（计算机应用技术专业论文）基于gdoi的安全组播研究与实现.pdf

大连理工大学硕士学位论文 摘要 随着下一代互联网技术的发展，网络的视音频传播已经成为一个重要的应用。当用 单播技术实现这种大数据量的应用时，随着用户数量的增加会急剧消耗网络带宽，降低 了服务水准，因此难以实现大规模的群组应用。组播技术克服了单播技术传输大数据量 时的缺陷，得到了更广泛的研究和应用。 组播技术采用群组发送的方式，用路由器来复制数据包，保证任何时候每条链路中 只有一份数据包，因此节约了网络带宽。这种特性使组播技术在大规模群组通信方面有 着不可比拟的优越性。 g v 6 协议具有1 2 8 位的地址空间、地址自动配置机制、安全认证机制等众多优点， 必将取代 p v 4 而成为下一代互联网的标准网络协议。而i p v 6 的组播协议是 p v 6 协议栈 的一个必须且重要的组成部分，所以研究实现基于m v 6 的组播是非常必要的。 组播技术实现和部署的关键问题在于其安全性，组播安全有多方面的需求，特别是 在组播组成员动态变动的情况下，怎样保证通信的机密性以及怎样控制组播成员加入 离开至关重要，这需要研究和实现相应的组播密钥管理方案。 本文研究了职v 6 组播技术的基础知识，分析了组播安全的体系结构和相关协议。 在分析现有的组播密钥管理方案的基础上，提出了基于子群的安全组播密钥管理方案。 方案采用了集中和分布式管理方法的优点，既减少了群组密钥分发时的计算和通信量又 提高了组播数据转发时的速度。同时，在组密钥管理协议g d o i 的基础上，结合提出的 基于子群的组播密钥管理方案，搭建口v 6 下的安全组播环境并进行了测试。最后，提 出了当前口安全组播技术存在的问题，并提出了下一步的研究方向。 关键词：i p v 6 = 安全组播；密钥管理；i p s e c ；g d o r e s e a r c ha n dr e a l i z a t i o no fs e c u r em u l t i c a s tb a s e do ng d o i a b s t r a c t w i t ht h ed e v e l o p m e n to ft h en e x th a t e m e tt e c h n o l o g y , t h et r a n s m i s s i o n so fa u d i oa n d v i d e oa r eb e c o m i n gav e r yi m p o r t a n ti m p l e m e n t a t i o n w h e na p p l i e du n i c a s tt e c h n o l o g yi n i m p l e m e n t i n gt h e s eh e a v yl o a da p p l i c a t i o n s ，t h ei n c r e a s i n go fn s e r $ m a k e sb a n d w i d t h c o n s u m e da sq m c l ( 1 ya sp o s s i b l e ，a tt h es a m et i m et h es e r v i c el e v e lw i l lb ed e c l i n e d ，s oi t s d i f f i c u l tt oi m p l e m e n th e a v yl o a da p p l i c a t i o n sw i t hu n i c a s t m u l t i c a s tt e c h n o l o g yo v e r c o m e s t h ed i s a d v a n t a g eo fu n i c a s ti ni m p l e m e n t i n gt h e s eh e a v yl o a da p p l i c a t i o n s ，n o wm u l t i c a s t t e c h n o l o g yi sr e s e a r c h e da n di m p l e m e n t e dw i d l y m u l t i e a s tt e c h n o l o g ya p p l i e st h em e t h o do fg r o u pt r a n s m i s s i o n s , u s i n gr o u t e rt oc o p y d a t ap a c k a g e s ，i tp r o m i s e do n l yo n ed a t ap a c k a g ei ne v e r yl i n ka ta n yt i m e ，a n ds a v e d b a n d w i d t h t h i sc h a r a c t e r i s t i cm a k e sm u l t i c a s tt e c h n o l o g yh a v i n ge n o r n l o l k ge x c e l l e n c eo n t