專利名稱：采用基于ip層虛擬專用網(wǎng)建立安全組播隧道的技術的制作方法
技術領域：
本發(fā)明涉及網(wǎng)絡安全技術，采用Internet安全協(xié)議IPSec構建的虛擬專用網(wǎng)(VPN)技術來建立用于保護組播通信的安全組播隧道，是對組播通信進行保護的一種新穎的實現(xiàn)方式。
數(shù)據(jù)傳送有三種基本方式，一種叫單播，針對主機到主機通信；一種叫廣播，針對一臺主機到子網(wǎng)內所有主機的通信；第三種叫組播，采用Internet規(guī)定的組播地址(從224.0.0.0到239.255.255.255)，只有組成員能收到組播數(shù)據(jù)。組的生成采用Internet組管理協(xié)議(IGMP)控制。組播節(jié)省了大量網(wǎng)絡帶寬，可以實現(xiàn)視頻點播等運用，是寬帶運用下的熱點，也是未來發(fā)展的重點?，F(xiàn)有的組播缺點是不安全，任何人都可以加入組，也可以退出組，這對一些采用組播技術的運用如電子政務會議的安全威脅很大，因此安全組播越來越受重視。但是由于組播針對的是組地址，它的實體是許多臺機器，如果采用單播下的安全協(xié)議如Internet密鑰交換協(xié)議(IKE)，那么連接的發(fā)起者只有一個，但是響應者卻有許多個，如何進行協(xié)商呢？如何對組成員身份進行鑒別呢？因此，單播下的安全協(xié)議IKE、IPSec不能直接用于組播。這是組播發(fā)展的難點。
組播的發(fā)展，是由于需要以一種可擴展的方式支持一對多或多對多的運用。目前組播的商業(yè)運用越來越受重視，但是安全性卻構成組播廣泛運用的制約因素之一。實現(xiàn)安全組播的關鍵問題是用戶權限撤銷問題即新用戶加入組時的安全策略配置問題(如密鑰分發(fā)問題)和用戶退出組的策略更新問題(或密鑰更新問題)。解決該關鍵問題的方法有第一種基本的方法是每個用戶分別與組播源擁有一個共同的密鑰(預共享密鑰一Ks)，組播源采用在Ks保護下分發(fā)組播數(shù)據(jù)加密密鑰(Kd)；當用戶加入時，組播源采用Kd重新分發(fā)給老用戶Kd’，用Ks給新用戶分發(fā)Kd’；當用戶退出時，組播源采用Ks重新分發(fā)Kd”。該方法的缺點是當用戶數(shù)量較多時，密鑰分發(fā)效率低，此外預共享密鑰缺乏足夠的用戶身份認證。
第二種方法是在第一種方法的基礎上將組播組分為若干層次樹，每一個樹枝具有一個控制點，在每個控制點內按照第一種方法來進行，同層次的控制點又有一個更高一級的控制點，以此類推。該方法的缺點是控制節(jié)點不能隨意更改和撤銷，也即控制節(jié)點成為安全的薄弱點。
第三種方法是采用公開密鑰技術，如采用Diffie-Hellman(簡稱為D-H)來進行密鑰的更新，D-H交換安全性較差，容易受到中間人攻擊。
IPSec VPN是一種在不安全的Internet線路上構建的IP層安全的虛擬專用網(wǎng)絡，它主要用于保護主機和個人的通信，將保護主機或網(wǎng)段的IPSec VPN用于安全組播是一種新穎的實現(xiàn)方式。
計算機安全通信中的安全方案包括了兩個方面的內容一是數(shù)據(jù)的安全處理；二是數(shù)據(jù)處理所需要的密鑰管理方案，包括密鑰的產生、分發(fā)、管理、生存期等參數(shù)。目前有兩種基本的密鑰管理方案第一種是基于對稱密鑰體制的管理方案，該方法中最基本的密鑰采用離線分發(fā)方式；第二種是采用基于非對稱密鑰體制的管理方案，該方法最基本的思想是采用非對稱算法，公開密鑰等公有信息可以在網(wǎng)上傳播，從公有信息很難推斷出用戶的私有信息。常見的是D-H交換。與非對稱密鑰管理方案配合的是對通信雙方身份的認證，因此需要CA、PKI等基礎設施并利用數(shù)字簽名等技術。為了規(guī)范IPSec通信環(huán)境下的密鑰管理，Internet任務組(IETF)制定了一種標準的安全關聯(lián)生成框架-ISAKMP。在此框架上可以進行密鑰的交換、管理，IKE就是建立在ISAKMP框架上的一種協(xié)議。IKE工作時分為兩個主要階段，一個為主模式階段，另一個為快速模式階段。主模式用來形成基本的安全通道，用來保護快速模式，該階段形成的安全關聯(lián)叫ISAKMP SA；快速模式形成保護數(shù)據(jù)通信的安全通道，該階段形成的安全關聯(lián)叫IPSec SA。
