论文部分内容阅读
随着信息技术与社会经济的高速发展,互联网技术也在不断地进步,互联网已经渗透到人们生活的方方面面,但与此同时互联网的缺陷也暴露无疑。传统互联网中“尽力而为”的服务原则已不能满足人们日益增长的网络服务需求,越来越复杂的网络结构,也给网络的管理带来了巨大的挑战。与此同时,随着网络环境越来越复杂,请求连接的终端用户身份安全难以保证,并且传统的安全接入认证协议存在网络接入对象不可控、认证过程容易受到恶意软件侵袭与网络攻击以及接入对象与网络之间缺乏身份的双向认证等问题,从而使得网络接入的安全性得不到保障。为解决上述问题,2014年互联网工程任务组成立了自治网络集成模型方法工作组,并基于自治的思想提出了一种通用的自治网络模型,该模型定义了安全自启动通信机制(Bootstrapping Remote Secure Key Infrastructures,BRSKI)、自治控制平面以及通用自治信令协议三个具体部分。BRSKI机制是自治网络中一种接入认证机制,旨在保证网络接入的安全性。本文以上述自治网络为研究对象,重点研究了自治网络的安全自启动通信机制。本文首先介绍了自治网络以及BRSKI机制的研究背景与研究现状。其中,主要阐述了自治网络的架构以及网络特点、常见的接入认证协议以及实现BRSKI机制所需的相关关键技术。其次,阐述了BRSKI机制相关原理以及工作流程,包括BRSKI机制的相关定义以及消息类型。通过深入研究发现现有BRSKI机制存在日志请求消息冗余、日志不合理以及面临重放攻击等问题。针对上述问题,提出了一种高效合理的日志更新方法和基于双重校验的抗重放攻击方法,并基于上述两种新方法设计了高效抗重放攻击的安全自启动通信机制。然后,详细阐述了BRSKI机制中各个模块的原理与工作流程以及网络模型中各个节点操作过程,在此基础上设计了各个模块的具体实现方案以及BRSKI机制整体实现方案。同时,在Linux操作系统中使用C语言分别完成了对原BRSKI机制和新机制的软件编程实现,其中注册模块通过移植与修改Libest开源项目实现。通过搭建测试平台,完成了对安全自启动通信机制各模块功能的测试与验证。测试结果表明各个模块功能运行正常,满足系统设计要求。通过对比新旧机制,发现相较原机制,新机制有效地降低了控制开销,提高了日志的合理性,减小了日志存储开销;同时通过双重校验抗重放攻击方法使得网络能有效地避免重放攻击。最后,对全文进行总结,并对BRSKI机制的未来工作进行了展望,指出了下一步的研究方向和研究重点。