论文部分内容阅读
计算机通信技术和计算机网络技术的高速发展,使得我们当前的互联网体系的局限性日益凸显。针对目前互联网存在的安全性差、缺乏可信度、不支持移动性和流媒体业务承载能力低下等主要问题,以及新一代互联网所提出的可信任、可扩展、可管理、可移动和可普及的重大需求,使得研究新一代高可信互联网体系结构及其关键支撑技术很有必要。在目前的网络环境下,存在一些难以解决的问题,其中一个重要的问题就是互联网主机系统的全局身份认证和访问授权问题。一方面,互联网主机大多是匿名的,身份无法得到有效的识别和验证,助长了网络用户行为的随意性。另一方面,用户对不同网络资源的访问大多依赖于这些资源本身的应用级的访问控制,缺乏一种统一的授权和访问控制机制。同时,随着IPv6协议的大力推广和应用,主机的移动特性、协议的加密特性也会导致问题变得更加复杂。主机的IP地址可以随时更换,IP地址将不再是主机的对外标识,通过传统的防火墙、IDS系统也已经难以实现对主机的身份认证和对用户行为的控制,新的攻击和非法访问手段将会随之出现。为了解决以上的问题,需要一种统一的身份标识和命名机制,配合相应的认证手段,来实现对CNGI网络上任意主机的身份识别、身份认证和访问控制。本文首先研究了一种新的互联网名字空间——HI,即主机身份,作为IP地址和DNS命名空间的重要补充。同时在当前网络体系中引入了一个新的子层,主机标识协议层(Host Identity Protocol),处于网络层与传输层之间。HIP协议满足了主机对通信双方的身份认证和数据传输的安全性以及移动主机的安全性的需求,作为一个有效的安全通信框架弥补了当前网络结构的诸多不足之处。随着HIP协议的引入,需要对当前DNS的功能进行扩展以满足新的三元结构的名字空间的解析,即DNS域名、HI和IP地址。随后,描述了在Linux操作系统下实现的HIP协议的基本交换模块,HIP解析器以及扩展DNS系统。对基本交换的四次握手过程做了相详细的论述,分析了HIP协议基本交换在网络通信中所实现的安全性,并且给出了实现方案。同时针对HIP协议的域名解析需求,设计和实现了HIP域名解析器,并且对当前最流行的DNS服务器进行分析,通过添加处理HIP资源记录的代码对其进行扩展,使其支持对HIP协议的解析,从而实现整个HIP协议系统。后面针对所实现的系统分别介绍了数据报文的处理、部分功能实现的函数和数据结构。最后给出了IPv6实验网络中整个系统的实验和结果分析。