一、引言
　　在因特网的飞速发展、多媒体技术的成熟以及社会信息化的发展过程中产生了越来越多的群组应用，如股票信息分发、视频会议、协作计算系统、付费电视、网络游戏、分布式仿真以及镜像同步等等。这些群组应用都需要从一个主机向多个主机或者从多个主机向多个主机发送同一信息的能力，虽然可以使用单播技术来实现这些群组应用，但使用IP组播技术可以大大节省网络带宽资源以及发送方的资源，而且使用组播可以缩小延迟。但是由于缺乏对流量管理、计费、可靠性以及安全性的有效支持，使得IP组播的应用还很受限制。针对安全需求以及安全缺陷，近年来很多学者对安全IP组播进行了大量的研究，取得了一定的成果，如出现了大量有效的组密钥管理算法，但是在某些方面的研究还不够深入或广泛，如组播源认证、IP组播组发送者以及接收者访问控制、集成所有这些安全要素的统一框架以及策略管理。为了使IP组播能达到商业、甚至军事应用的要求，还有大量的工作要做。　

　二、IP组播的技术优势以及安全需求

　　（一）技术优势
　　传统的单播通信涉及到两方，这种通信方式下源IP主机向目标IP主机发送信息，发送方和接受方之间需要一条逻辑数据通道。使用单播通信实现群组通信系统就需要在任意两个组成员之间都有一条独立的逻辑数据通道，一方面浪费了资源，另一方面也限制了群组通信系统的扩展性。IP组播模式下，源IP主机只需向一个IP组播地址发送信息，通过路由系统对信息的复制以及传送，最终就会将该信息传送给参与IP组播通信的各个接收方。一般而言，相对于单播，使用IP组播实现群组通信具有以下优势：降低数据发送者的计算开销以及带宽需求；降低网络传输开销，在组播数据传送路径上，每个数据包只需传送一次。需要的网络带宽资源较低；扩展性好，在使用组播实现的群组通信系统中可以轻易地增加用户的数量，使用单播则不然，即使不考虑资源的浪费，也还是要受限于应用要传送的数据流量特性、发送端的计算能力以及接入带宽。

　　（二）安全需求
　　通常一个通信系统对安全性的要求主要有三个方面：1、数据的机密性：数据在传送途中不能被第三方获得，通常可以通过加密、解密的方法实现。2、数据的完整性：数据在传送途中不能被第三方非法修改，如果在传送途中被修改，必须提供一种机制使得接收者能够检测到数据被修改过。3、数据的源认证性：数据的接收方能确保数据来自预期的发送者。

同样，在一个安全组通信系统中也需要提供相应的机制来保证这三个方面的安全需求，IP组播系统是一个开放性很高的系统，在当前的IP组播通信模型中，任何主机都可以加入组播组从而接收组播数据，任何主机都可以向组播组发送组播数据。其中没有任何组播组成员认证、访问控制机制，这样容易导致DOS攻击，为了提供一个安全的IP组播环境，整个IP组播通信系统应该提供三类安全组件：①端到端的数据保护组件主要是对群组应用的数据进行安全保护，通常就是要保证数据的机密性、数据的完整性以及数据的源认证性。②组播分发树保护组件对组播分发树进行保护的主要目的就是确保分发树能按规定的协议规范操作，这就要求保护组播分发树中组播路由器之间交换的控制报文，通常要对这些控制报文进行认证，如 M-OSPF、PIMv2等。对这个领域的研究目标是获得一个适用于所有组播路由协议的机制，当前用于组播分发树保护的方法都是特定于某个组播路由协议。③组播组成员访问控制组件在网络边缘路由器上提供接收者访问控制机制，这要求要加入IP组播组的主机在加入组播组通信的请求中要给出其身份授权信息，而接受请求的路由器则必须能对这些信息进行验证。另外还要求在组播传送系统中提供发送者访问控制技术以防止非组成员向组播组发送组播报文。

