PIM-SSM應(yīng)用于警用專網(wǎng)組播的研究

李東旭，王彬，張成文

PIM-SSM應(yīng)用于警用專網(wǎng)組播的研究

李東旭，王彬，張成文

（公安部警用無線通信重點(diǎn)實(shí)驗(yàn)室，黑龍江 哈爾濱 150001）

針對警用專網(wǎng)組播中的協(xié)議框架問題，提出了采用稀疏模式下的特定源組播協(xié)議模型（PIM-SSM）的方案并分析了其合理性，經(jīng)過仿真驗(yàn)證了該模式能夠?qū)崿F(xiàn)指定信源指定組播組的數(shù)據(jù)通信，證明其對警用專網(wǎng)中組播機(jī)制的適用性。最后針對日益嚴(yán)重的DoS攻擊問題，提出了一種基于報文流量的安全防護(hù)機(jī)制。

PIM-SSM 警用專網(wǎng) 特定源組播

1 引言

隨著我國經(jīng)濟(jì)的持續(xù)發(fā)展，針對應(yīng)急事件的快速響應(yīng)與最優(yōu)化處置已成為硬性要求。原有集群專網(wǎng)中，語音流為主要的傳輸數(shù)據(jù)，但在未來寬帶多媒體集群專網(wǎng)中，多媒體數(shù)據(jù)成為了主要的傳輸內(nèi)容，數(shù)據(jù)量的增加是顯著的[1]。而專網(wǎng)的主要用戶是如公安、軍隊(duì)等政府部門，他們對集群網(wǎng)絡(luò)的要求非常嚴(yán)格，不允許出現(xiàn)網(wǎng)絡(luò)阻塞、掉話甚至延遲或抖動[2]。和多次點(diǎn)對點(diǎn)的單播傳輸相比，組播技術(shù)可以減少不必要的重疊發(fā)送，減輕系統(tǒng)和網(wǎng)絡(luò)的負(fù)擔(dān)，尤其在傳輸視頻信號時優(yōu)勢更為明顯[3]。

目前國際標(biāo)準(zhǔn)化組織正在不斷完善組播技術(shù)的相關(guān)協(xié)議，但專網(wǎng)領(lǐng)域的組播標(biāo)準(zhǔn)還并未準(zhǔn)確制定。本文正是針對組播管理協(xié)議IGMPv3（Internet Group Management Protocol verson 3）與組播路由協(xié)議PIMSM（Protocol Independent Multicast-Sparse Mode）進(jìn)行分析研究，并根據(jù)特性提出適用于警用專網(wǎng)的組播機(jī)制，最后采用基于流量的判定機(jī)制進(jìn)行DoS攻擊防御。

2 組播技術(shù)相關(guān)協(xié)議

2.1 IGMPv3協(xié)議

IGMP是因特網(wǎng)協(xié)議中的一個組播協(xié)議，目前共有三個版本，其中IGMPv3在兼容和繼承v1和v2的基礎(chǔ)上，進(jìn)一步增強(qiáng)了主機(jī)的控制能力，并增強(qiáng)了對“源過濾”機(jī)制的支持，即允許主機(jī)選擇性接收來自于某組播組內(nèi)某特定源發(fā)送的信息[4-5]。這在一定程度上符合警用無線專網(wǎng)的需求，因此選擇IGMPv3協(xié)議作為改進(jìn)平臺的路由管理協(xié)議。

2.2 PIM-SSM組播協(xié)議模型

PIM-SSM屬于稀疏模式組播路由協(xié)議，主要用于組成員分散、范圍較廣、規(guī)模較大的網(wǎng)絡(luò)[6]。PIMSSM首先建立一個組播分發(fā)樹，通過周期性廣播PIMHello消息，發(fā)現(xiàn)鄰接的PIM路由器，并在多路網(wǎng)絡(luò)中進(jìn)行指定路由器DR（Designated Router）的選舉，DR完成“加入/剪枝”管理功能，以及將組播源發(fā)送的數(shù)據(jù)送入組播分發(fā)樹[7]。

