真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)下安全組播研究.ppt

1、2021/1/11,1,真實(shí)源地址驗(yàn)證體系結(jié)構(gòu)下安全組播研究,陳 越,2、基于身份密碼及流認(rèn)證的IPv6源 地址驗(yàn)證方法,3、真實(shí)源地址框架下的特定源組播,內(nèi) 容,2,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實(shí)源地址驗(yàn)證的需求和概念,5、組播研究的熱點(diǎn)問題,1、真實(shí)源地址驗(yàn)證的需求和概念,研究背景 結(jié)合與上海交通大學(xué)、清華大學(xué)、國防科大、XXXXDDDD、東北大學(xué)等合作承擔(dān)的國家科技支撐“國家科技支撐計(jì)劃課題“新一代可信任互聯(lián)網(wǎng)可擴(kuò)展路由關(guān)鍵技術(shù)”中的研究內(nèi)容進(jìn)行匯報(bào)和交流。 XXXXDDDD承擔(dān)部分是功能可擴(kuò)展和安全可擴(kuò)展部分的研究內(nèi)容。 目標(biāo)：針對新一代可信任互聯(lián)網(wǎng)可

2、擴(kuò)展路由體系結(jié)構(gòu)下組播安全所面臨的挑戰(zhàn)及現(xiàn)有工作的不足，集中于SAVA下跨域安全組播、組密鑰管理、安全組成員管理等組播安全關(guān)鍵技術(shù)的研究，旨在為新一代可信任互聯(lián)網(wǎng)中的組播通信提供安全支持,3,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,下一代互聯(lián)網(wǎng)真實(shí)源地址驗(yàn)證的需求 現(xiàn)有互聯(lián)網(wǎng)的 IP 分組轉(zhuǎn)發(fā)，主要基于目的IP 地址，很少對分組的IP 源地址的真實(shí)性進(jìn)行檢查, 這使得分組的IP 源地址容易偽造。網(wǎng)絡(luò)攻擊者常常通過偽造分組的IP 源地址逃避承擔(dān)責(zé)任。 IP 源地址驗(yàn)證已經(jīng)成為互聯(lián)網(wǎng)面臨的一個(gè)挑戰(zhàn)性的問題,4,2021/1/11,真實(shí)IP源地址的三重含義 經(jīng)授權(quán)的。IP 源地址必須是經(jīng)

3、互聯(lián)網(wǎng)IP 地址管理機(jī)構(gòu)分配授權(quán)的，不能偽造。 唯一的。IP 源地址必須是全局唯一的，除了在對全局唯一性不做要求的特殊情形以外。 可追溯的。網(wǎng)絡(luò)中轉(zhuǎn)發(fā)的IP 分組，可以根據(jù)其IP 源地址找到其所有者和位置,5,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,真實(shí)IP源地址可以實(shí)現(xiàn)的功能 這一體系結(jié)構(gòu)的實(shí)現(xiàn)可以使得互聯(lián)網(wǎng)中攜帶真實(shí)IP 源地址的分組更容易被追蹤，攜帶偽造IP 源地址的分組無法轉(zhuǎn)發(fā)，被丟棄。此外還有以下功能： 可以實(shí)現(xiàn)更精細(xì)粒度的網(wǎng)絡(luò)管理和計(jì)費(fèi)。由于實(shí)現(xiàn)全局唯一的IP 地址到用戶應(yīng)用的映射更加容易，網(wǎng)絡(luò)管理系統(tǒng)可以更容易對端到端的應(yīng)用實(shí)現(xiàn)計(jì)費(fèi)，如同現(xiàn)有電話網(wǎng)絡(luò)一樣。 安全認(rèn)證可