h ec o m m u n i c a t i o n so f l a r g eg r o u p i p v 6h a sm a n ya d v a n t a g e s ，s u c ha s1 2 8 一b i ta d d r e s ss p a c e ；a d d r e s sa u t o - c o n f i g u r a t i o n a n ds e c u r i t ya u t h o r i z a t i o nm e c h a n i s m i tw i l lb et h en o r m a lp r o t o c o lo ft h en e x ti n t e m e t r e p l a c i n gp v 4 m u l t i c a s to fi p v 6i sa ni m p o r t a n ta n di n t e g r a n tp a r to fi p v 6m c k , s oi t s n e c e s s a r yt or e s e a r c ha n di m p l e m e n tm u l t i c a s ta p p l i c a t i o n so nt h eb a s e do fi p v 6 s e c u r i t yi st h ek e yf a c to f d i s p o s i n gm u l t i c a s tt e c h n o l o g y t h e r ea r em a n yr e q u i r e m e n t s o n 咖m u l t i c a s t , s p e c i a l l y ，i nt h ec a s eo ft h eg r o u pm e m b e r sd y n a m i cc h a n g i n g ，t h e ya r e i m p o r t a n tt ok n o wt h a th o wt oe n s u et h es e c u r i t yo fg r o u pc o m m u n i c a t i o n sa n dh o w t o c o n t r o l t h e j o i n e d l e f t o f g r o u p m e m b e r s s o i t s n e c e s s a r y t or e s e a r c ha n d i m p l e m e n tr e l e v a n t f l - a l n eo f k e ym a n a g e m e n t t h i sp a p e ra n a l y z e st h eb a s eo fi p v 6m n l t i c a s tt e c h n o l o g ya n ds t u d i e st h em u l t i c a s t g r o u ps e c u r i t ya r c h i t e c t u r ea n dr e l a t i o n a lp r o t o c o l s o nt h eb a s e do fa n a l y z i n gt h ee x a s t i n g k e ym a n a g e m e n ts c h e m e , i tp r o p o s e sak e ym a n a g e m e n ts c h e m eb a s e do ns u b g r o u pf o r s e c u r em u l t i c a s t t h i ss c h e m ec o l l e c t st h eg o o dp a r t so f c e n t r a l i z e da n dd i s t r i b u t e dt y p e s ，n o t o n l yr e d u c e st h et r a f 貊ca n dc o m p l e x i t yw h e nd i s t r i b u t i n gg r o u pk e yb u ta l s oi m p r o v e st h e s p e e do ft r a n s m i r i n gm u l t i c a s td a t a a tt h e5 a l n et i m e ，i td e s c r i b e sa ni m p l e m e n to fs e c l | r e m u l t i c a s t , w h i c hb a s e d0 nt h eg d o ip r o t o c o la n dt h es c h e m ep r o p o s e di nt h i sp a p e r , t h i s s c h e m eh a st e s t e d f i n a l l y , t h eo b j e c t i o no fi ps e c u r em u l t i c a s ti sm e n t i o n e da n dt h en e x t r e s e a r c hi sp r o s p e c t e d k e yw o r d s ：i p v 6 ：s e c u r em u i t i e a s t ；k e ym a n a g e m e n t ；i p s e c ；g d o i - i i i - 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均己在论文中做了明确的说明并表示了谢意。 