在警用寬帶專網(wǎng)的場景中，往往有多個信息源，且用戶只需接收某些特定場景的數(shù)據(jù)。而SSM（Source Specified Multicast）協(xié)議模型無需維護(hù)RP（Rendezvous Point）節(jié)點(diǎn)、無需構(gòu)建共享樹RPT（Rendezvous Point Tree）、無需注冊組播源，可根據(jù)需求直接在組播源與成員之間建立最短路徑樹SPT[8]（Shortest Path Tree），更符合警用專網(wǎng)的需求。

在地址分配方面，SSM使用基于單點(diǎn)組播源的方法構(gòu)建轉(zhuǎn)發(fā)路徑，即使兩個組播源地址相同，由于轉(zhuǎn)發(fā)路徑隔離，同樣不會造成干擾，因此每一個源地址只需避免本組播組內(nèi)部的地址沖突，不需對目的地址進(jìn)行全局分配[9]。

在接入控制方面，SSM模型中，當(dāng)接收者向一個組播組（S, G）注冊后，將只收到組播源S的信息，這樣的機(jī)制使得“洪泛”現(xiàn)象出現(xiàn)的概率大大降低。

在安全性方面，在SSM模型中，用戶只有明確組播組地址及源地址這兩個參數(shù)時，才能正確接收組播數(shù)據(jù)，因此可以將組播組地址公開，而按需向用戶公布組播源地址，大大增加了便捷性和安全性[10]。

SSM模型與IGMPv3協(xié)議的結(jié)合符合專網(wǎng)對組播通信的要求。本文選擇基于IGMPv3協(xié)議的PIM-SSM組播模型進(jìn)行分析與改進(jìn)。

2.3 PIM-SSM協(xié)議模型的實(shí)現(xiàn)

PIM-SSM協(xié)議由IGMP和PIM兩個模塊構(gòu)成。在IGMP模塊中，當(dāng)用戶得知想要加入的組播組及組播源地址后，便發(fā)送IGMP加入信息。若用戶首次使用組播功能，需調(diào)用Socket關(guān)鍵字使能組播端口，再寫入要加入的組播組數(shù)據(jù)，并在子結(jié)構(gòu)體中寫入源地址，封裝完成后向DR發(fā)送。

在PIM模塊中，路由器周期發(fā)送Hello消息來發(fā)現(xiàn)鄰居路由，消息的目的地址為224.0.0.13，這是專門為PIM消息定義的保留地址，具體過程如圖1所示：

圖1 路由器對PIM Hello報文的響應(yīng)

將收到報文中的DR信息進(jìn)行比較，優(yōu)先級高的成為DR，優(yōu)先級相同時源地址低的成為DR。到此，運(yùn)行PIM-SSM機(jī)制路由器的組播管理與路由管理模塊基本完成。

3 PIM-SSM應(yīng)用于警用組播的場景分析

前面分析了適用于警用無線專網(wǎng)的PIM-SSM機(jī)制及其選擇依據(jù)。作為一種新興的組播機(jī)制，越來越多的運(yùn)營商級設(shè)備對其提供了支持。接下來對PIM-SSM機(jī)制進(jìn)行組網(wǎng)實(shí)踐，并分析其應(yīng)用于警用專網(wǎng)可能出現(xiàn)的問題及改進(jìn)意見。

3.1 OPNET下組播場景的設(shè)計

如圖2所示，在OPNET平臺[11]下模擬了一個實(shí)際情況下的警用組播需求。本例中，有4臺路由器作為中心匯聚路由，命名為Center Router和Concrete Router。有四個部門連接到Center Router B接收數(shù)據(jù)，命名為DepartmentA-D，模擬警用組播職能部門。其中Concrete Router作為核心設(shè)備，連接作戰(zhàn)管理單元Management和命令下達(dá)單元Ordering Center。Center Router C還連接了通往無線區(qū)的路由。

接下來在核心路由器上，模擬了進(jìn)行DoS攻擊的黑客群，將在數(shù)據(jù)傳輸過程中發(fā)起DoS攻擊，干擾作戰(zhàn)指令的下達(dá)。