4、以得到一定程度的簡化。傳統(tǒng)的認(rèn)證多基于加密方法。如果實(shí)現(xiàn)真實(shí)IPv6源地址驗(yàn)證體系結(jié)構(gòu)，真實(shí)IPv6 源地址和上層實(shí)體間的映射可以為認(rèn)證提供幫助。 新的互聯(lián)網(wǎng)應(yīng)用，例如P2P 應(yīng)用和基于SIP 的大規(guī)模多媒體應(yīng)用，由于采用了全局唯一的IP 源地址，可以簡化實(shí)現(xiàn)，提高性能，更方便部署,6,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,真實(shí)IP源地址的體系結(jié)構(gòu),7,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,接入子網(wǎng)真實(shí)IPv6源地址驗(yàn)證 接入子網(wǎng)真實(shí)IPv6源地址驗(yàn)證是體系結(jié)構(gòu)的重要組成部分，實(shí)現(xiàn)端系統(tǒng)IP地址一級的細(xì)粒度的真實(shí)IPv6 源地址驗(yàn)證。如果沒有這一級驗(yàn)證，一個(gè)主機(jī)依然

5、可以偽造IP前綴相同的同一子網(wǎng)內(nèi)其他主機(jī)的地址。其具有以下特點(diǎn): 所有相關(guān)網(wǎng)絡(luò)設(shè)備在同一個(gè)網(wǎng)絡(luò)管理機(jī)構(gòu)管理控制下。 解決方案與接入子網(wǎng)的地址管理分配和控制策略密切相關(guān)。 解決方案與端系統(tǒng)的接入方式密切相關(guān),8,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,自治系統(tǒng)內(nèi)真實(shí)IPv6源地址驗(yàn)證 其目標(biāo)是實(shí)現(xiàn)IP地址前綴粒度的真實(shí)IPv6 源地址驗(yàn)證，因?yàn)樽灾蜗到y(tǒng)內(nèi)的網(wǎng)絡(luò)設(shè)備都在同一個(gè)管理機(jī)構(gòu)管理之下，主要的驗(yàn)證機(jī)制只需部署在運(yùn)營商網(wǎng)絡(luò)和接入網(wǎng)絡(luò)的邊界。 解決方案的主要思想是在路由器上部署入口過濾驗(yàn)證規(guī)則, 這些規(guī)則把每一個(gè)路由器的接口和一組真實(shí)有效的IP地址前綴關(guān)聯(lián)起來,9,2021/1/11

6、,1、真實(shí)源地址驗(yàn)證的需求和概念,自治系統(tǒng)間真實(shí)IPv6源地址驗(yàn)證 這是最復(fù)雜的一個(gè)層次，其目標(biāo)是實(shí)現(xiàn)自治系統(tǒng)粒度的真實(shí)IPv6源地址驗(yàn)證。自治系統(tǒng)間真實(shí)IPv6源地址驗(yàn)證具有如下特點(diǎn): 需要在不同自治系統(tǒng)間協(xié)同工作。 機(jī)制必須簡單輕權(quán)，不給自治系統(tǒng)間的高速通信帶來明顯影響,10,2021/1/11,1、真實(shí)源地址驗(yàn)證的需求和概念,自治系統(tǒng)間真實(shí)IPv6源地址驗(yàn)證,11,2021/1/11,自治系統(tǒng)間真實(shí)IPv6源地址驗(yàn)證需要建立協(xié)同工作機(jī)制，具體做法是在網(wǎng)絡(luò)中部署一臺注冊服務(wù)器用以向各個(gè)自治系統(tǒng)提供協(xié)同服務(wù),1、真實(shí)源地址驗(yàn)證的需求和概念,12,2021/1/11,Add signature

7、,check signature, valid,Remove signature,Ingress filtering,Check signature, invalid,Unsigned Flow,Signed Flow,1.綠線向自治系統(tǒng)注冊，獲取可被驗(yàn)證的簽名,2藍(lán)線為注冊過的數(shù)據(jù)流,4紅線表示未經(jīng)過注冊的攻擊者,3經(jīng)過注冊的IP地址通過自治系統(tǒng)時(shí)，對簽名進(jìn)行驗(yàn)證，通過驗(yàn)證則去掉簽名并向下轉(zhuǎn)發(fā)，反之丟棄,1、真實(shí)源地址驗(yàn)證的需求和概念,2、基于身份密碼及流認(rèn)證的IPv6源 地址驗(yàn)證方法,3、真實(shí)源地址框架下的特定源組播,內(nèi) 容,13,2021/1/11,4、新的跨域特定源與任意源組播方案,1