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用 规定”，同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子 版，允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，也可采用影印、缩印或扫描等复制手段保存和汇编学位论 文。 作者签名： 导师签名： 年月日 大连理工大学硕士学位论文 引言 随着宽带多媒体网络的不断发展，各种宽带网络应用层出不穷。口t v 、视频会议、 数据和资料分发、网络音视频应用多媒体远程教育等宽带应用都对现有宽带多媒体网络 的承载能力提出了挑战。过去普遍采用的单播( u n i c a s t ) 和广播( b r o a d c a s t ) 等数据传输方 式已不能适应这类数据量较大的应用，给网络带宽造成了沉重的负担。采用单播方式， 信息源需要与每一个用户建立一条单独的连接，并为其发送一份数据拷贝，不但浪费带 宽，而且可能使信息源所在的网络不堪重负；而使用广播方式容易造成信息的泛滥，甚 至网络崩溃【1 1 。p 组播( m l i l t i c a m 【2 】就是顺应这种网络应用的需要而产生的。 组播传输方式是指发送者( 数据源) 将数据同时发送给一组( 多个) 接受者而且只需发 送一份数据，数据包通过路由器复制、转发，每条数据通道上只传输一个数据包拷贝， 因而提高了数据传送效率。减少了网络出现拥塞的可能性。组播组中的主机可以是在同 一个物理网络中，也可以处于不同的物理网络( 需要路由器支持组播) 。组播网络中，即 使组播用户数量成倍增长，骨干网络中网络带宽也无需增加。简单来说，成百上千的组 播应用用户和一个组播应用用户消耗的骨干网带宽是一样的，从而最大限度的解决目前 宽带应用对带宽和网络服务质量的要求。相比较而言，单播是发送者将数据同时发送每 一个接受者，如果要发给多个接收者，需要将数据同时发送多份，显然这将占用大量带 宽。而广播虽然也能同时发送给多个接收者并且数据也是单一发送的，但接受者只能是 全体网络而且路由器和交换机都不会转发广播，所以组播既可以发送给特定的组成员 也可以在大型网络中使用而且对带宽的占用也是很小的。 在i p v 6 1 3 1 络中，组播协议已经成为其重要的一部分，目前i p v 6 组播应用研究已经 在i p v 6 实验网中展开，而相应随着应用需求的增多和应用领域的拓宽，对于i p v 6 组播环 境中的数据安全性的需求也日益浮出水面。安全性成了组播部署的关键问题。p 组播因 其自身特点而较单播复杂度大大的提高，虽然i p v 6 自身要求i p s e e 安全机制，但也仅仅适 用于单播通信的方式，不能简单的采用它来解决更为复杂的组播应用的需求，因此对于 i p v 6 安全组播方面的研究就很自然的成为了研究的热点问题。 本文描述了一个口v 6 安全组播平台的设计实现。针对可扩展性、降低计算复杂度 和提高转发速度等方面进行了合理设计。主要完成的工作有：参考其它的组播组密钥管 理方案提出一种新的组播密钥管理方案；结合方案设计一种基于l p v 6 的安全组播平台； 系统采用模块化设计，根据设计思想划分功能模块，基本实现各功能模块；对平台进行 功能性测试。 基于g d o i 的安全组播研究与实现 1 课题的提出 下一代网络协议的标准是i p v 6 协议，i p v 6 协议改进了传统网络协议球v 4 的不足， 如巨大的地址空间、扩展报头、移动性、安全性等【4 l 。同时，组播应用也随着网络硬件 条件的发展将在i p v 6 中慢慢部署开来。组播部署的关键性在于安全性，为了探讨口v 6 上的安全组播，提出了本课题。 1 1 网络的快速发展促进安全组播技术研究 互联网在以难以想象的速度向前发展，特别是在大带宽和核心路由器的不断更新， 使网络的性能不断提高，一些在互联网建设初期受带宽限制而难以发展的应用也快速的 发展起来，如：i p t v 、大规模视频会议、网络音视频传输、数据发布等。当采用单播方 式部署这些应用时，会受到带宽等条件的限制，特别是数据量大、接收用户多时，网络 的延迟和丢报率是很高的。因为单播技术采用一对一的发送方式，有多少个接受者就必 须得复制多少份数据包，传统的单播方式已经不能适应这些大规模的流媒体应用。组播 技术以群组发送( 用路由器来复制数据包) 的方式，保证任何时候每条链路中只有一份数 据包。这种特性使得组播技术在大规模群组通信方面有着不可比拟的优越性。