技術領域

本發明屬于通信網絡安全領域，涉及一種應用于移動通信網絡中基于MIPv6的安 全組播方法。

背景技術

組播技術是一種針對多點傳輸和多方協作應用的通信模型。是指發送方僅傳輸一 份數據，通過讓網路元素(如組播路由器和交換機)給接收方復制所需份數的數據， 然后把數據包適當的轉發到所有用戶。組播的優勢在于既能降低發送方的計算負荷， 也能降低網上數據的份數，從而高效地利用網絡資源。目前已經有很多的應用：衛星 電視轉播、軟件在線分發與升級、股市行情流、Web超高速緩沖存儲、MFTP、IP電視 遠程及視頻會議、多媒體會議、視頻點播、多方網絡游戲、計算機協同工作都需要1 到多或者多到多的組播通信技術。

然而，組播的安全問題卻阻礙了組播技術的廣泛使用。IRTF的SMuG和IETF的MSEC 認為：安全組播數據處理、密鑰素材管理和組播安全策略是組播安全的三個方面。目 前的研究主要集中于安全組播數據處理和密鑰素材管理，其中安全組播數據處理主要 是使用加密和認證技術，而密鑰素材管理則主要有集中式、分布式和分擔式的方法。

雖然明確了組播數據處理的方法，但是目前的研究只是關注了加密和認證技術， 卻沒有具體說明在實際的網絡中怎么完成加密和認證。而密鑰素材管理的三種方式各 有優劣，要根據使用的實際情況加以抉擇，還有和上面同樣的問題就是，不管使用何 種密鑰管理方式，如何將研究的管理模型應用于實際網絡也并不明確。

而IPv6和移動網絡的發展是網絡通信的必然趨勢。如何設計能夠滿足符合移動 IPv6的應用要求的安全組播的數據處理和組播密鑰管理技術是組播安全領域的目標之 一。

目前的研究或者只關注認證和加密算法本身，或者只從邏輯上說明怎樣高效的完 成組密鑰管理，或者是只適用于固定網絡或者IPv4環境下。為了組播技術能夠在下一 代網絡環境中得到充分的應用，迫切需要設計一種滿足移動IPv6環境下的組播安全技 術。

發明內容

本發明的目的是在移動IPv6下，提供一種可行的安全組播的整體方案，并從通信 機制上說明該方案的可行性；在此基礎上提出一種動態分層的組播密鑰管理技術，并 給出了這種模型下的一種組播加密方法、GC/KS(組控制器/密鑰服務器)、組播組和組 播源組成。

本發明的目的是這樣實現的，一種基于MIPv6的安全組播方法及步驟，其特征在 于：它包括CA(認證中心)1、組成員2、組播源3以及GCKS4；

其中，CA(認證中心)1用于對組成員和組播源以及GCKS的認證并分發證書；

GCKS4用于對組成員2進行接入注冊認證、密鑰更新消息的分發，用于向接入路由 器轉發組成員2的信息列表；用于與組播源進行SA(安全關聯)協商；用于GCKS間協 商構建組密鑰；

組播源3用于通過中間路由器向組成員2發送組播數據包；

組成員2用于獲得組播數據包。

所述的CA中心采用PKI公鑰基礎設施的CA部署方法；分發證書的格式采用基于 X.509格式。

所述的GCKS中用于與組播源進行SA(安全關聯)協商包括使用的加密算法，加密 密鑰，以及SA的參數如{源ip，目的ip，spi}等，并由GCKS指定spi。

所述的GCKS完成對組成員的接入注冊認證后，是向接入路由器發送組成員列表。

所述的接入路由器可以是多個。

一種基于MIPv6的安全組播步驟，其步驟包括：

a)首先CA中心對GCKS進行認證并分發證書；

b)CA中心對潛在組成員和組播源認證并分發證書；

c)接入路由器發送MLD(組播路由偵聽)消息；

d)潛在組成員向GCKS發送注冊請求消息，表明要加入組播組；

e)GCKS向潛在組成員發送注冊請求應答消息，使潛在組成員成為組成員；

f)GCKS向組成員組播組密鑰k_group；

g)GCKS向組成員申請加入的Router發送可信的成員列表；

h)接入路由器發送MLD應答確定潛在組成員加入組播組；

i)GCKS和組播源協商建立SA(安全關聯)；

j)組播源用k_group加密組播數據通過接入路由器向組播組轉發組播數據。