8、、真實(shí)源地址驗(yàn)證的需求和概念,5、組播研究的熱點(diǎn)問題,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,背景 SAVA(Source Address Validation Architecture) 清華大學(xué)吳建平、畢軍。 RFC 5210, IETF 2008 進(jìn)一步的目標(biāo)：實(shí)現(xiàn)密碼學(xué)意義上的源地址驗(yàn)證方案。 速度要快,14,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法的基本思想是： 把主機(jī)MAC地址作為身份同主機(jī)公鑰相綁定，利用CGA算法從主機(jī)公鑰衍生出IPv6接入子網(wǎng)地址，通過數(shù)字簽名提供主機(jī)真實(shí)性的驗(yàn)證，以消息認(rèn)證碼

9、和流認(rèn)證技術(shù)實(shí)現(xiàn)接入網(wǎng)關(guān)對數(shù)據(jù)包IPv6地址的快速安全的驗(yàn)證,15,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,16,2021/1/11,私鑰生成中心是設(shè)置在接入子網(wǎng)內(nèi)的一臺可信計(jì)算機(jī)，主要用于生成系統(tǒng)公開參數(shù)，生成并安全保存主私鑰，進(jìn)行主機(jī)身份注冊，生成并分發(fā)主機(jī)私鑰,安全網(wǎng)關(guān)是設(shè)置在接入子網(wǎng)邊界的一個(gè)安全網(wǎng)絡(luò)設(shè)備，主要用于驗(yàn)證向接入子網(wǎng)外轉(zhuǎn)發(fā)的數(shù)據(jù)包的源IP地址,主機(jī)中需要包含一個(gè)密鑰發(fā)生器，用于生成會話密鑰,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法的大致分三階段進(jìn)行： 第一階段，構(gòu)建一個(gè)基于身份的密碼系統(tǒng)；

10、第二階段，主機(jī)根據(jù)第一階段產(chǎn)生的公鑰來生成對應(yīng)的IPv6地址； 第三階段，主機(jī)根據(jù)主機(jī)私鑰和會話密鑰來生成主機(jī)IP地址的認(rèn)證信息，網(wǎng)關(guān)根據(jù)數(shù)據(jù)包中的驗(yàn)證信息來對源IP地址進(jìn)行驗(yàn)證,17,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,第一階段：基于身份密碼系統(tǒng)的構(gòu)建 該階段分為兩步進(jìn)行，主機(jī)注冊和主機(jī)密鑰產(chǎn)生。 主機(jī)注冊實(shí)現(xiàn)了合法主機(jī)向私鑰生成中心PKG的安全注冊，保證每個(gè)主機(jī)都必須以真實(shí)的MAC地址作為身份進(jìn)行注冊，同時(shí)，為注冊成功的主機(jī)對應(yīng)分配一個(gè)隨機(jī)數(shù)，為下一步做準(zhǔn)備。我們認(rèn)為，這一步是整個(gè)系統(tǒng)運(yùn)行安全的前提，可以結(jié)合實(shí)際應(yīng)用場景采用一些人工手段來保證注冊的安全性。