所以，从 技术角度讲，组播技术会随着网络应用的发展而逐渐显示出其优势。 在i p v 4 网络中，阻碍组播技术部署的一个重要问题是路由器的性能问题。网络中 还有相当一部分路由器不支持组播技术。对于支持组播的路由器，也会受转发处理数据 包能力的影响，如果放开组播服务，会造成路由器的负载过重，严重时会导致路由器瘫 痪。但是随着路由器硬件的快速升级和对组播的支持，特别是骨干网中高性能核心路由 器的部署，这个问题已经得到一定的解决。硬件性能的加强，使得组播技术可以得到大 规模的部署。 1 2ip v 6 协议作为下一代互联网标准协议的优越性 i p v 6 协议提供了1 2 8 b i t 的i p 地址、足够的地址空间和i p v 6 目o 插即用的特性。相对于 i p v 4 ，四v 6 的改进具体体现有； ( 1 ) 全新的报文结构。扩展头部的使用，使得网络中的中间路由器在处理i p v 6 协议 头时，有更高的效率 ，( 2 ) 巨大的地址空间。i p v 6 协议提供了1 2 8 b i t 的口空间，不再用为地址缺乏而担心。 大连理工大学硕士学位论文 ( 3 ) 全新的地址配置方式。支持手工地址配置、有状态自动地址配置和无状态地址 配置技术。在无状态地址配置中，网络上的主机能自动给自己配置i p v 6 地址。同一链 路上的主机不用人工干预就可以通信。 ( 4 ) 更好的q o s 支持。报头中流标签字段的使用使得网络中的路由器可以对属于一 个流的数据包进行识别，并提供特殊处理。 ( 5 ) 内置安全性。m v 6 协议支持i p s e c ，包括a h 和e s p 等扩展头，这为网络安全 性提供了一种基于标准的解决方案。 ( 6 ) 全新的邻居发现协议。用更加有效的单播和组播报文，取代了m v 4 中的地址解 析( a r p ) 、i c m p ( i n t c r a e t 控制报文协议) 路由器发现、i c m p 路由器重定向，并在无状态 地址配置中得到不可或缺的作用。 ( 7 ) 良好的扩展性。扩展报头可以方便的实现功能扩展。l l 。v 4 报头中的选项最多可 以支持4 0 个字节的选项，而i p v 6 扩展报头的长度只受到口v 6 数据包的长度制约。 ( 8 ) 内置的移动性。由于采用了r o u t i n gh e a d e r 和d e s t i n a t i o no p t i o nh e a d e r 等扩展 报头，使得i p v 6 提供了内置的移动性。 1 3 基于g d o l 的安全组播研究 在碑v 4 中，组播技术已经有了比较多的研究。针对组播安全的组播密钥管理也有好 多种方案，如集中式和分布式方案。但这些方案都存在一定的缺陷，本文在架构安全组 播平台时主要利用提出的基于子群的密钥管理方案。并充分考虑降低密钥更新的计算复 杂度和提高数据包的转发速度。 目前，i p 组播主要分为任意源组播( a n ys o u r c em u l t i c a s l a s m ) 2 1 特定源组播 ( s o u r c es p e c i f i cm u l t i c a s l s s m ) 1 5 】两种模型。a s m 模型比s s m 模型复杂，存在组播源难以 控制等问题、源发现机制复杂等问题。s s m 模型使用频道( s ，g ) 表示一个与特定源相关的 组播组，其协议的简单性使其能够得到大规模的应用。 系统采用相对较为简单的s s m 模型在i p v 6 协议上架设安全组播平台。具体实现的目 标如下： ( 1 ) 安全性，保证组播源和成员间通信安全。 ( 2 ) 可扩展性，良好的结构设计保证群组扩展时密钥管理的健壮性。 ( 3 ) 高效性，提高数据包转发效率。 系统的设计思想是在i p v 6 组播平台中设置一个群组管理和密钥分发的总服务器( 以及若干个子群组管理和密钥分发的服务期s c ，用来对组播成员进行认证、管理群组 密钥更新，使源s 可以安全的发送加密信息。 基于g d o i 的安全组播研究与实现 2ip v 6 组播基础知识及相关协议 i p v 6 下的安全组播涉及到i p v 6 协议、组播侦听者发现协议( m l d ) 、组播路由协议 p i m s m ( p r o t o c o li n d e p e n d e n tm u l f i c a s t - s p a r s em o d e ) 以及密钥学知识等。本章将对这些 协议做简要叙述。 2 1l p v 6 协议 2 1 1l p v 6 报头及扩展报头的结构 i p v 6 p 作为i p 协议的新版本，其根本目的是继承和取代i p v 4 ，相对i p v 4 而言具有极 大扩展的地址空间和更加结构化的路由层次。i p v 6 的报头由基本报头和可选的扩展报头 组成。i p v 6 的基本报头由6 4 位的报头和两个1 2 8 位的口p 、r 6 源地址和目的地址组成【4 】。