標準畢業論文范文兩篇
大學生在畢業前都必須完成畢業論文的撰寫任務,它是是訓練我們獨立進行科學研究的過程。小編整理了標準畢業論文范文,歡迎閱讀!
標準畢業論文范文篇一
IP組播通信技術初探
摘要:IP組播技術為群組應用提供了一種高效的傳輸機制,但是由于缺乏對安全性、流量管理以及可靠性等方面的有效支持,使得IP組播的應用還很受限制。其中組播安全性是關鍵因素之一。在IP組播通信中,對傳輸的數據要提供機密性、完整性以及源認證性保護。而且,由于IP組播模型的開放性,使得其極易遭受DOS攻擊,因此也必須對IP組播組成員實施有效的訪問控制機制。
關鍵詞:組播安全;IP組播組成員訪問控制;組播安全策略
一、引言
在因特網的飛速發展、多媒體技術的成熟以及社會信息化的發展過程中產生了越來越多的群組應用,如股票信息分發、視頻會議、協作計算系統、付費電視、網絡游戲、分布式仿真以及鏡像同步等等。這些群組應用都需要從一個主機向多個主機或者從多個主機向多個主機發送同一信息的能力,雖然可以使用單播技術來實現這些群組應用,但使用IP組播技術可以大大節省網絡帶寬資源以及發送方的資源,而且使用組播可以縮小延遲。但是由于缺乏對流量管理、計費、可靠性以及安全性的有效支持,使得IP組播的應用還很受限制。針對安全需求以及安全缺陷,近年來很多學者對安全IP組播進行了大量的研究,取得了一定的成果,如出現了大量有效的組密鑰管理算法,但是在某些方面的研究還不夠深入或廣泛,如組播源認證、IP組播組發送者以及接收者訪問控制、集成所有這些安全要素的統一框架以及策略管理。為了使IP組播能達到商業、甚至軍事應用的要求,還有大量的工作要做。
二、IP組播的技術優勢以及安全需求
(一)技術優勢
傳統的單播通信涉及到兩方,這種通信方式下源IP主機向目標IP主機發送信息,發送方和接受方之間需要一條邏輯數據通道。使用單播通信實現群組通信系統就需要在任意兩個組成員之間都有一條獨立的邏輯數據通道,一方面浪費了資源,另一方面也限制了群組通信系統的擴展性。IP組播模式下,源IP主機只需向一個IP組播地址發送信息,通過路由系統對信息的復制以及傳送,最終就會將該信息傳送給參與IP組播通信的各個接收方。一般而言,相對于單播,使用IP組播實現群組通信具有以下優勢:降低數據發送者的計算開銷以及帶寬需求;降低網絡傳輸開銷,在組播數據傳送路徑上,每個數據包只需傳送一次。需要的網絡帶寬資源較低;擴展性好,在使用組播實現的群組通信系統中可以輕易地增加用戶的數量,使用單播則不然,即使不考慮資源的浪費,也還是要受限于應用要傳送的數據流量特性、發送端的計算能力以及接入帶寬。
(二)安全需求
通常一個通信系統對安全性的要求主要有三個方面:1、數據的機密性:數據在傳送途中不能被第三方獲得,通常可以通過加密、解密的方法實現。2、數據的完整性:數據在傳送途中不能被第三方非法修改,如果在傳送途中被修改,必須提供一種機制使得接收者能夠檢測到數據被修改過。3、數據的源認證性:數據的接收方能確保數據來自預期的發送者。
同樣,在一個安全組通信系統中也需要提供相應的機制來保證這三個方面的安全需求,IP組播系統是一個開放性很高的系統,在當前的IP組播通信模型中,任何主機都可以加入組播組從而接收組播數據,任何主機都可以向組播組發送組播數據。其中沒有任何組播組成員認證、訪問控制機制,這樣容易導致DOS攻擊,為了提供一個安全的IP組播環境,整個IP組播通信系統應該提供三類安全組件:①端到端的數據保護組件主要是對群組應用的數據進行安全保護,通常就是要保證數據的機密性、數據的完整性以及數據的源認證性。②組播分發樹保護組件對組播分發樹進行保護的主要目的就是確保分發樹能按規定的協議規范操作,這就要求保護組播分發樹中組播路由器之間交換的控制報文,通常要對這些控制報文進行認證,如 M-OSPF、PIMv2等。對這個領域的研究目標是獲得一個適用于所有組播路由協議的機制,當前用于組播分發樹保護的方法都是特定于某個組播路由協議。③組播組成員訪問控制組件在網絡邊緣路由器上提供接收者訪問控制機制,這要求要加入IP組播組的主機在加入組播組通信的請求中要給出其身份授權信息,而接受請求的路由器則必須能對這些信息進行驗證。另外還要求在組播傳送系統中提供發送者訪問控制技術以防止非組成員向組播組發送組播報文。
三、IP組播組接收者以及發送者訪問控制技術
