶來(lái)的性能瓶頸和單故障點(diǎn)���。區(qū)域的SIP代理服務(wù)器只需要路由用戶發(fā)往MCS的第一個(gè)SIP報(bào)文���,MCS服務(wù)器通過(guò)使用SIP的聯(lián)系(Contact)標(biāo)題頭,能夠使SIP代理服務(wù)器不再需要存在于后續(xù)的信令路徑中�����。通過(guò)改變請(qǐng)求到達(dá)時(shí)代理服務(wù)器聯(lián)系MCS的順序��,可以在各MCS之間進(jìn)行負(fù)載均衡��。一個(gè)配置的例子是輪轉(zhuǎn)法���。配置區(qū)域的SIP代理服務(wù)器�,使到達(dá)的請(qǐng)求首先嘗試聯(lián)系的MCS在各個(gè)MCS之間輪轉(zhuǎn)第一個(gè)到達(dá)的請(qǐng)求首先嘗試發(fā)給MCS-1�����,第二個(gè)到達(dá)的請(qǐng)求首先嘗試發(fā)給MCS-2����,第三個(gè)到達(dá)的請(qǐng)求首先嘗試發(fā)給MCS-1處理,依次輪轉(zhuǎn)���。這樣�,就獲得了負(fù)載均衡的能力,不至出現(xiàn)一臺(tái)MCS非常繁忙�����,另一臺(tái)MCS卻無(wú)事可做的情況出現(xiàn)�。
六、區(qū)域物理分割與邏輯分割區(qū)域物理分割是通過(guò)對(duì)區(qū)域的重新規(guī)劃�,在核心網(wǎng)上增加一個(gè)接入點(diǎn),將大區(qū)域分割為兩個(gè)小區(qū)域?qū)崿F(xiàn)的�����。每個(gè)小區(qū)域都部署了各自獨(dú)立的MBR和MCS����。根據(jù)MSSIP的特點(diǎn),各區(qū)域單獨(dú)處理各自區(qū)域內(nèi)的組成員變化��,區(qū)域有獨(dú)立的組密鑰�。因此物理分割能夠提高系統(tǒng)的可擴(kuò)展性。
區(qū)域邏輯分割邏輯分割需要引入組映射的概念���,即把一個(gè)組播組地址映射為另一個(gè)不同的組地址�,映射發(fā)生在區(qū)域MCS處�����。對(duì)于一個(gè)全局組播地址�����,可以在區(qū)域內(nèi)將其映射為多個(gè)站點(diǎn)局部組播地址���。例如對(duì)于IPv6全局組播地址FF1E::1���,將其映射為FF15::1和FF15::2,站點(diǎn)地址FF15::1和FF15::2只在本區(qū)域有效����。這樣,一個(gè)大的組播組就被分割為兩個(gè)小的組播組�����,它們都接收相同的組內(nèi)容��,但它們?cè)谶壿嬌鲜遣煌慕M,因此有不同的組密鑰���。通過(guò)這種分割�����,組成員變化的影響被限制在了更小的局部組范圍內(nèi)��,例如FF15::1的組成員變化不會(huì)引起FF15::2的組密鑰重分配�����。
邏輯分割即組映射發(fā)生在接收者發(fā)送INVITE請(qǐng)求加入組播組的時(shí)候����,在MCS上需要配置局部組地址的地址池���。當(dāng)請(qǐng)求到達(dá)MCS����,因?yàn)镸CS跟蹤組的所有成員����,所以它知道組的當(dāng)前規(guī)模。當(dāng)組規(guī)模很小的時(shí)候,組映射不必發(fā)生��,原始的組地址被直接使用���;當(dāng)規(guī)模達(dá)到一個(gè)配置的閾值,映射動(dòng)態(tài)地發(fā)生MCS從地址池中選取一個(gè)未使用的局部組地址�����,并建立映射關(guān)系�;MCS向請(qǐng)求組播服務(wù)的接收者發(fā)送503 Service Unavailable消息,在消息體中包含一個(gè)組映射指示和站點(diǎn)局部組地址�����,要求接收者重新向局部組地址發(fā)起加入請(qǐng)求��。
權(quán)利要求