基本 报头总长度为4 0 字节，如图2 1 所示； v e r s i o nh l f l l ca a s sf l o wi a b l e p a y l o a dl e n g t h n e x th m d e r i h o pl i m i t s o l a c ea d d r e s s d e s t i n a t i o na d d r e s s e x t e n d e dh e a d e r s 图2 1i p v 6 报头格式 f i g 2 1i p v 6h e a d e rf o r m a t ( 1 ) 版本( v i s o n ) ：4 位，i n t e m e t j 办议版本号，值为6 。 ( 2 ) 通信流类男u ( t r a m cc l a s s ) ：8 位，( d e f a u l t = o ) ，用于源和转发路由器标识和区分 不同i p v 6 数据报的类别或优先级。 ( 3 ) 流标签( f l o wl a b l e ) ：2 0 位，用于源节点标识那些需要 p v 6 路由器特殊处理的数 据报的序列。 ( 4 ) 有效负载长度( p a y l o a dl e n g t h ) = 1 6 位无符号整数，以字节为单位记录i p v 6 数据 报负载，即除去i p v 6 报头自身的长度以外( 即扩展报头和上层协议数据单元) 的分组长 度。一个i p v 6 数据报可以容纳6 5 5 3 5 字节的数据。 ( 5 ) 下一个报头( n e x th e a d e r ) ：8 位，指, 小, i p v 6 报头后面的扩展报头( 如果存在) ，或 者上层协议数据单元中的协议类型。 一4 一 大连理工大学硕士学位论文 ( 6 ) 跳限制( h o pl i n l i 0 ：8 位，定义了口数据包所能经过的最大跳数。 ( 7 ) 源地址( s o u r c ea d d r e s s ) ：1 2 8 位，表示发送方的地址。 ( 8 ) 目的地址( d e s t i n a t i o na d d r e s s ) ：1 2 8 位，表示接收方的地址。 腰v 6 扩展报头是跟在口v 6 报头后面的可选报头。i p v 4 中的报头包含了所有的选项， 因此每个中间路由器都必须检查这些选项是否存在，如果存在，就必须处理他们。这种 设计方法会降低路由器转发i p v 4 数据包的效率。在i p v 6 中，相关选项被移动到了扩展报 头中，中间路由器就不需要处理每一个可能出现的选项( 在n , v 6 中，每一个中间路由器必 须处理惟一的扩展报头是逐跳选项扩展报头) ，这种处理方式提高了路由器处理数据包 的速度，也提高了其转发性能。 扩展包头的类型有： ( 1 ) 逐跳选项报头( h o p - b y - h o po p t i o n sh e a d e r ) ( 2 ) 目标选项报头( d e s t i n a t i o no p t i o n sh e a d e r ) ( 3 ) 路由报头( r o u t i n gh e a d e r ) ( 钔分段报头( f r a g m e n th e a d e r ) ( 5 ) 认证报头( a u t h e n t i c a t i o nh e a d e r ) ( 6 ) 封装安全有效载荷报头( e n c a p s u l a t i n gs e c u r i t yp a y l o a dh e a d e r ) 口v 6 数据包中如果包括一个扩展报头，则基本报头的下一个报头字段值为扩展报头 类型，扩展报头的下一个报头字段指明上层协议类型。扩展报头按照其出现的顺序被处 理。在数据包中出现多个扩展报头时，扩展报头按一定原则排列。基本报头、扩展报头 和上层协议的关系如图2 2 所示： 图2 2 基本报头、扩展报头和上层协议 f i g 2 2i p v 6h e a d e r s , e x t s i o nh e a d e r sa n du p p e rp r o t o c o l 2 1 2i p v 6 组播地址 i i 1 1d 图2 3l p v 6 组播地址结构 f i g 2 3i p v 6m u l t i e a s ta d d r e s sf o r m a t 基于g d o i 的安全组播研究与实现 在i p v 4 中，组播地址的最高四位设为1 1 1 0 。在i p v 6 网络中，i p v 6 组播地址【6 1 也有特 定的前缀来标识，其最高位前8 位为1 。如图2 3 所示： ( 1 ) 前缀：s b i t , “n 1 11 1 1 1 ”是组播地址的开始标志。 ( 2 ) f l g s ：4 b i t ，格式为“0 0 0 m ”。其中m = 0 代表由l l n a ( i n t e n l 或a s s i g n e dn u m b e r a u t h o r i t y ) 分配的周知的组播地址；m = i 代表暂时的组播地址。 ( 3 ) s c o p e ：4 b i t ，用于限制组播组的范围。如图2 4 所示： i藏 0 f l2sg i ef 其它 l 范围 橼馏卜点奉地卜燕端本地站点奉缝陲纵奉地| 全球 保俘束分配 图2 4i p v 6 组播地址中的范围值 f i g 2 4v a l u e so f t h es c o p ef i e l di ni p v 6m u l t i c a s ta d d r e s s ( 4 ) g r o u pi d ：1 1 2 b i t ，标志给定域内的组播组。