本發(fā)明的實現(xiàn)原理是組播源采用IGMP控制信息建立組播組，成員通過IGMP加入組，組播源于是得到組播成員列表。在收集組播成員的基礎上，組播源和成員采用IKE進行協(xié)商。協(xié)商的結果形成組播源和成員之間的安全隧道(本專利中簡稱為“個人隧道”)，然后組播源采用硬件卡生成了組播數(shù)據(jù)加密密鑰Kd，通過“個人隧道”，組播源把Kd安全傳送給組成員，組成員在Kd的基礎上，擴充安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB，從而形成組播源和組成員之間的組播安全隧道(本專利中簡稱為“組播隧道”，用英文MVPN表示)。
假設組播源和老成員之間的組播隧道用MVPN1表示，當新用戶加入時，組播源和新用戶進行IKE協(xié)商，形成組播源和新成員之間的個人隧道，之后組播源通過個人隧道分發(fā)給新成員組播數(shù)據(jù)加密密鑰Kd，新成員擴充自己的SPDB和SADB，形成組播源和新成員之間的新組播隧道MVPN2。然后組播源和老成員之間采用組播隧道MVPN1分發(fā)組播數(shù)據(jù)加密密鑰Kd，在Kd的基礎上，組播隧道MVPN1更新為MVPN2。于是，所有成員可以通過組播隧道MVPN2獲得信息。
當用戶退出時，組播源重新生成組播數(shù)據(jù)加密密鑰(為了表示該組播數(shù)據(jù)加密密鑰和以前的組播數(shù)據(jù)加密密鑰不同，用Kd’表示)，組播源采用組播源和余下成員之間的個人隧道分發(fā)Kd’。在Kd’基礎上，組播隧道由MVPN1更新為MVPN2。于是，剩下的所有成員可以通過組播隧道MVPN2獲得信息。
本發(fā)明的特征在于采用Internet密鑰管理協(xié)議IKE形成的虛擬專用網(wǎng)絡IPSec VPN來進行組播密鑰的分發(fā)，通過擴充組播安全策略庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB形成組播安全通道MVPN，然后數(shù)據(jù)通過MVPN進行組播數(shù)據(jù)的傳送。
本發(fā)明的具體步驟為A組播源采用IGMP控制信息建立組播組；B組播源監(jiān)控組成員狀態(tài)的變化；當有用戶加入時，根據(jù)新加入的用戶和老用戶的不同，采用不同的步驟，如下對新加入的用戶，步驟為C到F
C組播源和成員進行IKE協(xié)商，形成個人隧道；D通過個人隧道分發(fā)組播數(shù)據(jù)加密密鑰Kd；E成員擴充自己的安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB，形成組播隧道MVPN2；F數(shù)據(jù)通過組播隧道MVPN2傳送。
對老用戶，步驟為G到IG組播源通過原組播隧道MVPN1傳送老用戶Kd；H成員更新組播隧道，即組播隧道由MVPN1更新為MVPN2；I數(shù)據(jù)通過更新后的組播隧道MVPN2傳送。
當有成員退出時，步驟為J到M。
J組播源生成新的組播數(shù)據(jù)加密密鑰Kd’；K組播源和余下成員通過個人隧道傳送Kd’；L成員將組播隧道MVPN1更新為MVPN2；M數(shù)據(jù)通過更新后的MVPN2傳送。
本發(fā)明所述的新用戶加入步驟中，有新用戶加入時，采用IKE協(xié)商個人隧道，在個人隧道的基礎上，形成組播隧道；老用戶則將老組播隧道進行更新；有用戶退出時，在已有個人隧道的基礎上，進行老組播隧道的更新。
本發(fā)明當新用戶加入時，在個人隧道的基礎上，需要對安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB進行更新，以建立組播的隧道。
本發(fā)明采用IKE進行密鑰分發(fā)，可以進行針對用戶或主機的認證，在此基礎上進行采用IPSec VPN組播密鑰分發(fā)，具有安全性高的特點。采用擴充的安全策略數(shù)據(jù)庫和安全關聯(lián)數(shù)據(jù)庫，將IPSecVPN的隧道由用戶推廣到組，形成安全組播VPN-MVPN，組播數(shù)據(jù)通過MVPN來傳送，由于IPSec VPN具有針對主機到主機或用戶到用戶的特點，因此安全性更高。
本發(fā)明采用了非對稱密鑰體制，不直接依靠預共享密鑰，適用于Internet網(wǎng)上運用；組播密鑰的分發(fā)依靠IKE和IPSec VPN，利用了兩者的優(yōu)點，對組播成員的鑒別性好；組播數(shù)據(jù)通過采用加密和認證等方式形成的主機和主機或網(wǎng)段和網(wǎng)段之間的組安全通道MVPN傳送，安全性好。
附圖及其圖面說明

圖1本發(fā)明的流程圖其中守護進程用來監(jiān)控組成員的狀態(tài)，比如是否有成員加入和退出。如果有加入，則對新加入者和原有成員分別進行不同的處理。如果有退出，則按照流程進行處理。
本發(fā)明的具體步驟為組播源采用IGMP控制信息建立組播組，成員通過IGMP加入該組。組播源不斷檢測是否有成員加入。
