標準畢業(yè)論文范文兩篇
大學(xué)生在畢業(yè)前都必須完成畢業(yè)論文的撰寫任務(wù),它是是訓(xùn)練我們獨立進行科學(xué)研究的過程。小編整理了標準畢業(yè)論文范文,歡迎閱讀!
標準畢業(yè)論文范文篇一
IP組播通信技術(shù)初探
摘要:IP組播技術(shù)為群組應(yīng)用提供了一種高效的傳輸機制,但是由于缺乏對安全性、流量管理以及可靠性等方面的有效支持,使得IP組播的應(yīng)用還很受限制。其中組播安全性是關(guān)鍵因素之一。在IP組播通信中,對傳輸?shù)臄?shù)據(jù)要提供機密性、完整性以及源認證性保護。而且,由于IP組播模型的開放性,使得其極易遭受DOS攻擊,因此也必須對IP組播組成員實施有效的訪問控制機制。
關(guān)鍵詞:組播安全;IP組播組成員訪問控制;組播安全策略
一、引言
在因特網(wǎng)的飛速發(fā)展、多媒體技術(shù)的成熟以及社會信息化的發(fā)展過程中產(chǎn)生了越來越多的群組應(yīng)用,如股票信息分發(fā)、視頻會議、協(xié)作計算系統(tǒng)、付費電視、網(wǎng)絡(luò)游戲、分布式仿真以及鏡像同步等等。這些群組應(yīng)用都需要從一個主機向多個主機或者從多個主機向多個主機發(fā)送同一信息的能力,雖然可以使用單播技術(shù)來實現(xiàn)這些群組應(yīng)用,但使用IP組播技術(shù)可以大大節(jié)省網(wǎng)絡(luò)帶寬資源以及發(fā)送方的資源,而且使用組播可以縮小延遲。但是由于缺乏對流量管理、計費、可靠性以及安全性的有效支持,使得IP組播的應(yīng)用還很受限制。針對安全需求以及安全缺陷,近年來很多學(xué)者對安全IP組播進行了大量的研究,取得了一定的成果,如出現(xiàn)了大量有效的組密鑰管理算法,但是在某些方面的研究還不夠深入或廣泛,如組播源認證、IP組播組發(fā)送者以及接收者訪問控制、集成所有這些安全要素的統(tǒng)一框架以及策略管理。為了使IP組播能達到商業(yè)、甚至軍事應(yīng)用的要求,還有大量的工作要做。
二、IP組播的技術(shù)優(yōu)勢以及安全需求
(一)技術(shù)優(yōu)勢
傳統(tǒng)的單播通信涉及到兩方,這種通信方式下源IP主機向目標IP主機發(fā)送信息,發(fā)送方和接受方之間需要一條邏輯數(shù)據(jù)通道。使用單播通信實現(xiàn)群組通信系統(tǒng)就需要在任意兩個組成員之間都有一條獨立的邏輯數(shù)據(jù)通道,一方面浪費了資源,另一方面也限制了群組通信系統(tǒng)的擴展性。IP組播模式下,源IP主機只需向一個IP組播地址發(fā)送信息,通過路由系統(tǒng)對信息的復(fù)制以及傳送,最終就會將該信息傳送給參與IP組播通信的各個接收方。一般而言,相對于單播,使用IP組播實現(xiàn)群組通信具有以下優(yōu)勢:降低數(shù)據(jù)發(fā)送者的計算開銷以及帶寬需求;降低網(wǎng)絡(luò)傳輸開銷,在組播數(shù)據(jù)傳送路徑上,每個數(shù)據(jù)包只需傳送一次。需要的網(wǎng)絡(luò)帶寬資源較低;擴展性好,在使用組播實現(xiàn)的群組通信系統(tǒng)中可以輕易地增加用戶的數(shù)量,使用單播則不然,即使不考慮資源的浪費,也還是要受限于應(yīng)用要傳送的數(shù)據(jù)流量特性、發(fā)送端的計算能力以及接入帶寬。
(二)安全需求
通常一個通信系統(tǒng)對安全性的要求主要有三個方面:1、數(shù)據(jù)的機密性:數(shù)據(jù)在傳送途中不能被第三方獲得,通??梢酝ㄟ^加密、解密的方法實現(xiàn)。2、數(shù)據(jù)的完整性:數(shù)據(jù)在傳送途中不能被第三方非法修改,如果在傳送途中被修改,必須提供一種機制使得接收者能夠檢測到數(shù)據(jù)被修改過。3、數(shù)據(jù)的源認證性:數(shù)據(jù)的接收方能確保數(shù)據(jù)來自預(yù)期的發(fā)送者。
