安全组播接入控制的研究与实现

安全组播接入控制的研究与实现

论文摘要

随着通信技术的发展,尤其是Internet的快速普及,出现了许多新的应用程序如电视会议、分布式系统、计算机协同工作等。组播技术(IP Multicast)正是针对这种应用提出的一种新的,高效的网络传输方案。近些年来,由于组播技术的不断提高,组播的应用范围也呈现出了持续扩展的趋势,然而,由于组播体系结构的特点,组播通信比单播通信更容易受到攻击,具有更大安全风险。现有的组播路由技术很难保证这一点,所以安全组播仍然是一个热点。在IP组播模型被确定的时候并没有考虑安全因素,因特网工程任务组(IETF)的基本目标是提供一个开放的IP组播模型。这种模型提供了公共的组播地址,接收者对数据源或者组播路由器来说是未知的。事实上,子网的组播路由器在处理完主机的加入组播组信息之后并没有保存主机的身份信息,也没有将它传输到上游的组播分发树。此外,任何主机可以从任何组播组接收数据,也可以将数据发到任何一个组播组。这种特性使得组播组的管理大大简化,使得IP组播能够大规模的部署。然而,这是以带来重要的组播基础设施安全漏洞为代价实现的。产生这种安全漏洞的原因是缺乏对接受者和发送者接入到转发树的控制。本论文就是针对这种状况,在国家863课题“基于端到端虚电路架构的网络安全计算模型及其关键技术的研究”的背景下采用一种新的网络安全计算模型,该模型采用端到端虚电路机制来进行数据传输。端到端的虚电路是从源节点某一端口到目标节点的另一端口之间,由软件建立的传送分组的通道,它和传统虚电路的区别在于与端口有关。这意味着它不仅支持资源子网,而且支持套接字机制。端到端的虚电路网络的拓扑结构是由公网和众多的单位地区内网构成,单位地区内网包括该地区内的所有主机,而公网则由路由器构成,公网上的路由器按功能分为传输路由器和接入路由器。接入路由器结合终端系统的认证、评估子系统来实现对接入网络的终端系统、用户进行认证/授权控制。只有通过了用户身份鉴别且终端系统安全状况评估后,终端才能够接入到动态的网络中。最后,在基于端到端虚电路的结构上设计并实现了SGMP(Security Group Management Protocol)协议,该协议由接入路由器对组成员的资格进行认证,只有接入路由器才能接受主机的组播请求,传输路由器仅负责多播数据的传输,从而确保恶意主机无法进入组播组。同时在进行组播时仅使用虚电路标识,隐藏了组播地址,使得攻击者难以发起攻击,从而有效地管理和控制组播数据传输。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 绪论
  • 1.1 背景
  • 1.2 研究的目的与意义
  • 1.3 国内外研究现状
  • 1.4 作者的主要工作
  • 1.5 论文结构
  • 1.6 本章小结
  • 第二章 组播及组播安全
  • 2.1 IP 组播介绍
  • 2.2 组播中的安全问题
  • 2.3 成员接入控制介绍
  • 2.4 成员接入控制现有解决方案
  • 2.4.1 基于时间戳和认证戳的接入控制图
  • 2.4.2 Gothic 方案
  • 2.4.3 基于令牌的接入控制
  • 2.4.4 IGMP-RAC&SAC
  • 2.5 本章小结
  • 第三章 端到端虚电路机制
  • 3.1 端到端虚电路
  • 3.2 端到端虚电路的拓扑结构
  • 3.3 端到端虚电路的建立
  • 3.4 端到端虚电路的撤销
  • 3.5 端到端虚电路的安全性
  • 3.6 端到端虚电路和组播安全
  • 3.7 本章小结
  • 第四章 总体设计方案与实现平台
  • 4.1 总体设计
  • 4.2 实现平台介绍
  • 4.2.1 Linux 系统介绍
  • 4.2.2 Linux 内核组成
  • 4.2.3 Linux 内核编程以及模块
  • 4.2.4 Linux 内核网络子系统
  • 4.2.5 Linux 网络通信用到的重要数据结构
  • 4.2.6 Linux 内核加密框架
  • 4.2.7 Linux 内核随机数产生
  • 4.2.8 Linux procfs
  • 4.3 本章小结
  • 第五章 成员接入控制设计与实现
  • 5.1 成员接入控制
  • 5.1.1 拟采取的方案
  • 5.1.2 具体方案
  • 5.2 主机端方案
  • 5.2.1 主机端框架
  • 5.2.2 初始化模块实现
  • 5.2.3 传输功能模块实现
  • 5.2.4 套接字接口模块实现
  • 5.2.5 组播接入模块实现
  • 5.2.6 传输管理模块和虚电路模块实现
  • 5.2.7 主机端主要函数介绍
  • 5.3 接入路由器方案
  • 5.3.1 成员认证模块实现
  • 5.3.2 虚电路映射模块实现
  • 5.3.3 接入路由器主要函数介绍
  • 5.4 组播管理服务器方案
  • 5.4.1 用户认证模块实现
  • 5.4.2 组播管理服务器主要函数介绍
  • 5.5 Linux procfs 实现
  • 5.6 本章小结
  • 第六章 系统测试
  • 6.1 测试环境
  • 6.1.1 硬件和软件环境
  • 6.1.2 网络拓扑结构
  • 6.2 测试用例
  • 6.2.1 测试用例测试需求关系对应表
  • 6.2.2 发送端安全认证判断处理
  • 6.2.3 接入路由器分配随机数
  • 6.2.4 接收端安全认证判断处理
  • 6.2.5 基于端到端虚电路的数据传输
  • 6.2.6 可靠性和稳定性
  • 6.3 测试总结
  • 6.4 本章小结
  • 第七章 总结与展望
  • 致谢
  • 参考文献
  • 攻硕期间取得的研究成果
  • 相关论文文献

    • [1].虚电路连通性验证(VCCV)技术研究[J]. 电脑与电信 2010(08)
    • [2].MPLS-VPN虚电路组网技术在广电的应用[J]. 有线电视技术 2011(07)
    • [3].网络层数据传输新方式研究[J]. 计算机应用 2009(S1)
    • [4].基于隐形传态的网络流量控制研究[J]. 信息通信 2016(04)
    • [5].无线MESH网分布式带宽分配算法[J]. 清华大学学报(自然科学版) 2013(03)
    • [6].PTN技术在电信运营商中的应用研究与设计[J]. 电子测试 2017(Z1)
    • [7].基于虚电路的拒绝服务攻击防御研究[J]. 计算机应用研究 2009(09)
    • [8].PTN技术在电信运营商中的应用研究与设计[J]. 阴山学刊(自然科学版) 2016(04)
    • [9].帧中继实验的研究[J]. 实验技术与管理 2009(12)

    标签:;  ;  ;  ;  

    安全组播接入控制的研究与实现
    下载Doc文档

    猜你喜欢