3.2 仿真分析及安全模塊設(shè)計

本節(jié)分析在上述場景下PIM-SSM的運(yùn)行情況，以不同用戶的視頻流延時抖動情況、端到端延時情況分析網(wǎng)絡(luò)性能，再模擬黑客群進(jìn)攻的情形，觀察網(wǎng)絡(luò)性能，最后提出一種基于瞬時注冊報文流量控制的安全機(jī)制，觀察運(yùn)行結(jié)果。

（1）PIM-SSM模型搭建驗(yàn)證

在OPNET軟件中執(zhí)行Flow Analysis功能，首先計算任兩個節(jié)點(diǎn)之間的路由信息。以相距最遠(yuǎn)的Router A和Ordering Center作為參考。

圖2 組播數(shù)據(jù)轉(zhuǎn)發(fā)模型

圖3 Router A到Ordering Center路由表

路由器A信息發(fā)送到路由器Ordering Center的路由方向如圖3所示，與網(wǎng)絡(luò)拓?fù)涞脑O(shè)計完全一樣，可知路由表被成功建立并運(yùn)行。再選擇節(jié)點(diǎn)video sender和wireless supervisor作為參考，觀察其組播數(shù)據(jù)傳輸過程，從圖4中可以發(fā)現(xiàn)，組播數(shù)據(jù)未經(jīng)過路由器Center Router B，正是使用了SPT進(jìn)行信息轉(zhuǎn)發(fā)，這在信號傳輸中能大大減少延遲，提升網(wǎng)絡(luò)整體魯棒性。

圖4 SPT樹構(gòu)建驗(yàn)證

繼續(xù)查看組播組內(nèi)的用戶video sender發(fā)送數(shù)據(jù)的連通性，如圖5所示，結(jié)果表明所有接收者均可以收到來自組播源video sender的數(shù)據(jù)。至此搭建的網(wǎng)絡(luò)模型，成功運(yùn)行了PIM-SSM機(jī)制的組播服務(wù)，且沒有發(fā)生網(wǎng)絡(luò)中斷。這種可實(shí)現(xiàn)指定信源指定組播組數(shù)據(jù)通信的協(xié)議機(jī)制更加適用于從屬關(guān)系明確的警用網(wǎng)絡(luò)環(huán)境。

（2）組播流量及安全性仿真

選擇連接在management路由器上的Navy節(jié)點(diǎn)作為參考點(diǎn)。得到?jīng)]有攻擊時節(jié)點(diǎn)Navy收到的視頻數(shù)據(jù)包的抖動延時情況如圖6，可以看出，數(shù)據(jù)延時抖動隨傳輸時間增大，在某點(diǎn)之后收斂，繼而穩(wěn)定傳輸，此時服務(wù)質(zhì)量可以得到保證。

從圖7中可以看出，隨著用戶的逐漸增加，PIM路由控制信息的數(shù)量逐漸穩(wěn)定直到結(jié)束，網(wǎng)絡(luò)具有很好的自穩(wěn)定性，視頻業(yè)務(wù)的傳輸較為理想。

圖5 組播數(shù)據(jù)連通性的檢查

圖6 正常情況下Navy節(jié)點(diǎn)的延時抖動

圖7 正常情況下網(wǎng)絡(luò)的PIM控制信息

圖8 遭受攻擊Navy數(shù)據(jù)包的抖動情況

下面模擬一次DoS攻擊，假定網(wǎng)絡(luò)節(jié)點(diǎn)總量的1/3客戶機(jī)被劫持，在短時間內(nèi)同時向重要部門management和ording center的路由器發(fā)起攻擊，進(jìn)行大量虛假IGMP報文發(fā)送及本地模擬重載用戶。

從圖8可以看出，網(wǎng)絡(luò)大約在150 s后受到了攻擊，200 s后抖動曲線呈現(xiàn)階段上升態(tài)勢，這是由于路由器具有緩存機(jī)制，大約50 s后路由器緩存區(qū)溢出，曲線開始急速上升，網(wǎng)絡(luò)整體受到影響。此時路由器負(fù)載加大，CPU資源被過度消耗，使得Navy節(jié)點(diǎn)收到的數(shù)據(jù)包流量小于正常水平，若沒有視頻清晰度的自動調(diào)節(jié)機(jī)制，將發(fā)生嚴(yán)重的抖動。此過程中，延時抖動并未顯著增加，但丟包率處于較高狀態(tài)。

