互联网技术的飞速发展,改变了人类社会的通信方式,网络信息在社会发展中的作用日益突显。然而,在计算机网络为人们带来便利的同时,网络安全形势也愈发严峻,政府网站、知名门户网站被攻击事件屡见不鲜。互联网设计之初并未考虑安全性因素,这是导致当今互联网层出不穷的安全问题的根源所在。若干年来,对互联网的脆弱性一直采用堵漏洞、打补丁的保护办法,从长远来看,这是远远不够的,网络体系结构本身具有安全性才能从根本上杜绝威胁。2005年,美国30位互联网专家提出重构下一代互联网的计划——网络创新的全球化环境(GENI),GENI的核心思想之一就是要构建基于体系结构的安全性。组播是源点一次发送操作把同样的数据报副本发送到多个终点的传输方式。对于一对多的通信,组播比单播和广播具有更高的传输效率。IP组播经历了二十余年的发展,虽然在多媒体领域取得了一定的应用,但始终没有得到大规模的部署,IP组播的优势并未带来预期的成功。阻碍组播业务发展的关键因素,其一是IP组播的开放性所带来的组播安全问题,这种开放性使组播通信比单播更容易遭受各种攻击。对IP组播的安全性,尚未有标准协议。其二就是IP组播增加了路由器处理开销和存储消耗。组播与单播采用不同的路由机制,从而不可避免地增加了路由器结构的复杂性。本文取材于国家863课题《基于端到端虚电路架构的网络安全计算模型及其关键技术的研究》,该课题进行全新安全组播机制的研究——与传统组播相比,具有基于结构性安全的特性,并在统一的路由机制下同时支持单播和组播。本文对该课题的边缘路由器进行设计与实现。在准确定位边缘路由器在模型中所处地位后,提出用四个协议——GMAP、MPLS、IP、GRP,分别实现四大功能——组播接入控制、2.5层传输、组地址变换、组信息汇报,此外,边缘路由器是部署了IPSec的安全路由器。GMAP和GRP是特定于本项目网络体系结构的自定义协议;MPLS协议已标准化,本文依照相应标准进行实现;IP经过适当的功能扩充,可完成组地址变换;然后进行协议栈总体设计,明确了各个新加协议在协议栈中的层次位置;接着,对各个协议依次展开详细设计与实现,每个协议实现为一个内核模块,最后通过模型整体测试来验证边缘路由器的功能和性能。