11、 主機(jī)密鑰產(chǎn)生過程主要為各主機(jī)安全產(chǎn)生并分發(fā)私鑰，而主機(jī)公鑰是由主機(jī)自己根據(jù)其MAC地址和系統(tǒng)公開參數(shù)生成的。通過PKG的主私鑰和主機(jī)在上一步得到的隨機(jī)數(shù)，可以保證只有擁有合法身份的主機(jī)才能獲得對應(yīng)的私鑰，同時(shí)保證主機(jī)獲得的私鑰是PKG產(chǎn)生的，不是偽造的且沒有被惡意篡改,18,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,第二階段，IPv6真實(shí)源地址產(chǎn)生 該階段主要使用之前產(chǎn)生的主機(jī)公鑰生成一個(gè)基于身份密碼的IPv6地址，具體過程如下。 (1)主機(jī)從路由器公告中獲取一個(gè)地址前綴，或者使用鏈路本地地址的地址前綴。然后采用密碼產(chǎn)生地址(Cryptographically G

12、enerated Address, CGA)算法，根據(jù)公鑰KP、子網(wǎng)前綴及一些調(diào)節(jié)參數(shù)，采用一個(gè)單向哈希函數(shù)計(jì)算出一個(gè)比特串，然后將子網(wǎng)前綴結(jié)合這個(gè)比特串得到一個(gè)密碼產(chǎn)生IPv6地址。 (2)主機(jī)使用上述IPv6地址作為目標(biāo)地址發(fā)送鄰居請求(Neighbor Solicitation)報(bào)文。報(bào)文附加一個(gè)選項(xiàng)頭，其中包含主機(jī)公鑰KP以及一個(gè)基于身份密碼的簽名，該簽名中包含使用主機(jī)私鑰KS對報(bào)文的簽名。 如果上述IPv6地址不與其它主機(jī)的IP地址沖突，則此主機(jī)使用該地址作為其IP地址；如果地址有沖突，則調(diào)整密碼產(chǎn)生地址算法中使用的參數(shù)，生成一個(gè)新的IP地址，再次發(fā)送鄰居請求報(bào)文,19,2021/1

13、/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,第三階段，源地址認(rèn)證信息的產(chǎn)生與驗(yàn)證 簽名數(shù)據(jù)包的發(fā)送和驗(yàn)證 主機(jī)在向接入子網(wǎng)外發(fā)送普通數(shù)據(jù)包之前，需要以安全網(wǎng)關(guān)為目的地址發(fā)送一個(gè)簽名數(shù)據(jù)包。以此為后續(xù)數(shù)據(jù)包的驗(yàn)證傳遞一些必要信息。同時(shí)，為了防止重放攻擊，若主機(jī)超過一段時(shí)間（可根據(jù)具體應(yīng)用場景來設(shè)置，本文設(shè)其為t）未向外發(fā)送數(shù)據(jù)包，當(dāng)主機(jī)再次發(fā)送數(shù)據(jù)包時(shí)，需要重新發(fā)送一個(gè)新的簽名數(shù)據(jù)包,20,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,第三階段，源地址認(rèn)證信息的產(chǎn)生與驗(yàn)證 2.使用流認(rèn)證方法驗(yàn)證后續(xù)數(shù)據(jù)包 認(rèn)證信息的接收者不需要事先知道該認(rèn)證信息所使用的會話

14、密鑰，而是通過后續(xù)數(shù)據(jù)信息來公開之前的認(rèn)證信息所使用的密鑰。因此，通過連續(xù)發(fā)送的信息流之間的這種相互關(guān)聯(lián)信息，可以讓發(fā)送者和接收者之間不需要事先進(jìn)行密鑰協(xié)商，也不需要使用私鑰簽名，就可以實(shí)現(xiàn)接收者對這種大量連續(xù)發(fā)送的信息的高效認(rèn)證,21,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源 地址驗(yàn)證方法,3、真實(shí)源地址框架下的特定源組播,內(nèi) 容,22,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實(shí)源地址驗(yàn)證的需求和概念,5、組播研究的熱點(diǎn)問題,3、真實(shí)源地址框架下的特定源組播,什么是IP組播： ASM (Any Source Multicast) ,RFC1121的組播服