圖9 遭受攻擊時PIM數(shù)據(jù)包流量

圖9 顯示了此時PIM注冊控制信息的變化，由于大量偽造路由表加入，路由器發(fā)送大量的注冊查詢信息，其瞬時流量將對路由器產(chǎn)生巨大影響。圖9中150 s時攻擊發(fā)起后，PIM注冊信息顯著增加，大約在900 s后路由器崩潰，本次DoS攻擊直接導(dǎo)致了網(wǎng)絡(luò)癱瘓。

另外如圖10，以Navy和未經(jīng)過被攻擊路由的Department A下屬user1以及與源節(jié)點(diǎn)直連的video maker為例，可以看出video maker并未受到影響，use1僅因?yàn)槁酚善鏖g的PIM信號陡增造成了輕微影響，而直接經(jīng)過被攻擊路由的Navy用戶的延時顯著增加，直至最終路由崩潰。對于網(wǎng)絡(luò)中不同位置的節(jié)點(diǎn)，DoS攻擊所造成的影響有一定差別。

圖10 遭受攻擊時Navy數(shù)據(jù)包的延遲抖動

針對攻擊造成的危害，本文提出一種主要運(yùn)行在匯聚流量較大的骨干路由的基于瞬時IGMP注冊信號流量判定的機(jī)制，對DoS攻擊進(jìn)行防護(hù)。圖11介紹了攻擊防護(hù)機(jī)制的作用機(jī)理。

圖11 基于加入報文流量限制的安全機(jī)制

安全機(jī)制的工作流程如下：

1）用戶的IGMP加入報文首先被送到路由器中流量增長率統(tǒng)計模塊。

2）每隔一定采樣時間T，對前述模塊計算的加入數(shù)據(jù)包傳輸速率進(jìn)行采樣。

3）計算連續(xù)兩次采樣數(shù)據(jù)的增長率，根據(jù)所設(shè)定的閾值來判斷用戶類別。

4）對于惡意用戶，將其發(fā)送加入數(shù)據(jù)的接口封禁，刪除通道信息。

上述的采樣時間T及閾值可根據(jù)用戶不同場景的安全性需求設(shè)定，減小不必要的路由開銷。以T=5 s及20%增長率閾值為例，再次模擬攻擊，得到Navy節(jié)點(diǎn)的延時抖動如圖12所示：

圖12 啟用安全模型后Navy節(jié)點(diǎn)的延時抖動

從其時間窗檢測數(shù)據(jù)的細(xì)節(jié)中可以看出，黑客于100 s時發(fā)動攻擊后逐漸產(chǎn)生比較大的抖動延時。此時安全判定機(jī)制生效，并陸續(xù)禁止黑客IGMP報文的發(fā)送，因此抖動逐漸回歸穩(wěn)定，可知安全機(jī)制有效阻止了黑客的DoS攻擊。

4 結(jié)束語

本文首先結(jié)合警用組播場景的特點(diǎn)，分析了PIM-SSM組播機(jī)制的特點(diǎn)及優(yōu)勢。接下來在OPNET平臺內(nèi)完成了一次警用網(wǎng)絡(luò)的模擬組網(wǎng)，配置主機(jī)與路由的各項(xiàng)參數(shù)后，最后以Navy節(jié)點(diǎn)為例，分析了該網(wǎng)絡(luò)組播進(jìn)行過程中視頻流的延時抖動，證明了該機(jī)制適用于警用專網(wǎng)的組播功能。同時模擬了一次黑客發(fā)起的針對組播的DoS攻擊，并提出了一種基于報文流量判定的安全防護(hù)機(jī)制，仿真結(jié)果表明該機(jī)制能夠較好地防護(hù)DoS攻擊。

[1] 何晨光,魏守明,蘇陽,等. 我國警用通信專網(wǎng)與公網(wǎng)比較研究[J]. 公安通信, 2015(3)： 25-27.

