HFC网络组播技术研究与实现

符合DOCSIS1.1规范的网络接入设备CM需要抑制组播.这种CM使用两种机制控制组播的转发,即设置策略过滤业务参数和专门的组播跟踪算法,而后者有passive IGMP和active IGMP两种模式.根据passive IGMP的要求和CM有固定的主机端口和固定的路由器端口的特点,设计并实现了一种电缆网络IGMP Snooping协议.该协议运行在MAC层,实现侦听CM收到的IGMP报文、维护组播组列表、过滤组播数据的功能.本设计在自主开发的物理层和MAC层芯片组成的HDTV(高清晰度电视)双向系统平台进行测试.     

网络层组播在大规模流媒体直播系统中的研究与实现*

组播可以有效实现多点之间通信,如何利用网络层组播技术实现流媒体直播系统,是当前的研究热点之一。基于MixCast模型,提出并实现了一种新的基于网络层的安全组播模型。针对当前组管理协议IGMP不提供接入控制,任何端点用户可自由地加入组播组,缺乏安全控制问题提出了依靠应用层单播对接收者认证,提出一种解决网络层组播的安全性问题和可控性问题的方法。实验结果表明,本系统具有良好的安全通信效率和可控性。     

安全组播中密钥分配问题的研究

组播是面向组接收者的首选网络通信技术,其重要性随着Internet的发展日益突出.组管理协议IGMP不提供成员接入控制.为了保护通信机密性,安全组播使用仅为认证组成员所知的会话加密密钥(SEK)来加密业务数据.每当组成员关系发生变化时,都应动态更新SEK,密钥分配也就成为安全组播研究的关键问题.在设计密钥分配算法时,通信开销、存储开销、抗冲击性和计算开销被认为是4个重要因素.提出了一种利用多项式展开的组密钥分配方案,其特点是不使用传统加密和解密.分析表明,其在小型组播中可获得较好的性能.将基于多项式展开的该算法与逻辑密钥层次结合,又提出了一种PE-LKH方案,在保留通信开销随组规模呈对数增长的同时,其计算复杂度有效降低,可适用于大规模动态群组.     

数字化变电站动态组播测试研究

分析了基于数字化变电站内交换机、监控主机、测控装置、保护装置、合并单元的IGMP Snooping和GMRP动态组播实际应用环境,描述了模型中各模块的功能,比较了两种动态组播模型的应用环境和优缺点.制作了基于WinPcap的动态组播软件测试包,向交换机发送模拟的IGMP Snooping和GMRP操作报文,可以对IGMP Snooping和GMRP两种协议进行测试,并且给出了各自的测试用例.测试结果对于提高数字化电力信息以太网络的安全可靠运行有重要参考意义.说明使用WinPcap来进行IGMP Snooping和GMRP报文收发可以较好地测试数字化变电站的动态组播性能.     

一种可信网络接入认证模型和改进的OSAP协议设计与研究

目前导致安全事件的主要原因是主机软、硬件结构存在设计漏洞并且对用户没有进行严格的认证和授权控制。传统安全防范的重点放在对服务器和网络的保护上,而忽略终端接入者本身的安全。但大多数的攻击事件都是由终端接入者本身不安全而引起发的,所以只有从终端接入的源头就建立起安全体系,内外共防来构造真正安全可信的网络环境。本文在参考现有认证技术和可信计算的特点的基础上,提出了一种基于可信计算平台的网络可信接入认证模型。利用此模型可以解决设备安全接入的认证问题。通过使用国际通用准则(CC)评估后,也确定了此方法的有效性。通过认证后的设备需要使用OSAP认证协议向服务资源发出申请,鉴于此协议存在替换攻击的缺陷,本文提出改进的OSAP方法来增强协议的安全性。在863项目“可信计算系统平台”中的实际应用证明上述的模型和方法的有效性,并展现了其良好的应用前景。     

受控组播协议的改进和在3TNet宽带信息网中的应用

首先对Internet组管理协议(IGMP)和受控组播协议(CMP)进行了分析，CMP提供了加入退出组播的控制，采用用户名密码认证方式以及MD5摘要加密来实现组成员的可管理性。在分析的基础上，本文实现了CMP在3Tnet宽带信息网中的应用，并提出了新的CMP改进协议，改进的协议增加了CMP的扩展性，可以更好地适应不同流媒体业务的需求。     

多媒体组播协议分析及其实现

从IP网络多媒体组播协议体系结构出发，在网络协议，传输协议和应用协议方面，讨论组播协议的特点，功能和实现方法，在传输层讨论RTP／RTCP协议的设计原则，以适用于IP上的视频会议；在应用层讨论设计组播服务器时相关的协议及产品；在网络层由实现了IGMP的路由器组成Mbone，组播用户通过IGMP加入组播组，以达到合理利用网络带宽，并给出实例，组播技术还在继续发展，IGMP协议的V3版IGMPV3在线路由 器的层次上提供了对源路由组播的支持。     

基于SSL VPN的安全接入平台设计与实现

SSL VPN是一种新兴的安全远程接入的实现方式,它采用SSL协议实现身份认证以及加密通道的建立等网络安全机制,目前正广泛地被企事业单位采用。SSL协议是互联网广泛使用的安全协议,身份认证主要是依靠非对称算法,而加密通道采用的是对称算法。本文主要讨论了基于SSL VPN的安全接入平台设计与实现。     

基于DHCP+的接入认证系统的技术浅析

本文提出了一种基于DHCP 协议通过控制终端用户的IP 地址分配实现控制用户接入的认证鉴权技术,确保了以太接入的安全性、支持运营商对接入用户进行控制和管理的接入认证。首先从分析PPPoE 的技术缺陷入手,提出了利用DHCP 协议来实现接入认证,同时,通过扩展DHCPoptions 属性在网络安全、网络监控以及用户控制和终端识别等方面的应用,使得运营商可以将这些属性与用户认证和地址分配策略结合起来,完成统一接入控制。最后,以中国网通某分公司的宽带用户的接入认证管理系统为例来介绍利用DHCP+接入认证技术功能     

网络接入安全控制研究

网络接入是一个普遍认为难以控制的问题.针对网络接入,详细阐述了利用802.1x身份认证和安全检查,利用LDAP协议,结合企业证书服务,分两个阶段对接入用户或设备进行身份认证和安全检查,保证只有合法用户满足安全要求后才能接入到局域网中.     