當組播源檢測到有用戶加入時，組播源馬上和新加入成員進行IKE的信息交換，此交換不僅完成了組播源對成員的身份認證，也生成了組播源和成員之間的安全隧道一個人隧道。然后組播源生成保護組播數(shù)據(jù)通信的密鑰Kd，對新成員和老成員采用不同的方法將密鑰發(fā)送過去。對新成員，由于還沒有針對組播的隧道，因此Kd通過個人隧道發(fā)送。然后新成員需要擴充自己的安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB，形成組隧道MVPN。對于老成員，由于已經存在了組播隧道，因此Kd直接通過組播隧道分發(fā)。
當組播源檢測到有用戶退出時，組播源于是生成新的組播數(shù)據(jù)加密密鑰Kd’，此時組播源和余下成員通過個人隧道傳送Kd’，在Kd’的基礎上進行組播隧道的更新，然后組播數(shù)據(jù)通過更新后的組播隧道傳送。
本發(fā)明所述的上述方式在Linux下用ANSIC實現(xiàn)。
權利要求
1.采用基于IP層虛擬專用網(wǎng)建立安全組播隧道的技術，其特征在于采用Internet密鑰管理協(xié)議IKE形成的虛擬專用網(wǎng)IPSec VPN來進行組播密鑰的分發(fā)，且對組播安全策略庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB進行擴充形成組安全隧道MVPN，數(shù)據(jù)通過MVPN進行組播數(shù)據(jù)的發(fā)送。
2.根據(jù)權利要求1所述的用基于IP層虛擬專用網(wǎng)建立安全組播隧道的技術，其特征在于所述的虛擬專用網(wǎng)絡IPSec VPN是在一種不安全的Internet線路上構建LP層安全的虛擬專用網(wǎng)絡。
3.根據(jù)權利要求1所述的用基于IP層虛擬專用網(wǎng)建立現(xiàn)安全組播隧道的技術，其所述的具體步驟為A組播源采用IGMP控制信息建立組播組；B組播源監(jiān)控組成員狀態(tài)的變化；當有用戶加入時，根據(jù)新加入的用戶和老用戶的不同，采用不同的步驟，如下對新加入的用戶，步驟為C到FC組播源和成員進行IKE協(xié)商，形成個人隧道；D通過個人隧道分發(fā)組播數(shù)據(jù)加密密鑰Kd；E成員擴充自己的安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB，形成組播隧道MVPN2；F數(shù)據(jù)通過組播隧道MVPN2傳送。對老用戶，步驟為G到IG組播源通過原組播隧道MVPN1傳送老用戶Kd；H成員更新組播隧道，即組播隧道由MVPN1更新為MVPN2；I數(shù)據(jù)通過更新后的組播隧道MVPN2傳送。當有成員退出時，步驟為J到M。J組播源生成新的組播數(shù)據(jù)加密密鑰Kd’；K組播源和余下成員通過個人隧道傳送Kd’；L成員將組播隧道MVPN1更新為MVPN2；M數(shù)據(jù)通過更新后的MVPN2傳送。
4.根據(jù)權利要求1或3所述的用基于IP層虛擬專用網(wǎng)建立安全組播隧道的技術，其特征在于所述的新用戶加入步驟中，有新用戶加入時，采用IKE協(xié)商個人隧道，在個人隧道的基礎上，形成組播隧道；老用戶則將老組播隧道進行更新；有用戶退出時，在已有個人隧道的基礎上，進行老組播隧道的更新。
5.根據(jù)權利要求1或3所述的用基于IP層虛擬專用建立安全組播隧道的技術，其特征是當新用戶加入時，在個人隧道的基礎上，需要對安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB進行更新，以建立組播的隧道。
全文摘要
本發(fā)明公開了一種在不安全的Internet線路上采用基于IP層虛擬專用網(wǎng)建立安全組播隧道技術的新穎方式。主要采用了Internet密鑰交換協(xié)議IKE形成的虛擬專用網(wǎng)IPSecVPN進行組播密鑰的分發(fā)，并擴充安全策略數(shù)據(jù)庫SPDB和安全關聯(lián)數(shù)據(jù)庫SADB以形成組播隧道MVPN，在此基礎上進行數(shù)據(jù)傳送。并根據(jù)加入和退出組不同的情況，分別進行不同的密鑰更新方法。本發(fā)明適用于Internet網(wǎng)上運用，對組播成員的鑒別性好，組播數(shù)據(jù)傳送的保密安全性高。
文檔編號H04L9/00GK1399441SQ0213338
公開日2003年2月26日 申請日期2002年6月28日 優(yōu)先權日2002年6月28日
發(fā)明者吳鴻鐘, 羅慧, 譚興烈, 張世雄 申請人:成都衛(wèi)士通信息產業(yè)股份有限公司