[2] 唐宏,李楸桐. 基于TD-LTE集群系統(tǒng)的群組尋呼處理策略[J]. 廣東通信技術(shù), 2012(10)： 75-78.

[3] 張明杰. 基于IP組播技術(shù)在遠(yuǎn)程視頻監(jiān)控系統(tǒng)中的研究與實(shí)現(xiàn)[J]. 科技信息, 2008(18)： 66-67.

[4] Holbrook H, Inc A, Cain B, et al. RFC4604 Using Internet Group Management Protocol Version 3 (IGMPv3) and Multicast Listener Discovery Protocol Version 2 (MLDv2) for Source-Specific[J]. Heise Zeitschriften Verlag, 2006(8)： 4-6.

[5] 李衛(wèi)平,黨琦,白大明. IGMP V3協(xié)議研究與實(shí)現(xiàn)[J]. 飛行器測控學(xué)報, 2012,31(3)： 66-69.

[6] 肖大衛(wèi). 基于PIM-SM協(xié)議的組播路由的設(shè)計與實(shí)現(xiàn)[D]. 西安： 西安電子科技大學(xué), 2012.

[7] Duffy F D, Lorna A, Lynn MD, et al. Self-assessment of practice performance： Development of the ABIM Practice Improvement Module (PIM SM )[J]. Journal of Continuing Education in the Health Professions, 2008,28(1)： 38-46.

[8] Schmidt T C, W?hlisch M, Wodarz M. Fast adaptive routing supporting mobile senders in Source Specific Multicast[J]. Telecommunication Systems, 2010,43(1-2)：95-108.

[9] 陳宇洋. 基于SSM模型的IPv6組播技術(shù)的研究[D]. 杭州： 杭州電子科技大學(xué), 2013.

[10] Holbrook H. Source-Specific Multicast for IP[J]. Work in Progress, 2006,35(17)： 2002.

[11] 孫屹,孟晨. OPNET通信仿真開發(fā)手冊[M]. 北京： 國防工業(yè)出版社, 2005.★

李東旭：學(xué)士畢業(yè)于電子科技大學(xué)通信工程專業(yè)，碩士研究生就讀于哈爾濱工業(yè)大學(xué)信息與通信工程專業(yè)，主要進(jìn)行最優(yōu)化算法及專網(wǎng)安全技術(shù)方面的學(xué)習(xí)和研究。

王彬：碩士畢業(yè)于哈爾濱工業(yè)大學(xué)通信工程專業(yè)，現(xiàn)任哈爾濱工業(yè)大學(xué)通信技術(shù)研究所副教授，主要從事專用移動通信系統(tǒng)及移動自組織網(wǎng)絡(luò)方面的科研及教學(xué)工作。

張成文：博士畢業(yè)于哈爾濱工業(yè)大學(xué)通信工程專業(yè)，現(xiàn)任哈爾濱工業(yè)大學(xué)通信技術(shù)研究所副教授，主要從事下一代移動通信系統(tǒng)，最優(yōu)化算法及視頻傳輸?shù)确矫娴目蒲屑敖虒W(xué)工作。

Research on Application of PIM-SSM in Multicast of Private Police Network

LI Dongxu, WANG Bin, ZHANG Chengwen
(Key Laboratory of Police Wireless Communications, Ministry of Public Security, Harbin 150001, China)

According to the protocol framework of the private police network, the scheme of PIM-SSM protocol model under the sparse mode was adopted and its feasibility was analyzed. Simulations verified the mode can achieve the data communication of the specific multicast group from the designated source and validated its applicability to the multicast in the private police network. In addition, in view of the increasingly severe DoS attacks, a security protection mechanism based on the packet traffic was proposed.

PIM-SSM private police network specific source multicast

10.3969/j.issn.1006-1010.2017.16.009

TN929.5

A

1006-1010(2017)16-0043-07

李東旭,王彬,張成文. PIM-SSM應(yīng)用于警用專網(wǎng)組播的研究[J]. 移動通信, 2017,41(16): 43-49.

2016-12-19

責(zé)任編輯：劉妙 liumiao@mbcom.cn