安全組播接入控制的研究與實(shí)現(xiàn).pdf

1、隨著通信技術(shù)的發(fā)展,尤其是Internet的快速普及,出現(xiàn)了許多新的應(yīng)用程序如電視會(huì)議、分布式系統(tǒng)、計(jì)算機(jī)協(xié)同工作等。組播技術(shù)(IP Multicast)正是針對(duì)這種應(yīng)用提出的一種新的,高效的網(wǎng)絡(luò)傳輸方案。近些年來,由于組播技術(shù)的不斷提高,組播的應(yīng)用范圍也呈現(xiàn)出了持續(xù)擴(kuò)展的趨勢(shì),然而,由于組播體系結(jié)構(gòu)的特點(diǎn),組播通信比單播通信更容易受到攻擊,具有更大安全風(fēng)險(xiǎn)?，F(xiàn)有的組播路由技術(shù)很難保證這一點(diǎn),所以安全組播仍然是一個(gè)熱點(diǎn)。
　　

2、在IP組播模型被確定的時(shí)候并沒有考慮安全因素,因特網(wǎng)工程任務(wù)組(IETF)的基本目標(biāo)是提供一個(gè)開放的IP組播模型。這種模型提供了公共的組播地址,接收者對(duì)數(shù)據(jù)源或者組播路由器來說是未知的。事實(shí)上,子網(wǎng)的組播路由器在處理完主機(jī)的加入組播組信息之后并沒有保存主機(jī)的身份信息,也沒有將它傳輸?shù)缴嫌蔚慕M播分發(fā)樹。
　　 此外,任何主機(jī)可以從任何組播組接收數(shù)據(jù),也可以將數(shù)據(jù)發(fā)到任何一個(gè)組播組。這種特性使得組播組的管理大大簡(jiǎn)化,使得IP組播能夠

3、大規(guī)模的部署。然而,這是以帶來重要的組播基礎(chǔ)設(shè)施安全漏洞為代價(jià)實(shí)現(xiàn)的。產(chǎn)生這種安全漏洞的原因是缺乏對(duì)接受者和發(fā)送者接入到轉(zhuǎn)發(fā)樹的控制。
　　 本論文就是針對(duì)這種狀況,在國家863課題“基于端到端虛電路架構(gòu)的網(wǎng)絡(luò)安全計(jì)算模型及其關(guān)鍵技術(shù)的研究”的背景下采用一種新的網(wǎng)絡(luò)安全計(jì)算模型,該模型采用端到端虛電路機(jī)制來進(jìn)行數(shù)據(jù)傳輸。端到端的虛電路是從源節(jié)點(diǎn)某一端口到目標(biāo)節(jié)點(diǎn)的另一端口之間,由軟件建立的傳送分組的通道,它和傳統(tǒng)虛電路的區(qū)別在于

4、與端口有關(guān)。這意味著它不僅支持資源子網(wǎng),而且支持套接字機(jī)制。端到端的虛電路網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)是由公網(wǎng)和眾多的單位地區(qū)內(nèi)網(wǎng)構(gòu)成,單位地區(qū)內(nèi)網(wǎng)包括該地區(qū)內(nèi)的所有主機(jī),而公網(wǎng)則由路由器構(gòu)成,公網(wǎng)上的路由器按功能分為傳輸路由器和接入路由器。接入路由器結(jié)合終端系統(tǒng)的認(rèn)證、評(píng)估子系統(tǒng)來實(shí)現(xiàn)對(duì)接入網(wǎng)絡(luò)的終端系統(tǒng)、用戶進(jìn)行認(rèn)證/授權(quán)控制。只有通過了用戶身份鑒別且終端系統(tǒng)安全狀況評(píng)估后,終端才能夠接入到動(dòng)態(tài)的網(wǎng)絡(luò)中。
　　 最后,在基于端到端虛電路的