1.一種基于會(huì)話初始化協(xié)議的安全組播方法�,其特征在于該方法由組播源及接收者訪問(wèn)控制及組密鑰管理、因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器�、區(qū)域組播控制服務(wù)器部署三部分構(gòu)成,其中組播源及接收者訪問(wèn)控制及組密鑰管理�����,使用會(huì)話初始化協(xié)議建立會(huì)話支持用戶身份驗(yàn)證,并可在建立會(huì)話的過(guò)程中交換加密/解密媒體的組密鑰以及源認(rèn)證等參數(shù)信息���;因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器提供了一個(gè)適配層����,為路由器上的組播路由系統(tǒng)提供其賴以工作的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文����;區(qū)域組播控制服務(wù)器部署,用以適應(yīng)大規(guī)模網(wǎng)絡(luò)中的管理需求�����。
2.根據(jù)權(quán)利要求1所述的基于會(huì)話初始化協(xié)議的安全組播方法�����,其特征在于所述的組播源及接收者訪問(wèn)控制及組密鑰管理的方法為安全組播源認(rèn)證根據(jù)網(wǎng)絡(luò)的層次特點(diǎn)采用兩階段方案�����,在核心網(wǎng)部分采用散列消息鑒別碼的認(rèn)證方式����;而用戶接入網(wǎng)具有高速�、低丟包率的特點(diǎn)�����,采用報(bào)文鏈等組播源認(rèn)證方式�,具體有以下步驟1)組播源發(fā)起身份驗(yàn)證過(guò)程在提供組播服務(wù)之前,組播源通過(guò)向組播控制服務(wù)器發(fā)送SIP請(qǐng)求消息發(fā)起身份驗(yàn)證過(guò)程���,SIP消息的消息體部分包含了組播組地址,并使用安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議封裝進(jìn)行加密和簽名�;2)組播控制服務(wù)器發(fā)出驗(yàn)證要求組播控制服務(wù)器向組播源返回未驗(yàn)證代碼401消息,要求對(duì)組播源身份進(jìn)行驗(yàn)證����;401消息的鑒別標(biāo)題頭攜帶了驗(yàn)證的方法和參數(shù);組播源收到此消息后����,向組播控制服務(wù)器發(fā)送一個(gè)確認(rèn)應(yīng)答;3)組播源發(fā)送回應(yīng)值組播源計(jì)算回應(yīng)值���,放入下一個(gè)請(qǐng)求的驗(yàn)證標(biāo)題頭中發(fā)送給組播控制服務(wù)器���;4)組播控制服務(wù)器計(jì)算回應(yīng)值并和收到信息中的回應(yīng)值對(duì)比驗(yàn)證正確后��,使用請(qǐng)求者的數(shù)字證書驗(yàn)證安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議簽名的正確性�����,然后使用組播控制服務(wù)器的私鑰解密消息體��,得到組播源所請(qǐng)求加入的組播組���;之后逐條確認(rèn)組播策略庫(kù)中的每條相關(guān)策略以決定是否接受源發(fā)送數(shù)據(jù);若拒絕�,則返回禁止代碼403消息,并在該消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)�����;若接受源的訪問(wèn)請(qǐng)求��,則向源返回確認(rèn)代碼200消息�,并在后面的步驟中通過(guò)配置離該源最近一跳的安全組播路由器上的防火墻允許該源的數(shù)據(jù)流通過(guò)這種操作對(duì)源進(jìn)行授權(quán);確認(rèn)代碼200消息的消息體中封裝了源所請(qǐng)求組播組的組密鑰����,組播源使用組密鑰加密組播流然后再發(fā)送到網(wǎng)絡(luò)上;收到該消息后��,組播源向組播控制服務(wù)器發(fā)送一個(gè)確認(rèn)應(yīng)答消息;5)安全組播路由器上部署防火墻和密碼模塊通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道���,組播控制服務(wù)器將防火墻控制信息發(fā)送給離源最近一跳的安全組播路由器��,允許該源的數(shù)據(jù)流通過(guò)��;同時(shí)����,組播控制服務(wù)器將組密鑰通告給與核心網(wǎng)相連的安全組播路由器����,當(dāng)組播流通過