15、務(wù)模型： 每一個(gè)組播組用一個(gè)單一的IP地址來標(biāo)識，任意發(fā)送者發(fā)往該地址的數(shù)據(jù)可以到達(dá)所有的組成員 組成員的個(gè)數(shù)不加限制 組成員可以在Internet上任一位置 組成員可以自由的加入或離開 發(fā)送者不必是組播組的成員 此種模式稱為ASM SSM (Source Specific Multicast) ASM模型的擴(kuò)展，允許接受者選擇發(fā)送者，即接受者只接收特定發(fā)送者的數(shù)據(jù)包，并且在構(gòu)造轉(zhuǎn)發(fā)樹的時(shí)候進(jìn)行裁剪,23,2021/1/11,3、真實(shí)源地址框架下的特定源組播,單播和組播的比較,24,2021/1/11,Server,Router,Unicast,Server,Router,Multicast,

16、應(yīng)用程序/組播地址,主機(jī)-路由器協(xié)議 (IGMP、MLD,域內(nèi)組播協(xié)議 (DVMRP、 MOSPF、 CBT、PIM-DM、 PIM-SM,域間組播協(xié)議 (MBGP / MSDP、 BGMP / MASC PIM-SSM,注：以下”域” 均指自治系統(tǒng)(AS,3、真實(shí)源地址框架下的特定源組播,IP組播體系結(jié)構(gòu)（一,3、真實(shí)源地址框架下的特定源組播,IP組播體系結(jié)構(gòu)（二,發(fā)送者向組播地址發(fā)送數(shù)據(jù)包 -組播地址：224.0.0.0-239.255.255.255 接收者告知本網(wǎng)段的路由器他們需要接收哪些數(shù)據(jù)包 -通過組管理協(xié)議進(jìn)行。 發(fā)送者和接收者之間的路由器構(gòu)造組播樹，確保組播數(shù)據(jù)包到達(dá)正確的接收

17、者網(wǎng)絡(luò) -通過組播路由協(xié)議進(jìn)行 -進(jìn)行RPF (Reverse Path Forwarding)檢查,Source-Specific Multicast (SSM,1999年,H. Holbrook提出了特定源組播模型和EXPRESS，2001年形成特定源組播SSM (Source Specific Multicast)協(xié)議的Internet Draft。 思想 通過web等方式聲明應(yīng)用對應(yīng)的頻道(S,G) G的地址范圍：232/8, ff2x: and ff3x: 主機(jī)獲知(S,G)后，用 IGMPv3與路由器交互,3、真實(shí)源地址框架下的特定源組播,SSM, contd,只有源樹，不需要共享

18、樹 在支持域間組播時(shí)，不需要MSDP 只有一個(gè)單一的源能夠發(fā)送 解決了源訪問控制問題 避免的冗余的數(shù)據(jù)轉(zhuǎn)發(fā) 每個(gè)應(yīng)用對應(yīng)一個(gè)或多個(gè)(S,G)，不需要對全局組地址進(jìn)行分配,3、真實(shí)源地址框架下的特定源組播,SSM traffic delivery example,S1Send to G,S2Send to G,Sources send to SSM group G, no registering happens there,3、真實(shí)源地址框架下的特定源組播,Now we reuse Gfor two independentapplications withSSM,3、真實(shí)源地址框架下的特定源組播

19、,IP組播的優(yōu)勢,30,2021/1/11,Example: Audio Streaming All clients listening to the same 8 Kbps audio,0,0.2,0.4,0.6,0.8,Traffic,Mbps,1,20,40,60,80,100, Clients,Multicast,Unicast,帶寬占用低 傳輸效率高 降低網(wǎng)絡(luò)節(jié)點(diǎn)和鏈路的負(fù)載,3、真實(shí)源地址框架下的特定源組播,IP組播存在的問題： (1) 開放IP組播模型的相關(guān)協(xié)議在開放的因特網(wǎng)環(huán)境中難以支持有效的管理和控制機(jī)制，可能面臨著流量假冒、服務(wù)盜用、以及來自邊界主機(jī)和惡意路由器在控制平面和

