学位论文 > 优秀研究生学位论文题录展示
基于Diameter协议和RCUCON模型的IPv6 AAA系统研究
作 者: 刘峰
导 师: 王德民
学 校: 吉林大学
专 业: 计算机软件与理论
关键词: IPv6 UCON 权限管理 动态授权 AAA Diameter
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 40次
引 用: 0次
阅 读: 论文下载
内容摘要
|
IPv6协议是为了解决全球性的IPv4地址匮乏的问题而制订的,在将来一定会取代IPv4地址。虽然全球很多国家也都已经致力于IPv6网络的研究和建设,但是IPv6网络和服务的建设还只是处于研究阶段,实现大规模的商业应用任重而道远,还有很多技术问题需要解决。网络服务的认证、授权、记账(AAA)和资源的访问控制技术就是两个非常重要的方面。AAA是指认证(Authentication)、授权(Authorization)、记帐(Accounting),是网络服务商业应用必不可少的技术支持,也是网络安全中的重要组成部分。而访问控制技术是指通过某种途径显式的控制主体对客体的访问权限的安全机制,是信息安全理论基础的重要组成部分。Diameter协议是IETF的AAA52作组制定的新一代的AAA协议,它借鉴了RADIUS协议的许多经验,改进了RADIUS的诸多缺陷,更加能满足当今网络的AAA需求。但是目前Diameter协议的扩展应用,都还集中在网络接入部分的认证和授权。而如何将用户网络接入认证和资源的访问控制结合在一起,是一个研究热点。本课题研究了VPN服务在IPv6网络环境下运行的AAA和访问控制问题。设计基于Diameter协议的扩展应用,在实现为VPN服务系统提供认证、授权、记账服务的同时实现VPN细粒度的访问控制,并将记账信息应用于访问控制。本文做的具体工作如下:1.访问控制模型的研究访问控制通常被称为权限管理(Entitlement Management)能有效防止对系统资源的越权使用,保证系统资源得到受控地、安全地使用。目前比较常用的访问控制模型有DAC、MAC、RBAC等,这些模型都是静态的、被动的授权模型,已经不能适应如今分布式、开放式的网络环境。使用控制模型(UCON)一种新提出的主动授权模型,蕴含了动态授权的思想。但是UCON模型还只是一个概念上的模型,对UCON的研究目前大部分集中在理论层面,面向具体应用的研究不足。本文中我们将Role和Class概念引入到UCON模型中,提出了具体的RCUCON模型,并用动态描述逻辑语言(DDL)对模型的逻辑过程作了形式化的描述。2.使用Diameter服务器为OpenVPN服务器提供AAA服务的关键技术研究OpenVPN是一个全新方式实现的的SSL VPN解决方案,目前已经可以支持IPv6协议。本文我们使用OpenVPN建立VPN服务器,为用户提供网络服务。而在基于Diameter协议AAA系统中,完成AAA过程一般情况下至少需要3个实体:接入终端,Diameter客户端和Diameter服务器。Diameter客户端在整个AAA系统中作用非常关键,它起到网络接入服务器(NAS)的作用,负责用户的网络接入,同时负责在接入终端和Diameter服务器之间转发AAA消息。而在OpenVPN系统中,VPN用户相当于上述模型中的接入终端,而OpenVPN服务器负责用户的网络接入,功能上相当于Diameter客户端。所以用Diameter服务器为OpenVPN系统提供AAA服务的关键是,设计能使OpenVPN Server和Diameter Server协同工作的插件,是OpenVPN成为AAA系统中的NAS。3. Diameter扩展应用的研究Diameter基础协议可以独立的作为一个记账协议使用,但要实现认证授权就需要与应用协议一起使用。本文中使用开源的freeDiameter作为Diameter基础协议的实现,以此为基础扩展Diameter应用实现AAA功能,同时基于本文提出RCUCON模型的思想设计访问控制模型的框架结构,设计Action AVP和Resource AVP承载必要的访问请求信息,使用Diameter授权应用来实现了对资源的细粒度访问控制。
|
全文目录
摘要 4-6
Abstract 6-11
第1章 绪论 11-15
1.1 课题的研究背景和意义 11-12
1.2 论文的主要研究内容 12-14
1.3 论文组织结构 14-15