Multicast receiver access control by IGMP-AC

IP multicast is best-known for its bandwidth conservation and lower resource utilization. The present service model of multicast makes it difficult to restrict access to authorized End Users (EUs) or paying customers. Without an effective receiver access control, an adversary may exploit the existing IP multicast model, where a host or EU can join any multicast group by sending an Internet Group Management Protocol (IGMP) join message without prior authentication and authorization. We have developed a novel, scalable and secured access control architecture for IP multicast that deploys Authentication Authorization and Accounting (AAA) protocols to control group membership.The principal feature of the access control architecture, receiver access control, is addressed in this paper. The EU or host informs the multicast Access Router (AR) of its interest in receiving multicast traffic using the IGMP protocol. We propose the necessary extensions of IGMPv3 to carry AAA information, called IGMP with Access Control (IGMP-AC). For EU authentication, IGMP-AC encapsulates Extensible Authentication Protocol (EAP) packets. EAP is an authentication framework to provide some common functions and a negotiation of the desired authentication mechanism. Thus, IGMP-AC can support a variety of authentications by encapsulating different EAP methods. Furthermore, we have modeled the IGMP-AC protocol in PROMELA, and also verified the model using SPIN. We have illustrated the EAP encapsulation method with an example EAP method, EAP Internet Key Exchange (EAP-IKEv2). We have used AVISPA to validate the security properties of the EAP-IKEv2 method in pass-through mode, which fits within the IGMP-AC architecture. Finally, we have extended our previously developed access control architecture to accomplish inter-domain receiver access control and demonstrated the applicability of IGMP-AC in a multi-domain environment.     

适用于多源IP组播的安全访问控制协议

目前针对IP组播的安全访问控制问题的解决方案只是实现了对组播接收者的访问控制。为此,提出了一个广泛地适用于多源IP组播的安全访问控制协议(Multi-source Multicast Access Control,MMAC)。协议通过引入专门的管理主机和管理频道实现了对组播参与者(发方和收方)及不可信路由器的安全访问控制。最后对MMAC协议的有效性和安全性进行了分析。     

TCP友好的分布式可靠组播协议的设计与实现*

在源特定组播(SSM)的基础上,提出了一个分布式可靠组播传输协议--SDRMP(SSM-based distributed reliable multicast protocol).该协议基于划分域和分布式数据存储的思想,在域内由各节点分级保证与直连下游节点间的可靠报文传输,在域间由各个域的主节点分布式保存数据报文,并且发送者的发送速率根据各个域主节点的反馈报文进行调整,避免网络拥塞.仿真实验结果表明,SDRMP能有效地保证组播数据传输的可靠性,并具有较好的可扩展性和TCP友好性.     

组播服务用户控制机制综述

组播技术以其支持大规模的一对多、多对多通信的特点，成为目前网络通信领域研究的热点。然而其开放的通信机制在提供高效、便利的同时，也带来了一系列的安全问题。本文分析了组播模型的基本特性所带来的安全弱点。介绍了建立组播服务用户控制机制的必要性，详细阐述了组播服务用户控制机制中四个领域的研究内容：接收者访问控制、组播源访问控制、组播源鉴别和组内信息区分技术。随着组播服务逐步的商业化运行，建立一套完善的群组用户控制机制成为十分迫切的任务，并且有着广阔的应用前景。     

基于自适应组播的BPLC网络高效组网协议

针对现有BPLC网络组网协议在回复关联确认消息的数量和时间上存在冗余的问题,对BPLC报文交互过程进行研究,提出一种基于自适应组播的高效组网协议.通过自适应地聚合关联确认消息并采用组播方式发送,在减少控制开销的同时加速发送部分关联确认消息.理论分析显示了该协议的有效性.仿真结果表明,与现有BPLC网络组网协议相比,该协...     

交换式以太网上的多播协议

目前,桌面会议、电子白板和视频广播等多播服务大都运行在局域网环境中,而绝大多数局域网结构,如以太网,都采用广播方式处理多播数据,对多播的支持有限.采用IGMP Snooping的方法,在二层交换机中设计一个基于VLAN和IGMP的多播协议,用于控制交换以太网中不断增长的IP多播流.描述了该协议的基本思想、语法和语义以及一个该协议验证和测试的过程.     

安全访问控制系统的设计和实现

访问控制是现代企业信息系统设计的核心,它控制用户行为,保护系统资源的安全。传统的访问控制模块的设计与应用系统紧密耦合,使其无法得到很好的复用。本文介绍了轻量级目录访问控制协议(LightweightDirectoryAccessProtocol,简称LDAP)和基于角色的访问控制基于角色的访问控制(Role-basedAccessControl,简称RBAC)模型,基于它们设计了一个高效、安全的访问控制系统。该系统在省邮政综合服务平台中的到应用,有效解决了原有系统设计中的一些弊端。