安全IP組播通信技術研究.pdf

1、IP組播技術為群組應用提供了一種高效的傳輸機制，但是由于缺乏對安全性、流量管理以及可靠性等方面的有效支持，使得IP組播的應用還很受限制。其中組播安全性是關鍵因素之一。在IP組播通信中，對傳輸的數據要提供機密性、完整性以及源認證性保護。而且，由于IP組播模型的開放性，使得其極易遭受：DoS攻擊，因此也必須對IP組播組成員實施有效的訪問控制機制。 本文對安全IP組播的大部分領域進行了詳細的研究，主要創(chuàng)新點和研究內容包括： 1

2、.組密鑰協(xié)定是適用于動態(tài)對等組組播應用的組密鑰分發(fā)方案，此類方案一般是基于對Diffie-Hellman密鑰交換協(xié)議進行擴展而加以實現的，衡量其優(yōu)劣的主要指標就是模指數運算的開銷。本文提出了一種基于Diffie-Hellman密鑰交換協(xié)議以及邏輯密鑰樹思想的分布式組密鑰管理方案，與當前基于DH密鑰交換協(xié)議中整體性能最優(yōu)的TGDH方案相比，組成員加入時模指數運算最多的組成員的模指數運算開銷降低了33％，如果不引起邏輯密鑰樹平衡性失調，組成

3、員退出時新方案中不需要模指數運算，即使引起邏輯密鑰樹平衡性失調，新方案中指數運算最多的組成員的模指數運算開銷也降低了33％。其余組成員所需的模指數運算開銷也大大低于TGDH方案。 2.對于成員數量很多的單對多、少對多組播應用來說，通常采取集中式組密鑰管理方案，通過引入異或運算以及單向函數鏈技術，本文提出了一種基于邏輯密鑰樹的集中式組密鑰管理的改進算法，降低了組密鑰更新時的通信、計算以及存儲開銷。 3.對當前存在的幾種典型

4、的組播源認證機制進行了對比研究。提出了一種基于數字簽名以及單向函數值鏈的組播源認證機制。與當前存在的機制相比，該機制不需要發(fā)送方積累一定的報文才能產生源認證信息，而接收方收到組播報文后也能立即進行源認證驗證，因而適合于不能容忍認證延遲的實時組播應用。 4.傳統(tǒng)IP組播模型的開放性使得整個IP組播體系架構易于遭受DoS攻擊，因而有必要引入IP組播組的接收者、發(fā)送者訪問控制技術。通過引入雙邏輯密鑰樹結構以及訪問控制密鑰對Gothic

5、方案進行了改進，降低了參與訪問控制的邊緣路由器的計算開銷，并消除了Gothic方案中組成員與組播路由器之間必須存在安全信任關系的限制。提出了基于雙邏輯密鑰樹的發(fā)送者訪問控制技術，分析了存在接收者訪問控制機制的安全組播環(huán)境中組密鑰管理方案的安全需求的變化以及組密鑰更新規(guī)則的變化。 5.不同的組播應用對于組播的安全性需求不同，而且對組播的安全需求隨著新組播應用的出現也會發(fā)生變化，提供一個相對穩(wěn)定的安全IP組播基礎設施以滿足變化的安全