文章来自数盾科技
提示一下,里面出现了不少错别字。【GDO、GDO1,小编需要注意点哟】
首先GDOI组密钥管理机制是什么?
The Group Domain of Interpretation,由IETF组织发布的一个安全组播协议标准,是对IPSec协议的有效扩展实。
该协议主要定义了密钥管理服务器(GCKS)和组成员(GM)两个实体,其中GCKS负责组成员和密钥相关信息的管理,主要包括组内成员的进入和退出及组密钥的生成和下发等。
为了使GDOI协议有更高的扩展性,每个多播组内可以只包含一个GCKS,也可以包含一个根GCKS和多个孩子GCKS,每个孩子GCKS负责管理它组内成员,而根GCKS负责管理孩子GCKS。GM是组播内的进行数据通信的成员,通过向密钥管理中心发送注册请求来加入多播组,当获取到组内的通信数据加密密钥后,就可以以单播或组播的形式发送和接收组内数据。
整个GDOI流程实现描述如下:
1、GM和KMC进行IKE协商(主模式)
2、GM使用GDOI协议向KMC注册,IKE协商的策略加密这四个单播包的数据部分
3、使用IPSec SA和对应的密钥对GM之间通信的数据流加密,GCKS会每间隔一段时间对密钥及相关数据进行更新
在组播环境下,使用数据安全协议(IPSec协议、SRTP协议、SSL协议等)为组播通信提供基本的安全服务。而数据安全协议自身的安全是以密钥安全为基础的,只有密钥安全,才能保证其数据安全协议的安全。
GDOI协议运行在密钥管理服务器和组成员之间,能够为数据安全协议产生、发送、存储、更新密钥,提供安全保障。GDOI协议不仅解决了组播问题,而且还解决Qos问题、管理问题、部署问题等。
什么是组播?
IP多播技术是通过单台服务器发送一个消息到多台服务器的技术方案,IP组播作为从一点到多点的数据通信方案,能很好的节省网络带宽。
在消息通信中,若一台服务器以单播形式向多台(假设n台)服务器发送相同的消息,需要发送n次相同的数据,浪费服务器资源和通信带宽;若以广播的形式发送,那发送主机会将数据发送给所有设备(无论是否需要),这会占据其他接收主机和网络路由的大量带宽;若以组播形式发送,只需要发送一次,因为组播数据会在经过路由器和交换机中进行复制并最终发送给接收主机,并且只能把消息发送给执行多播组对应的组成员中,组外成员无法接收到组内消息。
IP组播应用广泛,比如媒体广播,在线直播和在线课程等。
互联网是一个资源公开的环境,很容易获取网络中的数据,所以IP组播的安全性也是需要重视的。
目前单播通信数据安全技术已经成熟,比如IPSec协议,可以保证两个主机之间数据通信安全,通过使用加密算法对通信数据加密以确保数据在互联网上传输是安全的。
IPSec协议工作在OSI模型的第三层,功能包括:消息加/解密、访问控制、消息发送源验证、数据完整性校验和防止重放攻击等。
IP组播比单播更加麻烦的是,存在多个组成员,要求的安全性和可靠性也要更高!
能不能改造IPSec协议,从而也能保障组播通信安全呢?
IPSec的安全服务是以共享密钥为基础的,获取共享密钥的方式有手工输入和密钥协商两种,手工输入对组播明显不太适用,所以只能考虑密钥协商。IPSec中使用的是一个密钥管理协议(IKE)来动态认证和协商生成密钥。而IKE是一个单播协议,不适用于组播通信,所以需要设计一个用于组播密钥管理的安全协议,使得IPSec协议能适用于组播通信。
于是GDOI协议在2003年提出,是专门针对加密系统组播密钥管理方案。
1、基于GDOI协议加密系统的改进与实现_林久龙
2、IPSec多播密钥管理协议(GDOI)的改进及其实现
1、网络通信不安全(明文传输)
2、传统密码产品,性能无法满足当前业务需求(分布式计算、高带宽传输、更高安全性要求等)
3、并且IPSec这种单播的协议不能满足当前复杂的网络需求
4、需要一个高性能,安全性更高,密钥管理更方便的加密模块,可以灵活用于核心交换机,路由器等通信设备中。
1、加/解密部分使用国密算法
采用SM2、SM3和SM4为核心算法
2、采用GDOI协议实现组播安全通信
3、不依赖于隧道的加密技术,仅对报文内容加密,对加密节点之外的网络透明。
隧道技术:IP隧道是指一种可在两网络间用网际协议进行通信的通道。此通道中,将其他网络协议的数据包先封装起来,然后传送信息。
通常在混合云中使用隧道进行公有云和私有云的通信。
1、实现GDOI协议“国产化”,替换内部的加解密、杂凑、协商、签名等算法
2、双向加解密性能高达40Gbps
3、实现网络平滑接入,使用灵活(对原有的系统使用模式、组网方式不需要改变)