文章來自數盾科技
提示一下,裏面出現了不少錯別字。【GDO、GDO1,小編需要注意點喲】
擴展
首先GDOI組密鑰管理機制是什麼?
GDOI
The Group Domain of Interpretation,由IETF組織發佈的一個安全組播協議標準,是對IPSec協議的有效擴展實。
該協議主要定義了密鑰管理服務器(GCKS)和組成員(GM)兩個實體,其中GCKS負責組成員和密鑰相關信息的管理,主要包括組內成員的進入和退出及組密鑰的生成和下發等。
爲了使GDOI協議有更高的擴展性,每個多播組內可以只包含一個GCKS,也可以包含一個根GCKS和多個孩子GCKS,每個孩子GCKS負責管理它組內成員,而根GCKS負責管理孩子GCKS。GM是組播內的進行數據通信的成員,通過向密鑰管理中心發送註冊請求來加入多播組,當獲取到組內的通信數據加密密鑰後,就可以以單播或組播的形式發送和接收組內數據。
整個GDOI流程實現描述如下:
1、GM和KMC進行IKE協商(主模式)
2、GM使用GDOI協議向KMC註冊,IKE協商的策略加密這四個單播包的數據部分
3、使用IPSec SA和對應的密鑰對GM之間通信的數據流加密,GCKS會每間隔一段時間對密鑰及相關數據進行更新
在組播環境下,使用數據安全協議(IPSec協議、SRTP協議、SSL協議等)爲組播通信提供基本的安全服務。而數據安全協議自身的安全是以密鑰安全爲基礎的,只有密鑰安全,才能保證其數據安全協議的安全。
GDOI協議運行在密鑰管理服務器和組成員之間,能夠爲數據安全協議產生、發送、存儲、更新密鑰,提供安全保障。GDOI協議不僅解決了組播問題,而且還解決Qos問題、管理問題、部署問題等。
什麼是組播?
IP多播技術是通過單臺服務器發送一個消息到多臺服務器的技術方案,IP組播作爲從一點到多點的數據通信方案,能很好的節省網絡帶寬。
在消息通信中,若一臺服務器以單播形式向多臺(假設n臺)服務器發送相同的消息,需要發送n次相同的數據,浪費服務器資源和通信帶寬;若以廣播的形式發送,那發送主機會將數據發送給所有設備(無論是否需要),這會佔據其他接收主機和網絡路由的大量帶寬;若以組播形式發送,只需要發送一次,因爲組播數據會在經過路由器和交換機中進行復制並最終發送給接收主機,並且只能把消息發送給執行多播組對應的組成員中,組外成員無法接收到組內消息。
IP組播應用廣泛,比如媒體廣播,在線直播和在線課程等。
互聯網是一個資源公開的環境,很容易獲取網絡中的數據,所以IP組播的安全性也是需要重視的。
目前單播通信數據安全技術已經成熟,比如IPSec協議,可以保證兩個主機之間數據通信安全,通過使用加密算法對通信數據加密以確保數據在互聯網上傳輸是安全的。
IPSec協議工作在OSI模型的第三層,功能包括:消息加/解密、訪問控制、消息發送源驗證、數據完整性校驗和防止重放攻擊等。
IP組播比單播更加麻煩的是,存在多個組成員,要求的安全性和可靠性也要更高!
能不能改造IPSec協議,從而也能保障組播通信安全呢?
IPSec的安全服務是以共享密鑰爲基礎的,獲取共享密鑰的方式有手工輸入和密鑰協商兩種,手工輸入對組播明顯不太適用,所以只能考慮密鑰協商。IPSec中使用的是一個密鑰管理協議(IKE)來動態認證和協商生成密鑰。而IKE是一個單播協議,不適用於組播通信,所以需要設計一個用於組播密鑰管理的安全協議,使得IPSec協議能適用於組播通信。
於是GDOI協議在2003年提出,是專門針對加密系統組播密鑰管理方案。
參考
1、基於GDOI協議加密系統的改進與實現_林久龍
2、IPSec多播密鑰管理協議(GDOI)的改進及其實現
內容
需求
1、網絡通信不安全(明文傳輸)
2、傳統密碼產品,性能無法滿足當前業務需求(分佈式計算、高帶寬傳輸、更高安全性要求等)
3、並且IPSec這種單播的協議不能滿足當前複雜的網絡需求
4、需要一個高性能,安全性更高,密鑰管理更方便的加密模塊,可以靈活用於核心交換機,路由器等通信設備中。
方法
1、加/解密部分使用國密算法
採用SM2、SM3和SM4爲核心算法
2、採用GDOI協議實現組播安全通信
3、不依賴於隧道的加密技術,僅對報文內容加密,對加密節點之外的網絡透明。
隧道技術:IP隧道是指一種可在兩網絡間用網際協議進行通信的通道。此通道中,將其他網絡協議的數據包先封裝起來,然後傳送信息。
通常在混合雲中使用隧道進行公有云和私有云的通信。
結果
1、實現GDOI協議“國產化”,替換內部的加解密、雜湊、協商、簽名等算法
2、雙向加解密性能高達40Gbps
3、實現網絡平滑接入,使用靈活(對原有的系統使用模式、組網方式不需要改變)