20、數(shù)據(jù)平面的拒絕服務(wù)（DoS, Denial of Service）攻擊； (2) 不能避免因自利型攻擊造成的IP組播流量與其它網(wǎng)絡(luò)業(yè)務(wù)流量之間的不公平帶寬占用,31,2021/1/11,3、真實(shí)源地址框架下的特定源組播,32,2021/1/11,真實(shí)源地址驗(yàn)證架構(gòu)下的組播接收者認(rèn)證方案的基本思想： 該方案中，組播管理服務(wù)器依據(jù)組播接收者所在主機(jī)可驗(yàn)證的真實(shí)源地址為接收者生成組播認(rèn)證碼，通過在與主機(jī)直連的路由器上加載了認(rèn)證功能，能夠?qū)M播接收者的組播認(rèn)證碼進(jìn)行認(rèn)證，以此實(shí)現(xiàn)組播接收者的合法性驗(yàn)證，防止網(wǎng)絡(luò)中組播服務(wù)盜用。另外，設(shè)計(jì)了一種用于實(shí)現(xiàn)局域網(wǎng)內(nèi)組播接收者訪問控制的方案，實(shí)現(xiàn)了按頻道進(jìn)行用

21、戶訪問控制和計(jì)費(fèi)，使組播業(yè)務(wù)變?yōu)橐环N可運(yùn)營的網(wǎng)絡(luò)服務(wù),3、真實(shí)源地址框架下的特定源組播,33,2021/1/11,真實(shí)源地址驗(yàn)證架構(gòu)下的組播接收者認(rèn)證過程 1. 組播接收者注冊 為了實(shí)現(xiàn)基于用戶的組播接收者控制，所有想要加入組播頻道的接收者都需要向組播管理器注冊，若注冊成為合法的接收者，則在組管理器中保留全局唯一的注冊信息。接收者需要通過組管理器獲取頻道信息，若組管理器能夠找到與之匹配的注冊信息才認(rèn)為是合法接收者，并為其發(fā)放相應(yīng)頻道的認(rèn)證碼。 2. 組播接收者授權(quán) 合法的接收者能夠從組管理器獲取相應(yīng)頻道的組播認(rèn)證碼，擁有該認(rèn)證碼并通過認(rèn)證的接收者才能夠獲取組播數(shù)據(jù)。認(rèn)證碼由三個(gè)元素通過哈希算法

22、生成：所要加入的頻道、組管理器密鑰GK以及接收者當(dāng)前主機(jī)的真實(shí)源地址。其中，用以確定接收者所能加入的頻道；GK用以加密；真實(shí)源地址則用以保證接收者不被偽造，同時(shí)，利用接收者所在主機(jī)的真實(shí)源地址作為生成認(rèn)證碼的元素，實(shí)現(xiàn)了將基于用戶的認(rèn)證轉(zhuǎn)化為基于用戶目前使用的主機(jī)IP地址的認(rèn)證,3、真實(shí)源地址框架下的特定源組播,34,2021/1/11,真實(shí)源地址驗(yàn)證架構(gòu)下的組播接收者認(rèn)證過程,3、真實(shí)源地址框架下的特定源組播,35,2021/1/11,同一局域網(wǎng)內(nèi)組播接收者訪問控制 組播接收者在建立組播通信的過程中，需要向其直連路由器AR通過MLDv2協(xié)議進(jìn)行交互，建立組播狀態(tài)。當(dāng)組播狀態(tài)建立后，AR只知道

23、某一個(gè)組地址有無接收者，并不知道局域網(wǎng)內(nèi)有多少接收者或者接收者是哪臺主機(jī)。AR接收到組播數(shù)據(jù)后，直接向局域網(wǎng)內(nèi)的主機(jī)轉(zhuǎn)發(fā)，也就是說，局域網(wǎng)內(nèi)非授權(quán)的主機(jī)也可以獲取組播數(shù)據(jù),3、真實(shí)源地址框架下的特定源組播,36,2021/1/11,同一局域網(wǎng)內(nèi)組播接收者訪問控制 路由器中具體操作如下：若收到MLD加入消息，且MLD消息中的認(rèn)證碼能夠通過認(rèn)證，則向MLD消息的入接口發(fā)送確認(rèn)加入消息。若收到MLD退出消息，則發(fā)送確認(rèn)退出消息。消息描述如下。 確認(rèn)消息：ARSwich：; R1-IP; tag 交換機(jī)組播端口列表的具體操作如下：當(dāng)收到路由器返回的確認(rèn)加入消息時(shí)，依據(jù)主機(jī)IP地址和頻道信息對表進(jìn)行操作