同樣,在一個安全組通信系統(tǒng)中也需要提供相應(yīng)的機制來保證這三個方面的安全需求,IP組播系統(tǒng)是一個開放性很高的系統(tǒng),在當(dāng)前的IP組播通信模型中,任何主機都可以加入組播組從而接收組播數(shù)據(jù),任何主機都可以向組播組發(fā)送組播數(shù)據(jù)。其中沒有任何組播組成員認證、訪問控制機制,這樣容易導(dǎo)致DOS攻擊,為了提供一個安全的IP組播環(huán)境,整個IP組播通信系統(tǒng)應(yīng)該提供三類安全組件:①端到端的數(shù)據(jù)保護組件主要是對群組應(yīng)用的數(shù)據(jù)進行安全保護,通常就是要保證數(shù)據(jù)的機密性、數(shù)據(jù)的完整性以及數(shù)據(jù)的源認證性。②組播分發(fā)樹保護組件對組播分發(fā)樹進行保護的主要目的就是確保分發(fā)樹能按規(guī)定的協(xié)議規(guī)范操作,這就要求保護組播分發(fā)樹中組播路由器之間交換的控制報文,通常要對這些控制報文進行認證,如 M-OSPF、PIMv2等。對這個領(lǐng)域的研究目標是獲得一個適用于所有組播路由協(xié)議的機制,當(dāng)前用于組播分發(fā)樹保護的方法都是特定于某個組播路由協(xié)議。③組播組成員訪問控制組件在網(wǎng)絡(luò)邊緣路由器上提供接收者訪問控制機制,這要求要加入IP組播組的主機在加入組播組通信的請求中要給出其身份授權(quán)信息,而接受請求的路由器則必須能對這些信息進行驗證。另外還要求在組播傳送系統(tǒng)中提供發(fā)送者訪問控制技術(shù)以防止非組成員向組播組發(fā)送組播報文。
三、IP組播組接收者以及發(fā)送者訪問控制技術(shù)
在IP組播通信中,為了要將組播報文傳送給IP組播組成員,必須有一種機制使得IP網(wǎng)絡(luò)的路由系統(tǒng)能夠知道各個組播組成員的位置,IPv4網(wǎng)絡(luò)中這是通過IGMP來實現(xiàn)的。當(dāng)前的IP組播模型中,只要知道組播組的IP組播地址,任何主機都可以使用IGMP協(xié)議加入IP組播組,從而接收到組播報文。通過引入組密鑰管理技術(shù)進而使用授權(quán)組成員共享的組密鑰對組播數(shù)據(jù)進行加密可以防止非授權(quán)組成員訪問明文的組播數(shù)據(jù)。但是這種方法至少存在兩個缺陷:首先非授權(quán)組成員的主機可以通過加入組播組而接收到加密過的組播報文進而進行業(yè)務(wù)流量分析,這可能會導(dǎo)致潛在的攻擊;其次非授權(quán)組成員可以通過加入大量的IP組播組而給IP網(wǎng)絡(luò)帶來大量不必要的流量,浪費網(wǎng)絡(luò)帶寬資源以及路由系統(tǒng)的計算資源從而導(dǎo)致拒絕服務(wù)攻擊。由此可見,為了提供一個安全有效的IP組播通信環(huán)境,有必要對現(xiàn)有的IP組播模型進行改進,引入組播組接收者訪問控制機制從而限制主機加入IP組播組的能力。
(一)因特網(wǎng)組管理協(xié)議以及組播路由協(xié)議簡介
IPv4網(wǎng)絡(luò)中,IGMP協(xié)議在主機和路由器之間提供了必要的用于IP組播組成員關(guān)系維護的消息機制,通過IGMP協(xié)議,主機有兩種方式加入一個IP組播組。第一種方式是基于IGMP 查詢響應(yīng)過程的被動加入方式,通常一個組播路由器會周期的向子網(wǎng)組播一個成員關(guān)系查詢報文,如果某個主機想加入一個IP組播組,其可以通過響應(yīng)該查詢報文而加入相應(yīng)的IP組播組。另外一種方式就是主機也可以主動地向組播路由器發(fā)送加入IP組播組的請求,這種方式下主機可以立即加入組播組而不必等待組播路由器的查詢報文。在IGMP以及MLD中,組播路由器都沒有實施任何的授權(quán)訪問控制機制,因而任意一個主機都可以隨時隨地的加入任何組播組。同樣,只要知道 IP組播地址,任意一個主機都可以向組播組發(fā)送組播報文。