在IP組播通信中,為了要將組播報文傳送給IP組播組成員,必須有一種機制使得IP網絡的路由系統能夠知道各個組播組成員的位置,IPv4網絡中這是通過IGMP來實現的。當前的IP組播模型中,只要知道組播組的IP組播地址,任何主機都可以使用IGMP協議加入IP組播組,從而接收到組播報文。通過引入組密鑰管理技術進而使用授權組成員共享的組密鑰對組播數據進行加密可以防止非授權組成員訪問明文的組播數據。但是這種方法至少存在兩個缺陷:首先非授權組成員的主機可以通過加入組播組而接收到加密過的組播報文進而進行業務流量分析,這可能會導致潛在的攻擊;其次非授權組成員可以通過加入大量的IP組播組而給IP網絡帶來大量不必要的流量,浪費網絡帶寬資源以及路由系統的計算資源從而導致拒絕服務攻擊。由此可見,為了提供一個安全有效的IP組播通信環境,有必要對現有的IP組播模型進行改進,引入組播組接收者訪問控制機制從而限制主機加入IP組播組的能力。
(一)因特網組管理協議以及組播路由協議簡介
IPv4網絡中,IGMP協議在主機和路由器之間提供了必要的用于IP組播組成員關系維護的消息機制,通過IGMP協議,主機有兩種方式加入一個IP組播組。第一種方式是基于IGMP 查詢響應過程的被動加入方式,通常一個組播路由器會周期的向子網組播一個成員關系查詢報文,如果某個主機想加入一個IP組播組,其可以通過響應該查詢報文而加入相應的IP組播組。另外一種方式就是主機也可以主動地向組播路由器發送加入IP組播組的請求,這種方式下主機可以立即加入組播組而不必等待組播路由器的查詢報文。在IGMP以及MLD中,組播路由器都沒有實施任何的授權訪問控制機制,因而任意一個主機都可以隨時隨地的加入任何組播組。同樣,只要知道 IP組播地址,任意一個主機都可以向組播組發送組播報文。
在IP組播中,通常是用一個組播分發樹來描述以及維護IP組播報文傳送給組播組接收者的路徑信息。組播分發樹分為兩類:有源樹以及共享樹。通常發送者啟動的組播路由協議,會在每個組播源與所有接收者之間建立一個組播分發樹,這顆樹以組播源為根,稱之為有源樹,使用洪泛以及剪枝機制來傳送組播報文。接收者啟動的組播路由協議,則要求每個想參與組播組通信的接收者都要發送一個顯式的加入報文,這類組播路由協議會建立一顆路由分發樹,這顆路由分發樹的根稱之為RP(rendezvous point),所有的組播報文首先都發送給RP,再由RP將其發送給各個接收者,此方法較為常用。
(二)組播組接收者訪問控制技術
組播組接收者訪問控制問題實際上也是一個認證授權問題,通常這就要求有對組成員身份進行認證的能力。Judge[Judge2002]等給出了一個可用于安全IP組播的組播組訪問控制方案Gothic。Gothic 實際上是一種組播組接收者訪問控制機制,Gothic方案包括兩個子系統:組策略管理子系統以及組成員授權子系統。其中組策略管理系統主要負責安全組播組的策略管理。而組成員授權子系統則提供了一種基于PKI的組成員認證授權機制。組成員授權子系統包括三方:主機、路由器以及訪問控制服務器(ACS),ACS的主要職責就是對組成員進行認證授權。組擁有者通過組策略管理子系統向ACS服務器發送一個允許加入該組播組的成員列表。Gothic方案的缺點是:在其中沒有發送者訪問控制機制,為了對組播組接收者進行訪問控制,路由器要進行昂貴的數字簽名驗證計算,另外,為了實現有效的再授權機制,路由器必須持有當前的組密鑰,在組成員和組播路由系統之間不存在安全信任關系的時候,這會影響組應用的安全性。在Gothic組播組接收者訪問控制方案中,為了進行訪問控制,路由器要進行昂貴的數字簽名驗證計算,這會給路由系統帶來巨大的計算開銷而影響整個系統的能力,注意到在現有大多數組密鑰管理協議中,不管是集中式還是分布式組密鑰管理協議,為了提高性能都采用組播系統本身作為組密鑰更新報文的傳送方式。但是其都有一個共同的特點,就是新加入的組成員是通過安全單播而不是組播的方式獲得組密鑰的,根據這一特性可以對Gothic方案中的組成員授權系統進行改進。
四、總結
傳統IP組播模型的開放性使得整個IP組播體系架構易于遭受DoS攻擊,因而有必要引入IP組播組的接收者、發送者訪問控制技術,本文介紹了當前IP組播模型易遭受的攻擊,及Gothic接收者訪問控制機制,對Gothic方案提出了改進想法,可消除Gothic方案中組成員與組播路由器之間必須存在安全信任關系的限制。簡要分析了存在接收者訪問控制機制的安全組播環境中組密鑰管理方案的安全需求的變化,以及組密鑰更新規則的變化。本文所做的成果為進一步的研究工作打下了堅實的基礎。
點擊下頁還有更多>>>標準畢業論文范文