第2章 理论知识介绍 15-29
2.1 IPv6协议 15-17
2.1.1 IPv6报头 15-16
2.1.2 IPv6扩展报头 16
2.1.3 IPv6地址结构 16-17
2.2 VPN介绍 17-18
2.3 OpenVPN工作原理 18-22
2.3.1 OpenVPN所使用的主要协议 18-20
2.3.2 数据据分层机制 20
2.3.3 虚拟网卡 20-21
2.3.4 隧道数据的处理过程 21-22
2.4 Diameter协议 22-25
2.4.1 Diameter协议介绍 22
2.4.2 Diameter协议报文格式 22-24
2.4.3 Diameter网络节点 24-25
2.5 访问控制技术 25-28
2.5.1 DAC和MAC模型 25-26
2.5.2 RBAC模型 26-27
2.5.3 UCON模型 27-28
2.6 本章小结 28-29
第3章 RCUCON模型及其DDL描述 29-40
3.1 改进的使用控制模型 29-32
3.1.1 RCUCON模型的提出 29-31
3.1.2 基本元素 31-32
3.2 RCUCON核心子模型的DDL描述 32-39
3.2.1 核心模型的基本元素的定义 33-35
3.2.2 RCUCON授权模型 35-37
3.2.3 RCUCON义务模型 37-38
3.2.4 RCUCON条件模型 38-39
3.3 本章小结 39-40
第4章 基于Diameter协议的AAA系统的分析与设计 40-50
4.1 网络模型 40-41
4.2 系统关键技术的分析与设计 41-45
4.2.1 OpenVPN数据隧道密钥的磋商过程分析 41-42
4.2.2 监控模块的分析与设计 42-45
4.3 系统总体结构和运行过程分析 45-48
4.3.1 系统总体结构 45-46
4.3.2 系统运行过程分析 46-48
4.4 安全性分析 48-49
4.5 本章小结 49-50
第5章 系统关键模块的实现与实验 50-61
5.1 策略模式的定义 50-52
5.2 监控模块的实现 52-54
5.3 Diameter扩展应用的实现 54-57
5.3.1 AVP和消息的定义 54-56
5.3.2 Diameter扩展应用 56-57
5.4 实验与实验结果分析 57-60
5.4.1 实验网络环境 57
5.4.2 实验环境配置 57-58
5.4.3 实验结果分析 58-60
5.5 本章小结 60-61
第6章 总结与展望 61-62
6.1 工作总结 61
6.2 进一步的工作 61-62
参考文献 62-64
作者简介及在学期间所取得的科研成果 64-65
致谢 65
|
相似论文
- 电子文书安全签发系统的研制,TN918.2
- 卫星网络中移动IP路由选择的研究,TN929.5
- 基于NS2的移动IP扩展技术的研究,TN929.5
- 人才培养状态数据网络平台需求分析及用户权限设计,TP311.52
- 电厂安全生产用户资质智能管理系统的设计与实现,TP311.52
- 通用权限系统的设计与实现,TP311.52
- 基于达梦数据库增强型权限管理机制的研究,TP311.13
- 基于RBAC的河道堤防管理信息系统之权限管理系统,TV871
- 基于IPv6的无线传感器网络的移动性管理技术研究,TP212.9
- 基于ThreadX操作系统的Ipv6隧道研究,TP393.04
- IPTV数字权限管理系统的设计与实现,TP311.52
- DHCPv6中事件处理和配置管理的设计与实现,TP393.04
- 基于IPv6的VoD技术的研究,TN948.64
- 经济运行数据网上直报系统的设计与实现,TP311.52
- IPv4-IPv6过渡技术下基于CIDF的入侵检测系统的设计,TP393.08
- 基于RBAC扩展模型的权限管理系统的设计与实现,TP311.52
- 基于参与者表达式的工作流动态授权模型,TP311.52
- IPv6下基于OpenFlow技术的QoS管理系统的设计,TP315
- 面向PDM系统的访问控制研究与实现,TP393.08
- 基于分布式框式交换机的邻居发现协议研究与实现,TP393.04
- 面向IPv6防火墙的高性能规则匹配关键技术研究与实现,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|