(guò)該路由器要轉(zhuǎn)發(fā)進(jìn)入核心網(wǎng)時(shí)�����,使用組密鑰解密組播流����;6)組播源開(kāi)始向網(wǎng)絡(luò)發(fā)送加密的組播數(shù)據(jù)流;7)組播源結(jié)束發(fā)送發(fā)送結(jié)束后�����,組播源向組播控制服務(wù)器發(fā)送結(jié)束消息結(jié)束會(huì)話,組播控制服務(wù)器以確認(rèn)代碼200應(yīng)答該請(qǐng)求���,并控制路由器關(guān)閉在防火墻上為源打開(kāi)的通道和刪除先前通告的組密鑰��;8)接收者加入組播組的第一步是將因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入消息放入SIP請(qǐng)求消息體部分發(fā)送給組播控制服務(wù)器��,并且該消息體經(jīng)過(guò)了加密和簽名�;組播控制服務(wù)器向接收者返回未驗(yàn)證代碼401消息���,要求對(duì)其身份進(jìn)行驗(yàn)證�����;除了消息體中封裝的是因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入消息外��,接收者與組播控制服務(wù)器交互的前四個(gè)消息與源訪問(wèn)控制中組播源與組播控制服務(wù)器交互的前四個(gè)消息相同����;9)組播控制服務(wù)器根據(jù)策略驗(yàn)證的結(jié)果決定對(duì)用戶授權(quán)��,或者返回禁止代碼403消息并在消息體中包含一個(gè)說(shuō)明拒絕原因的短語(yǔ)����;若接受接收者的訪問(wèn)請(qǐng)求�����,則向接收者返回確認(rèn)代碼200��,并在消息的消息體部分包含了一個(gè)用于解密該組組播數(shù)據(jù)的密鑰��,即組密鑰�,消息體通過(guò)安全多功能因特網(wǎng)郵件擴(kuò)展協(xié)議保護(hù)����;所謂的授權(quán)即將組密鑰通告給接收者,所謂的權(quán)限收回即將變更后的組密鑰通告給組中其它接收者�,沒(méi)有被通告新的組密鑰的成員將不能解密組播數(shù)據(jù)而被隔離出了組外;為保證加解密效率���,MSSIP使用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)對(duì)稱加密方式,因此確認(rèn)代碼200的消息體中封裝的是接收者所請(qǐng)求組的三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)密鑰�;10)通過(guò)預(yù)建立的網(wǎng)絡(luò)安全通道,組播控制服務(wù)器將由不活躍變?yōu)榛钴S的組以及由活躍變?yōu)椴换钴S的組關(guān)系信息通告給離該接收者最近一跳的安全組播路由器�����,并將組密鑰通告給與核心網(wǎng)相連的安全組播路由器����;這里�,安全組播路由器上的防火墻阻止接收者直接發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議加入組����,而只從組播控制服務(wù)器獲得活動(dòng)組信息;11)離該接收者最近一跳的安全組播路由器通過(guò)正常的組播路由系統(tǒng)加入組播樹(shù)�;位于核心網(wǎng)邊界的安全組播路由器用從組播控制服務(wù)器獲得的組密鑰加密組播數(shù)據(jù)流并向接入網(wǎng)內(nèi)轉(zhuǎn)發(fā);接收者用會(huì)話建立期間從組播控制服務(wù)器獲得的組密鑰解密組播數(shù)據(jù)�;12)接收者向組播控制服務(wù)器發(fā)送結(jié)束消息來(lái)結(jié)束會(huì)話,結(jié)束消息的消息體部分?jǐn)y帶了加密和簽名的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議離開(kāi)消息�����,組播控制服務(wù)器生成新的組密鑰����,并通告給組中其它成員和核心網(wǎng)邊界安全組播路由器,若組播組由活躍狀態(tài)轉(zhuǎn)為非活躍狀態(tài)����,則路由器停止轉(zhuǎn)發(fā)組播流。