可以是永久的( 独立于范围值) ，也 可以是临时的( 组播地址仅在给定范围内才有意义) 。 从i p v 6 的组播地址格式定义可见其相对于口v 4 所具有的优越性： ( 1 ) 具有足够的地址空间。p v 4 所定义的地址空间只相当于1 6 个a 类地址，对于全球 的组播应用来说是远远不够的。而m v 6 预留了1 1 2 位的组标识符。 ( 2 ) 范围字段的应用。组播地址不同于单播地址，它不专属于某一个主机或应用。 除了少数为协议实现而预留的地址外，其他地址都是根据需求动态她分布给组播应用的 用户。这样会出现一个组播地址同时被多个组播应用所使用的情况，这就需要保证它们 之间传播的范围不会重叠。i p v 4 使用t t l ( 报文存活时间) 来控制组播报文传送的范围， 但1 v r l 不够精确，会存在不同应用间报文范围重叠的情况。而i p v 6 在地址格式中规定 了范围字段，这样就可以很方便地划分组播域。 2 2m l d 协议 与i p 、，4 组播一样，i p v 6 组播分为两大部分：主机路由器部分和路由器路由器部分。 要成功建立一个组播组并传播组播数据，首先边缘路由器要能够处理与其直接相连的主 机加入和离开组播组的问题，组播数据与控制报文的接收与转发问题，这部分是由 m l d ( m u l t i c a s tl i s t e n e rd i s c o v o r y ) l $ , 9 1 协议来完成的。同时路由器与路e b 器之间需要传 递组播数据和控制报文，建立和维护组播状态树，这一部分大多是采用p i n t s m ( p r o t o c o l i n d e p e n d e n tm u l t i c a s ts p a r s em o d e ) 加j 协议来完成。m l d 协议和p i m 协议是支撑i p v 6 组 播的两个基本协议。 一6 一 大连理工大学硕士学位论文 2 2 1 札d 协议简介 m l d 协议取代了口y 4 中的i g m p 协议，在i p v 6 环境中使用。i p v 6 路由器用m l d 协议发现在与其直接相连主机中，有哪些主机希望加入或离开一个组播组。m l d 协议 使用i c m p v 6 报文承载数据，而i g m p 协议直接使用m 报文承载数据。m l d 协议是i p v 6 环境中支持组播必不可少的协议。m l d l v l 与口v 4 下的i g m p v 2 协议有类似的工作机制， 主要用于在主机和路由器间交换组成员加入和退出的信息。m l d v 2 是在m l d v l 的基础 上，增加了对源特定组播s m m 的支持。目前大部分的i p v 6 网络设备和主机操作系统协 议栈都支持m l d v l 和m l d v 2 。 m l d v l 协议的工作方式与i g 础p v 2 协议类似。路由器定期发送查询报文，主机如果 想加入组播组，则通过报告报文对路由器进行响应。主机退出组播组时，发送退出报文 给路由器。主机之间采用响应抑制机制来避免发送重复确认。 m l d v l 协议是i c m p v 6 协议的一个子协议。在一个i p v 6 数据报文中，通过将n e x t h e a d e r 字段的值置为5 8 来表示该报文的数据部分是一个m l d 协议报文。同时将h o p l i m i t 字段置为1 ，增加逐跳选项头( h o p - b y h o po p t i o n sh e a d 神中的路由器告警选项 ( r o u t e r a l e r t o p t i o n ) 。路由器告警选项的目的是强制路由器查看该报文的内容。m l d v l 协议的报文格式如图2 5 所示： t y p e c o d e c b e e k s m m a x i m u mr e s p o n s ed e l a y砭a 翻 m t l f i e 拦t d d l 口h 图2 5m l d v l 报文格式 f i g 2 5f o r m a to f m l d v l 2 2 2 札d v i 的工作原理 路由器通过m l d 协议来探测子网内有哪些主机需要接收组播报文。在路由器内部 有一个列表，保存着在路由器连接的子网内有组成员的组播组地址，并且针对每一个组 地址有一个计时器。路由器只知道某一个组地址有无接收者，并不知道子网内有多少接 收者或者接收者是哪台主机。 基于g d o i 的安全组播研究与实现 如果路由器有多个网络接口连接在同一个网段上，则路由器需要选择其中一个作为 发送i p v 6 数据报文的源地址。同时，该接口必须设置为允许接收所有的数据链路层组 播地址。 当一个网段内连接有多台路由器的时候，必须选举一台路由器作为查询路由器 ( q u e r i e rr o u t e r ) ，其余的自然成为非查询路由器( n o n - q u e r i e rr o u t e r ) 。