面向IPv6的互聯(lián)網(wǎng)安全體系結(jié)構(gòu)和關(guān)鍵技術(shù)研究.pdf

1、隨著通信技術(shù)和計(jì)算機(jī)技術(shù)的進(jìn)步，網(wǎng)絡(luò)用戶急劇增加，不僅網(wǎng)絡(luò)的規(guī)模變得龐大，網(wǎng)絡(luò)用戶之間信任關(guān)系的也發(fā)生了質(zhì)的變化。采取必要的措施和手段，來保護(hù)互聯(lián)網(wǎng)絡(luò)和信息的安全是人們長(zhǎng)期努力的方向和關(guān)注的重點(diǎn)。 要對(duì)互聯(lián)網(wǎng)上的用戶和主機(jī)的訪問行為進(jìn)行有效的控制，在目前的IPv4網(wǎng)絡(luò)環(huán)境下，存在一些難以解決的問題，其中一個(gè)重要的問題就是互聯(lián)網(wǎng)主機(jī)系統(tǒng)的全局身份認(rèn)證和訪問授權(quán)問題。為了解決這些問題，需要一種統(tǒng)一的身份標(biāo)識(shí)和命名機(jī)制，配合相應(yīng)的認(rèn)證

2、手段，來實(shí)現(xiàn)對(duì)CNGI網(wǎng)絡(luò)上任意主機(jī)的身份識(shí)別、身份認(rèn)證和訪問控制。實(shí)名制可信網(wǎng)絡(luò)很好的解決了這個(gè)問題。 為了支撐“實(shí)名制可信網(wǎng)絡(luò)”，本論文首先研究一種新的Internet/Intranet命名空間——HI。在該命名空間下，主機(jī)標(biāo)識(shí)唯一地標(biāo)識(shí)了一臺(tái)主機(jī)和它的實(shí)名，IP地址只作為尋址器使用，區(qū)別于傳統(tǒng)網(wǎng)絡(luò)下IP地址既作為尋址器又作為主機(jī)標(biāo)識(shí)符的狀況。同時(shí)我們引入一個(gè)新的子層：主機(jī)標(biāo)識(shí)協(xié)議層(HostIdentityProtocol

3、)，HIP層位于IP層以上，TCP/UDP層以下。主機(jī)標(biāo)識(shí)協(xié)議滿足了移動(dòng)主機(jī)對(duì)于安全的需求，同時(shí)能夠使現(xiàn)在的TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)從根本上對(duì)移動(dòng)主機(jī)提供支持。由于HI是獨(dú)立于IP的，通過動(dòng)態(tài)DNS系統(tǒng)或HIP集中服務(wù)器(HIPrendezvousserver)可以查詢移動(dòng)主機(jī)當(dāng)前的IP地址。這樣就為實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)/用戶的實(shí)名化、身份透明化提供了有力的保障。根據(jù)這些分析，通過比較各自的優(yōu)缺點(diǎn)，最終選擇了用內(nèi)核模塊來實(shí)現(xiàn)HIP基本通信。隨后