3.根據(jù)權(quán)利要求1所述的基于會(huì)話初始化協(xié)議的安全組播方法�,其特征在于所述的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器的方法為在MSSIP系統(tǒng)中,組播接收者通過(guò)向組播控制服務(wù)器發(fā)送SIP請(qǐng)求加入組播組而不是直接向路由器發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文,但因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議對(duì)于組播路由器的操作是至關(guān)重要的����,組播路由器需要通過(guò)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議了解其直接連接的子網(wǎng)上是否有組播組處于活動(dòng)狀態(tài);為了避免過(guò)多地改動(dòng)組播路由器的操作�,MSSIP引入了因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊,其流程如下1)組播控制服務(wù)器保存有區(qū)域中所有安全組播路由器的接口地址信息���,當(dāng)收到用戶加入/離開(kāi)組請(qǐng)求時(shí)���,組播控制服務(wù)器判斷是否組狀態(tài)發(fā)生變化,即組從非活躍狀態(tài)變?yōu)榛钴S狀態(tài)�,或從活躍狀態(tài)變?yōu)榉腔钴S狀態(tài);若組狀態(tài)發(fā)生了變化����,則組播控制服務(wù)器將變化信息通告給離用戶最近一跳的安全組播路由器上的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊;2)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊接收組播控制服務(wù)器發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表�,當(dāng)從組播控制服務(wù)器了解到活動(dòng)組有變化時(shí),因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊主動(dòng)產(chǎn)生因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)告報(bào)文發(fā)給所在的路由器�;當(dāng)路由器組播路由系統(tǒng)向子網(wǎng)發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)查詢報(bào)文時(shí),該模塊截獲查詢報(bào)文���,并根據(jù)活動(dòng)組地址列表代為產(chǎn)生一個(gè)因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)報(bào)告給組播路由系統(tǒng),安全組播路由器上的防火墻阻塞從網(wǎng)絡(luò)接口接收到的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文;3)組播控制服務(wù)器上不僅保存有活動(dòng)組的信息�����,還有組的詳細(xì)成員列表���,但只有當(dāng)活動(dòng)組發(fā)生變化時(shí)才需要向因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊通告���;當(dāng)收到加入組請(qǐng)求時(shí),組播控制服務(wù)器查詢本地?cái)?shù)據(jù)庫(kù)��,若組是活動(dòng)的����,說(shuō)明路由器已經(jīng)開(kāi)始向接入網(wǎng)轉(zhuǎn)發(fā)該組的組播數(shù)據(jù)流了,則路由器上的組關(guān)系不必改變���,只需要通告新的組密鑰即可���;若組不存在,則在本地?cái)?shù)據(jù)庫(kù)中添加組關(guān)系和成員列表���,并向路由器通告組信息和組密鑰�;當(dāng)收到離開(kāi)組請(qǐng