选举的机制是i p 地 址最小的路由器当选。非查询路由器中有一个o t h e rq u e r i e rp r e s e n t 计时器，当该计时器 到期仍没有收到来自查询路由器的报文，则认为该查询路由器失效，重新开始新的选举。 路由器定期向子网内所有的主机广播查询报文( 目的地址为f f 0 2 ：t ) ，目的是获得主 机的报告报文。在路由器刚开始工作时，会快速连续地发送查询报文，以便尽快搜集到 子网内的组成员信息。 当主机接收到一个查询报文后，就为每一个要接收的组地址启动一个延迟定时器。 定时器的值在【0 ，m a xr e s pd e l a y 之间取一个随机数。如果查询报文中的m a xr e s pd e l a y 字段被置为0 ，则定时器立刻到期。定时器到期后，主机会发送一个报告报文给路由器， 通知路由器主机想接收的组播组地址。 如果一台主机在定时器还未到期时，就收到其它主机通告路由器的报告报文，则读 取该报文的组地址，如果和自己需要通告的组地址相同，则立刻停止相应的定时器，不 再发送关于该组地址的报告报文。这样就可以避免多台主机发送相同内容的报告报文给 路由器，这种机制称为“响应抑制”。 路由器收到来自主机的报告报文后，查看其中的组地址，如果该地址未在路由器的 组地址列表中，则将其添加到组地址列表中，同时为其启动一个相应的定时器；如果该 地址己经在路由器的组地址列表中，则将相应的定时器恢复最大值。如果一个组地址的 定时器到期了，则说明该组地址在子网内己经没有接收者了，路由器会将此组地址从列 表中删除。 当一台主机想要加入某个组播组时，可以不必等待路由器的查询报文，而是直接向 路由器发送报告报文。为了保障该报文的可靠性，一般会进行重传。 当一台主机想要离开某个组播组时，必须发送一个离开报文( 类型1 3 2 ) 给子网内的 路由器f 目的地址f f 0 2 ：2 ) 。路由器收到离开报文后，会首先查看该组地址是否在组地址 列表中，如果在，则发送一个特定组地址查询给子网内的所有主机。在一定的时间内， 路由器收不到来自主机的应答，则会认为该组己经没有接收者，于是将该组地址从列表 中删除。非查询路由器会忽略所有离开的报文。 一8 一 大连理工大学硕士学位论文 2 2 3m l d v 2 m l d v 2 t 8 , 9 1 的提出，主要是为了配合源特定组播( s m m ) 的实现，类似于i g m p v 3 9 1 对于i g m p v 2 的改进。源特定组播( s s m ：s o u r c es p e c i f i cm u l t i c a s t ) 是一种区别于传统组 播的新业务模型，它使用组播组地址和组播源地址同时来标识一个组播会话，而不是向 传统的组播服务那样只使用组播组地址来标识一个组播会话。s s m 保留了传统p i m - s m 模式中的主机显式加入组播组的高效性，但是跳过了p i m s m 模式中的共享树和r p 规 程。s s m 特别适合于点到多点的组播服务。 为了在m v 6 网络中实施s s m 组播业务，除了要求网络端到端地支持网络组播和 s s m 模式外，同时还要求网络和应用支持m l d v 2 协议栈。m l d v 2 协议是i c m p v 6 协 议的子协议，m i 工h 2 的报文类型有以下四种： ( 1 ) t y p e = 1 3 0 ：m u l t i c a s tl i s t e n e rq u e r y ( 2 ) t y p e = i a n a 尚未确定】：v e r s i o n2m u l t i c a s tl i s t e n e rr e p o r t ( 3 ) t y p e = 1 3 1 ：v e r s i o n l m u l t i c a s t l i s t e n e r r e p o r t ( 4 ) t y p e = 1 3 2 ：v e r s i o n1m u l t i c a s tl i s t e n e rd o n e m l d v 2 的工作原理和m l d v l 并没有实际的改变，只是在某些地方做了改进和优 化。以下列出了m l d v 2 的主要改进： ( 1 ) 支持源特定组播s s m 。 ( 2 ) 主机可以维护每个接口上每个套接字上的组播接收状态，针对每一个组播地址 可以定义一个过滤模式和一组源地址。 ( 3 ) 路由器中，除了组播地址列表外，还维护着每个组播地址相关的过滤模式、源 地址列表、源计时器等信息。而在m l d v l 中，路由器只维护一个组播地址列表。 ( 4 ) 主机可以定义要接收的组播源地址。 ( 5 ) 报告报文中可以包含多个针对不同组播地址的记录，而m l d v l 中，针对每个 组播地址都需要发送一个报告报文，因此m l d v 2 可以有效地减少网络通信量。 ( 6 ) m l d v 2 取消了响应抑制功能，主要原因是：使用响应抑制时，路由器只知道子 网上是否有组成员，而不知道有几个组成员，以及成员是哪些主机；取消响应抑制，路 由器就可以记录每一个组成员的信息，可以开发记帐等功能；许多网桥或者二层- - 层交 换机在实现m l d 监听功能时，为了避免响应抑制，一般不转发网段间的m l d 报文。 