　　三、IP组播组接收者以及发送者访问控制技术

　　在IP组播通信中，为了要将组播报文传送给IP组播组成员，必须有一种机制使得IP网络的路由系统能够知道各个组播组成员的位置，IPv4网络中这是通过IGMP来实现的。当前的IP组播模型中，只要知道组播组的IP组播地址，任何主机都可以使用IGMP协议加入IP组播组，从而接收到组播报文。通过引入组密钥管理技术进而使用授权组成员共享的组密钥对组播数据进行加密可以防止非授权组成员访问明文的组播数据。但是这种方法至少存在两个缺陷：首先非授权组成员的主机可以通过加入组播组而接收到加密过的组播报文进而进行业务流量分析，这可能会导致潜在的攻击；其次非授权组成员可以通过加入大量的IP组播组而给IP网络带来大量不必要的流量，浪费网络带宽资源以及路由系统的计算资源从而导致拒绝服务攻击。由此可见，为了提供一个安全有效的IP组播通信环境，有必要对现有的IP组播模型进行改进，引入组播组接收者访问控制机制从而限制主机加入IP组播组的能力。

　　（一）因特网组管理协议以及组播路由协议简介

　　IPv4网络中，IGMP协议在主机和路由器之间提供了必要的用于IP组播组成员关系维护的消息机制，通过IGMP协议，主机有两种方式加入一个IP组播组。第一种方式是基于IGMP 查询响应过程的被动加入方式，通常一个组播路由器会周期的向子网组播一个成员关系查询报文，如果某个主机想加入一个IP组播组，其可以通过响应该查询报文而加入相应的IP组播组。另外一种方式就是主机也可以主动地向组播路由器发送加入IP组播组的请求，这种方式下主机可以立即加入组播组而不必等待组播路由器的查询报文。在IGMP以及MLD中，组播路由器都没有实施任何的授权访问控制机制，因而任意一个主机都可以随时随地的加入任何组播组。同样，只要知道 IP组播地址，任意一个主机都可以向组播组发送组播报文。

　　在IP组播中，通常是用一个组播分发树来描述以及维护IP组播报文传送给组播组接收者的路径信息。组播分发树分为两类：有源树以及共享树。通常发送者启动的组播路由协议，会在每个组播源与所有接收者之间建立一个组播分发树，这颗树以组播源为根，称之为有源树，使用洪泛以及剪枝机制来传送组播报文。接收者启动的组播路由协议，则要求每个想参与组播组通信的接收者都要发送一个显式的加入报文，这类组播路由协议会建立一颗路由分发树，这颗路由分发树的根称之为RP（rendezvous point），所有的组播报文首先都发送给RP，再由RP将其发送给各个接收者，此方法较为常用。

　　（二）组播组接收者访问控制技术

　　组播组接收者访问控制问题实际上也是一个认证授权问题，通常这就要求有对组成员身份进行认证的能力。Judge[Judge2002]等给出了一个可用于安全IP组播的组播组访问控制方案Gothic。Gothic 实际上是一种组播组接收者访问控制机制，Gothic方案包括两个子系统：组策略管理子系统以及组成员授权子系统。其中组策略管理系统主要负责安全组播组的策略管理。而组成员授权子系统则提供了一种基于PKI的组成员认证授权机制。组成员授权子系统包括三方：主机、路由器以及访问控制服务器（ACS），ACS的主要职责就是对组成员进行认证授权。组拥有者通过组策略管理子系统向ACS服务器发送一个允许加入该组播组的成员列表。Gothic方案的缺点是：在其中没有发送者访问控制机制，为了对组播组接收者进行访问控制，路由器要进行昂贵的数字签名验证计算，另外，为了实现有效的再授权机制，路由器必须持有当前的组密钥，在组成员和组播路由系统之间不存在安全信任关系的时候，这会影响组应用的安全性。在Gothic组播组接收者访问控制方案中，为了进行访问控制，路由器要进行昂贵的数字签名验证计算，这会给路由系统带来巨大的计算开销而影响整个系统的能力，注意到在现有大多数组密钥管理协议中，不管是集中式还是分布式组密钥管理协议，为了提高性能都采用组播系统本身作为组密钥更新报文的传送方式。但是其都有一个共同的特点，就是新加入的组成员是通过安全单播而不是组播的方式获得组密钥的，根据这一特性可以对Gothic方案中的组成员授权系统进行改进。

　　四、总结

　　传统IP组播模型的开放性使得整个IP组播体系架构易于遭受DoS攻击，因而有必要引入IP组播组的接收者、发送者访问控制技术，本文介绍了当前IP组播模型易遭受的攻击，及Gothic接收者访问控制机制，对Gothic方案提出了改进想法，可消除Gothic方案中组成员与组播路由器之间必须存在安全信任关系的限制。简要分析了存在接收者访问控制机制的安全组播环境中组密钥管理方案的安全需求的变化，以及组密钥更新规则的变化。本文所做的成果为进一步的研究工作打下了坚实的基础。