24、，如果表中沒有對應(yīng)的表項(xiàng)，則根據(jù)組播端口列表增加新表項(xiàng)，其中，頻道為消息中的頻道，下行端口號為對應(yīng)IP地址的端口號；若已存在相應(yīng)的表項(xiàng)，則不對表進(jìn)行操作。當(dāng)收到確認(rèn)退出消息時(shí)，則依據(jù)IP地址和頻道信息刪除對應(yīng)表項(xiàng)。 當(dāng)路由器接收到來自頻道的組播數(shù)據(jù)并發(fā)送至交換機(jī)時(shí)，交換機(jī)將根據(jù)組播端口列表查找頻道所對應(yīng)的端口轉(zhuǎn)發(fā)數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)同一局域網(wǎng)內(nèi)組播接收者訪問控制,2、基于身份密碼及流認(rèn)證的IPv6源 地址驗(yàn)證方法,3、真實(shí)源地址框架下的特定源組播,內(nèi) 容,37,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實(shí)源地址驗(yàn)證的需求和概念,5、組播研究的熱點(diǎn)問題,4、新的跨域特定源與任意源組

25、播方案,一種可擴(kuò)展的IPv4 over IPv6跨域組播方案,38,2021/1/11,提出并設(shè)計(jì)了一種新的IPv4 over IPv6跨域組播方案DOTPAN(每接入網(wǎng)一棵動(dòng)態(tài)組播樹方案，Dynamic One Tree Per Access Net)，該方案對于進(jìn)入IPv6骨干網(wǎng)入口相同的多個(gè)組播組或者特定源組播頻道，在IPv6骨干網(wǎng)僅共享一棵組播樹，實(shí)現(xiàn)了組播路由狀態(tài)聚合與流量冗余的這種，具有良好的可擴(kuò)展性,控制平面 1）接收者所在IPv4網(wǎng)絡(luò)部分的組播樹分枝的建立 2）IPv6骨干網(wǎng)中組播樹分枝的建立 3）組播源所在的IPv4接入網(wǎng)中組播樹分枝的建立,39,2021/1/11,4、新的

26、跨域特定源與任意源組播方案,一種可擴(kuò)展的IPv4 over IPv6跨域組播方案,40,2021/1/11,使用IPv4 over IPv6 機(jī)制傳輸?shù)木W(wǎng)絡(luò)示意圖,4、新的跨域特定源與任意源組播方案,一種可擴(kuò)展的IPv4 over IPv6跨域組播方案,數(shù)據(jù)平面 1）組播包組播源所在IPv4接入網(wǎng)中的轉(zhuǎn)發(fā) 2）組播包在IPv6骨干網(wǎng)中的轉(zhuǎn)發(fā) 3）組播包在組成員所在IPv4 接入網(wǎng)中的轉(zhuǎn)發(fā),41,2021/1/11,4、新的跨域特定源與任意源組播方案,一種可擴(kuò)展的IPv4 over IPv6跨域組播方案,基本思想 該方案基于擴(kuò)展的特定源組播使參與組通信的各方加入一個(gè)虛擬頻道，建立一個(gè)共享組播樹；