在IP組播中,通常是用一個組播分發(fā)樹來描述以及維護IP組播報文傳送給組播組接收者的路徑信息。組播分發(fā)樹分為兩類:有源樹以及共享樹。通常發(fā)送者啟動的組播路由協(xié)議,會在每個組播源與所有接收者之間建立一個組播分發(fā)樹,這顆樹以組播源為根,稱之為有源樹,使用洪泛以及剪枝機制來傳送組播報文。接收者啟動的組播路由協(xié)議,則要求每個想?yún)⑴c組播組通信的接收者都要發(fā)送一個顯式的加入報文,這類組播路由協(xié)議會建立一顆路由分發(fā)樹,這顆路由分發(fā)樹的根稱之為RP(rendezvous point),所有的組播報文首先都發(fā)送給RP,再由RP將其發(fā)送給各個接收者,此方法較為常用。
(二)組播組接收者訪問控制技術(shù)
組播組接收者訪問控制問題實際上也是一個認證授權(quán)問題,通常這就要求有對組成員身份進行認證的能力。Judge[Judge2002]等給出了一個可用于安全IP組播的組播組訪問控制方案Gothic。Gothic 實際上是一種組播組接收者訪問控制機制,Gothic方案包括兩個子系統(tǒng):組策略管理子系統(tǒng)以及組成員授權(quán)子系統(tǒng)。其中組策略管理系統(tǒng)主要負責(zé)安全組播組的策略管理。而組成員授權(quán)子系統(tǒng)則提供了一種基于PKI的組成員認證授權(quán)機制。組成員授權(quán)子系統(tǒng)包括三方:主機、路由器以及訪問控制服務(wù)器(ACS),ACS的主要職責(zé)就是對組成員進行認證授權(quán)。組擁有者通過組策略管理子系統(tǒng)向ACS服務(wù)器發(fā)送一個允許加入該組播組的成員列表。Gothic方案的缺點是:在其中沒有發(fā)送者訪問控制機制,為了對組播組接收者進行訪問控制,路由器要進行昂貴的數(shù)字簽名驗證計算,另外,為了實現(xiàn)有效的再授權(quán)機制,路由器必須持有當(dāng)前的組密鑰,在組成員和組播路由系統(tǒng)之間不存在安全信任關(guān)系的時候,這會影響組應(yīng)用的安全性。在Gothic組播組接收者訪問控制方案中,為了進行訪問控制,路由器要進行昂貴的數(shù)字簽名驗證計算,這會給路由系統(tǒng)帶來巨大的計算開銷而影響整個系統(tǒng)的能力,注意到在現(xiàn)有大多數(shù)組密鑰管理協(xié)議中,不管是集中式還是分布式組密鑰管理協(xié)議,為了提高性能都采用組播系統(tǒng)本身作為組密鑰更新報文的傳送方式。但是其都有一個共同的特點,就是新加入的組成員是通過安全單播而不是組播的方式獲得組密鑰的,根據(jù)這一特性可以對Gothic方案中的組成員授權(quán)系統(tǒng)進行改進。
四、總結(jié)
傳統(tǒng)IP組播模型的開放性使得整個IP組播體系架構(gòu)易于遭受DoS攻擊,因而有必要引入IP組播組的接收者、發(fā)送者訪問控制技術(shù),本文介紹了當(dāng)前IP組播模型易遭受的攻擊,及Gothic接收者訪問控制機制,對Gothic方案提出了改進想法,可消除Gothic方案中組成員與組播路由器之間必須存在安全信任關(guān)系的限制。簡要分析了存在接收者訪問控制機制的安全組播環(huán)境中組密鑰管理方案的安全需求的變化,以及組密鑰更新規(guī)則的變化。本文所做的成果為進一步的研究工作打下了堅實的基礎(chǔ)。
點擊下頁還有更多>>>標準畢業(yè)論文范文