EPON安全認(rèn)證與入侵檢測(cè)系統(tǒng)研究.pdf

1、隨著Internet的迅速普及，寬帶業(yè)務(wù)大量涌現(xiàn)，人們對(duì)帶寬的需求日益增長(zhǎng)，作為解決“最后一公里”問題的最佳方案，以太無(wú)源光網(wǎng)絡(luò)EPON應(yīng)運(yùn)而生。但EPON的點(diǎn)到多點(diǎn)(P2M)結(jié)構(gòu)，使其存在嚴(yán)重的安全隱患。研究和解決EPON系統(tǒng)的安全問題，對(duì)EPON的商業(yè)化進(jìn)程具有重要的意義。 而在安全問題上，沒有制定解決方案的標(biāo)準(zhǔn)。目前常用的認(rèn)證和加密解決安全問題的方案，或者存在缺陷，或者對(duì)某些問題無(wú)效。如何改進(jìn)現(xiàn)有方案、研究新的措施，有其必

2、然意義。 論文在對(duì)EPON系統(tǒng)中各種安全攻擊進(jìn)行詳細(xì)分析的基礎(chǔ)上，針對(duì)具體的攻擊方式，研究了一套基于注冊(cè)過程的認(rèn)證方式；對(duì)其過程與特點(diǎn)進(jìn)行了分析，針對(duì)其不能對(duì)光鏈路端OLT進(jìn)行認(rèn)證的局限性，提出了一種基于ECC(橢圓曲線)加密的雙向認(rèn)證機(jī)制，并在OLT與光網(wǎng)絡(luò)單元端ONU進(jìn)行了實(shí)現(xiàn)。針對(duì)EPON上行拒絕服務(wù)攻擊DoS的特征，研究和設(shè)計(jì)了EPON入侵檢測(cè)系統(tǒng)。 主要完成的工作和取得的成果如下： (1)分析了EPON

3、系統(tǒng)各種安全攻擊。針對(duì)EPON的結(jié)構(gòu)特點(diǎn)，對(duì)EPON系統(tǒng)各種安全攻擊包括被動(dòng)監(jiān)測(cè)、DoS、偽裝和竊取服務(wù)ToS等進(jìn)行了詳細(xì)分析，重點(diǎn)研究了DoS實(shí)施的原理、過程及其危害性；并針對(duì)EPON中不同攻擊，探討了相應(yīng)的對(duì)策，包括認(rèn)證、安全封裝、加密、入侵檢測(cè)等。 (2)提出基于ECC加密的OLT和ONU之間雙向認(rèn)證機(jī)制。在對(duì)ONU認(rèn)證分析基礎(chǔ)上，針對(duì)EPON認(rèn)證注冊(cè)過程中只對(duì)ONU進(jìn)行認(rèn)證、沒有對(duì)OLT進(jìn)行認(rèn)證，從而導(dǎo)致惡意ONU假冒O

4、LT與合法ONU交互所產(chǎn)生的安全漏洞，設(shè)計(jì)一種基于ECC加密的OLT和ONU之間雙向認(rèn)證機(jī)制，并在OLT與ONU端進(jìn)行了實(shí)現(xiàn)，提高了其安全性。 (3)對(duì)EPON中基于注冊(cè)過程的認(rèn)證過程與基于ECC加密的雙向認(rèn)證過程的性能進(jìn)行仿真分析。利用NS2(網(wǎng)絡(luò)模擬)軟件搭建EPON模塊，對(duì)基于注冊(cè)過程的認(rèn)證過程和基于ECC加密的雙向認(rèn)證過程的性能進(jìn)行了仿真，得出：與其高安全性相比，基于ECC加密的雙向認(rèn)證過程消耗帶寬較少。 (4)