)求時(shí),組播控制服務(wù)器查詢本地?cái)?shù)據(jù)庫(kù)����,若是該組的最后一臺(tái)主機(jī),則向路由器通告組信息���,并刪除本地該組的所有信息����;否則組播控制服務(wù)器只把該成員從本地?cái)?shù)據(jù)庫(kù)該組中刪除�,并只向路由器通告新的組密鑰,這時(shí)路由器上的組信息沒(méi)有變化��;4)安全組播路由器因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊接收組播控制服務(wù)器發(fā)來(lái)的組關(guān)系信息并在本地維護(hù)一個(gè)活動(dòng)組地址列表����;MSSIP為每個(gè)區(qū)域配置了一臺(tái)組播控制服務(wù)器,負(fù)責(zé)該區(qū)域的組播業(yè)務(wù)安全控制����;通常情況下區(qū)域內(nèi)都不止一臺(tái)路由器,只在核心網(wǎng)的邊界路由器上進(jìn)行訪問(wèn)控制和加密是不夠的��,為此MSSIP定義了兩種安全組播路由器角色連接核心網(wǎng)和某區(qū)域的組播邊界路由器����,以及只在區(qū)域內(nèi)有接口并且有主機(jī)直接連接的組播區(qū)域路由器;組播控制服務(wù)器需要與本區(qū)域所有這些組播邊界路由器和組播區(qū)域路由器建立網(wǎng)絡(luò)安全連接�,并在本地保存它們的相關(guān)信息;主機(jī)加入組播組不是通過(guò)直接發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議報(bào)文����,而是向組播控制服務(wù)器發(fā)送訪問(wèn)請(qǐng)求,因此組播邊界路由器和組播區(qū)域路由器就需要某種途徑獲得其直連子網(wǎng)上的組關(guān)系��;這是通過(guò)在其上部署因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊實(shí)現(xiàn)的當(dāng)主機(jī)加入某組播組的請(qǐng)求獲得組播控制服務(wù)器認(rèn)可后�,組播控制服務(wù)器通過(guò)檢查主機(jī)發(fā)出請(qǐng)求的網(wǎng)絡(luò)地址以及保存在組播控制服務(wù)器上的路由器信息,可以確定主機(jī)所接入的路由器以及連接的接口�;通過(guò)網(wǎng)絡(luò)安全通道,組播控制服務(wù)器指示該路由器上的因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議適配器模塊向路由器的組播路由系統(tǒng)發(fā)送因特網(wǎng)組管理協(xié)議/組播接收者發(fā)現(xiàn)協(xié)議組播偵聽(tīng)報(bào)告報(bào)文�����,向路由器報(bào)告有新組轉(zhuǎn)為活動(dòng)狀態(tài)���,則該路由器通過(guò)組播路由協(xié)議加入組播分布樹(shù)�����,開(kāi)始轉(zhuǎn)發(fā)組播流���。
4.根據(jù)權(quán)利要求1所述的基于會(huì)話初始化協(xié)議的安全組播方法����,其特征在于所述的區(qū)域組播控制服務(wù)器部署方法為針對(duì)大規(guī)模網(wǎng)絡(luò)�,MSSIP提供了三種系統(tǒng)擴(kuò)展性方法,步驟如下1)區(qū)域組播控制服務(wù)器集群使用SIP代理服務(wù)器可以創(chuàng)建由多個(gè)組播控制服務(wù)器組成的集群����。