取消了响应抑制后，可以简化这些设备的设计；取消响应抑制后，主机不必处理来自其 它主机的报文，简化了主机的实现。 ( 7 ) 在查询报文中，增加了s 标志位，可以提高系统的健壮性。 ( 8 ) 取消了m l d v l 中的完成报文( d o n em e s s a g e ) 。 基于g d o i 的安全组播研究与实现 2 3p i m s m 协议 p i m ( p r o t o c o li n d e p e n d e n tm u l t i c a s t ) 1o 】是一种与其它协议无关的独立协议。为了获得 网络拓扑以决定路由，采用一种叫做逆向路由检测的策略。它可利用各种单播路由协议 建立的单播路由表完成逆向转发检查功能，而不是维护一个分离的组播路由表实现组播 转发。由于p i m 无需收发组播路由更新，所以与其它组播协议相比，p i m 开销降低了 许多。 2 3 ，1p i m - s m 简介 p i m s m 1o 】对于稀疏分布的组播组来说具有很高的传输效率，而这种分布形式的组 播组在当前的互连网中是比较普遍的。p i m s m 的设计思路是，如果有几个主机想要加 入一个特定的组播组那么就不会向整个网络泛洪组播数据包。p i m s m 只向加入了组播 组的路由器转发数据包，没有加入的路由器不会收到数据包，以此来减少网络数据流量。 与p i m s m 不同的是，p i m d m l 假定当一个源要发送组播数据时，其下游所有分支都 希望接收此数据组播。 p i m s m 采用共享树进行组播数据包转发。要使路由器p i m s m 协议能够正常工作， 路由器的每个接口都应该采用p i m s m 。同时，路由器的每个子网都应该至少有一个候 选指定路由器，由此在每一个子网中产生一个指定路由器。指定路由器是组播树中的边 缘路由器，它是连接主机与上层路由器的桥梁，它既能处理m l d 消息，又能处理p i m 报文。同时整个网络至少应该有一个候选启动路由器，由此来产生启动路由器。整个网 络中也至少应该有一个候选集合点，由此来产生此组播组的集合点。每一个基于共享树 的组播组均有一个集合点r p ( r e n d e z v o u sp o i n t 】。组播源沿最短路径向r p 发送数据， 再由r p 沿最短路径将数据发送到各个接收端。组播应用的框架如图2 6 所示： 2 3 2 交互过程 我们假定在一个p i m s m 域中，对于一个组播组g ，已产生了r p ，同时各子网路 由器也通过协议的方式产生了各自的d r 。首先d r 通过m l d 协议来发现与其直连的链 路上的组播侦听者，然后d r 向r p 发送j o i n p r u n e 消息，维持组播组g 的一棵r p 树。 当要发送接收数据时，p i m s m 通过一系统交互过程生成一棵最短路径树用于组播数据 的发送，接收。 ( 1 ) 加入，离开组播组 指定路由器d r 选用一个本地链路的单搔地址作为m l d 报文的口v 6 源地址。作为 询问者的路由器，在每一个询问时间间隔里周期性地在其链路上发送一个普通查询报 文，用于询问链路上的主机是否希望加入一个组播地址。报文主要包含目标地址是 大连理工大学硕士学位论文 h o s t h o s l ：h o s th o s t 图2 6 组播框架 f i g 2 6f r a m eo f m u l t i c a s t f f 0 2 ：1 ，组播地址字段是0 ，以及一个最大响应时间值( m a x i m u mr e s p o n s ed e l a y ) 。当 一个主机收到一个普通查询报文时，它就对于它想加入的每一个组播地址都启动一个延 时定时器。此定时器的值是f o ，m a x i m u mr e s p o n s ed e l a y 之间的一个随机值。定时器超 时后就向路由器发送一个加入此组播地址的报告消息。如果主机机中一个组播地址已经 有定时器在运行了，当 v 伯l x i m u n lr e s p o n s ed e l a y 】值小于定时器的剩余值时，取【o ， m a x i m u mr e s p o n s ed e l a y 】的值重设此定时器。如果主机收到了另一个主机的报告消息 ( r e p o r t m e s s a g e ) ，而此报文与此主机有相同的组播地址，那么主机就停止运行此组播地 址的定时器，这样就防止了在链路上重复报文的发生。 当路由器收到链路上发来的一个报告消息时，如果此报文中的组播地址不存在于路 由器的组播地址表中，路由器就将此地址加到组播地址表中，并设定此地址的相关定时 器值为 m u l t i c a s tl i s t e n e ri n t e r v a l 。如果此报文中的组播地址已经存在于其组播地址表 中，则重设此地址的相关定时器值。如果路由器的组播地址表中的某个组播地址的相关 定时器超时后，然后没有收到此组播地址的报告消息，则路由器认为此组播地址在链路 上已没有任何征听者。路由器就将此地址从组播地址表