27、組播流沿此共享樹傳送到接收者，接收者獲知組播源，并啟動(dòng)共享樹到源樹的切換。當(dāng)組播流沿該組播樹到達(dá)接收者時(shí)，主機(jī)通過IP包頭獲知源的IP地址，發(fā)起向源的加入操作，從而建立以組播源為根的源樹，進(jìn)而由多個(gè)源樹作為多方通信的信道,2021/1/11,42,4、新的跨域特定源與任意源組播方案,一種基于虛擬頻道的跨域任意源組播方案,2021/1/11,43,4、新的跨域特定源與任意源組播方案,一種基于虛擬頻道的跨域任意源組播方案,2、基于身份密碼及流認(rèn)證的IPv6源 地址驗(yàn)證方法,3、真實(shí)源地址框架下的特定源組播,內(nèi) 容,44,2021/1/11,4、新的跨域特定源與任意源組播方案,1、真實(shí)源地址驗(yàn)證的需

28、求和概念,5、組播研究的熱點(diǎn)問題,5.組播研究的熱點(diǎn)問題（,最優(yōu)組播樹問題 域間組播部署框架 組播地址的聚合 移動(dòng)環(huán)境中的組播 可靠組播 組播QoS 組播擁塞控制 分層組播 IPv6環(huán)境下的組播 IP組播與應(yīng)用層組播的結(jié)合 新型的組播協(xié)議 新型組播應(yīng)用（IP/TV、傳感器網(wǎng)絡(luò)、 普適計(jì)算/網(wǎng)格/云計(jì)算,軍事等領(lǐng)域等,5、組播研究的熱點(diǎn)問題（,組播安全 密鑰管理 組播流認(rèn)證 組播流簽名 組播水印 組播源認(rèn)證 組播接收者認(rèn)證 組播源訪問控制（防止假冒流量） 組播接收者訪問控制（防止盜用服務(wù)） 防止基于組播的拒絕服務(wù)攻擊 組播路由安全,2021/1/11,47,Any questions? 謝 謝,

29、2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法中簽名數(shù)據(jù)包的驗(yàn)證： 安全網(wǎng)關(guān)收到主機(jī)發(fā)送的幀后，在數(shù)據(jù)鏈路層處理時(shí)，需要記錄下該幀的源MAC地址，然后再將其交付上層處理。 安全網(wǎng)關(guān)根據(jù)主公鑰KMP、系統(tǒng)公開參數(shù)及記錄下來的MAC地址來計(jì)算出一個(gè)公鑰KP。采用CGA地址驗(yàn)證算法，根據(jù)KP及相關(guān)參數(shù)來驗(yàn)證源IP地址。如果驗(yàn)證通過，則進(jìn)行下一步認(rèn)證；否則，丟棄數(shù)據(jù)包。 安全網(wǎng)關(guān)用公鑰KP對數(shù)據(jù)包擴(kuò)展首部中的簽名進(jìn)行驗(yàn)證，將得到的SIP、F(K0)與數(shù)據(jù)包源地址、數(shù)據(jù)包中的數(shù)據(jù)F(K0)分別進(jìn)行比較。如果都一致，則驗(yàn)證通過，記錄下數(shù)據(jù)包的數(shù)據(jù)F(K0)、MAC(K0, D1)及SIP，以列表的形式保存，稱該列表為LIP。列表LIP以SIP為索引，表項(xiàng)F(K0)及MAC(K0, D1)的值會隨著安全網(wǎng)關(guān)接收的數(shù)據(jù)包認(rèn)證信息的變化而不斷更新,48,2021/1/11,2、基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法,基于身份密碼及流認(rèn)證的IPv6源地址驗(yàn)證方法普通數(shù)據(jù)包發(fā)送： 主機(jī)在發(fā)送完簽名數(shù)據(jù)包后，首先需要記錄下發(fā)送完成的時(shí)刻T0。然后生成下一個(gè)密鑰K2，計(jì)算出F(K2)和MAC(K1, D2)，其中D2=SIP, F(K2)。當(dāng)主機(jī)需要發(fā)送數(shù)據(jù)包時(shí)，都需要在其擴(kuò)展首部中添加flag, K0, F(K1), MAC(K1, D2)