假設(shè)區(qū)域university.edu.cn有一個(gè)處理進(jìn)入邀請(qǐng)的代理服務(wù)器,當(dāng)接收者嘗試地址“SIPmcs@university.edu.cn”時(shí)�����,它將首先到達(dá)“university.edu.cn”區(qū)域的代理服務(wù)器�����;這個(gè)服務(wù)器將迅速代表接收者的用戶代理嘗試地址“SIPmcs@university.edu.cn”����;在集群的情況下,區(qū)域有一個(gè)由兩臺(tái)組播控制服務(wù)器即組播控制服務(wù)器-1和組播控制服務(wù)器-2組成的集群�,代理服務(wù)器首先嘗試與組播控制服務(wù)器-1聯(lián)系,如組播控制服務(wù)器-1上已經(jīng)達(dá)到了所請(qǐng)求組的預(yù)配置最大數(shù)量���,組播控制服務(wù)器-1將以“抱歉��,服務(wù)已滿”作為答復(fù)��;收到此答復(fù)后�����,代理繼續(xù)嘗試與組播控制服務(wù)器-2聯(lián)系����,組播控制服務(wù)器-2正好有空��,它以“好����,我有空”作為應(yīng)答,最終接收者的請(qǐng)求由組播控制服務(wù)器-2負(fù)責(zé)處理�;通過(guò)改變請(qǐng)求到達(dá)時(shí)代理服務(wù)器聯(lián)系組播控制服務(wù)器的順序,可以在各組播控制服務(wù)器之間進(jìn)行負(fù)載均衡��;2)區(qū)域物理分割當(dāng)區(qū)域過(guò)度膨脹�,通過(guò)增加組播控制服務(wù)器也不能解決問(wèn)題時(shí),可以對(duì)區(qū)域進(jìn)行分割���;所謂的物理分割就像細(xì)胞分裂一樣��,一個(gè)大的區(qū)域分裂為兩個(gè)小的區(qū)域��,每個(gè)小區(qū)域有自己獨(dú)立的組播控制服務(wù)器�,單獨(dú)處理各自區(qū)域內(nèi)的組成員變化,區(qū)域有獨(dú)立的組密鑰�����;區(qū)域物理分割對(duì)用戶是不透明的�,當(dāng)發(fā)生物理分割時(shí),用戶可能需要重配置他們的計(jì)算機(jī)��;3)區(qū)域邏輯分割當(dāng)加入組請(qǐng)求到達(dá)組播控制服務(wù)器��,組播控制服務(wù)器跟蹤組的所有成員知道組的當(dāng)前規(guī)模�����,當(dāng)組規(guī)模達(dá)到一個(gè)配置的閾值�����,分割動(dòng)態(tài)地發(fā)生組播控制服務(wù)器從欲配置的組播地址池中選取一個(gè)未使用的局部組地址����,并建立映射關(guān)系�����;組播控制服務(wù)器向請(qǐng)求組播服務(wù)的接收者發(fā)送服務(wù)不可用代碼503消息�,在消息體中包含一個(gè)組映射指示和站點(diǎn)局部組地址�����,要求接收者重新向局部組地址發(fā)起加入請(qǐng)求��,同時(shí)組播控制服務(wù)器指示核心網(wǎng)邊界處的安全組播路由器將原始組的數(shù)據(jù)復(fù)制一份到映射組�����,并分別用各自組的組密鑰加密��;邏輯分割操作對(duì)用戶是透明的�。
全文摘要
基于會(huì)話初始化協(xié)議的安全組播方法是第一個(gè)提出使用會(huì)話初始化協(xié)議實(shí)施安全組播業(yè)務(wù)的方法�。該方法提出了解決組播安全的一整套方案,包括組播源訪問(wèn)控制����、組播接收者訪問(wèn)控制��、組密鑰管理�、組播源鑒別以及業(yè)務(wù)統(tǒng)計(jì)與計(jì)費(fèi)能力�����。該方法選擇網(wǎng)絡(luò)中的路由器對(duì)組播數(shù)據(jù)進(jìn)行加密�����,來(lái)保證對(duì)業(yè)務(wù)的訪問(wèn)控制和安全通信����;采用兩階段的組播源認(rèn)證方法;IGMP/MLD適配器層使部署該方法時(shí)����,傳統(tǒng)的組播路由系統(tǒng)的工作方式不必發(fā)生改變;提供了區(qū)域組播控制服務(wù)器集群���、區(qū)域物理分割和區(qū)域邏輯分割三種擴(kuò)展技術(shù)�����,其擴(kuò)展性可適用于大規(guī)模網(wǎng)絡(luò)環(huán)境�、眾多用戶同時(shí)使用的要求。該方法在核心網(wǎng)邊緣和用戶接入網(wǎng)內(nèi)進(jìn)行組播安全控制�,核心網(wǎng)不必發(fā)生任何變化。
文檔編號(hào)H04L29/06GK1874224SQ200610085558
公開(kāi)日2006年12月6日 申請(qǐng)日期2006年6月23日 優(yōu)先權(quán)日2006年6月23日
發(fā)明者曹爭(zhēng), 王劍 申請(qǐng)人:東南大學(xué)