基于IGMP Snooping的数据链路层组播访问控制方案的设计与实现

摘要

随着宽带多媒体网络技术的不断发展，各种宽带网络应用层出不穷，如IPTV、多媒体视频会议、在线网络游戏、远程教学、计费视频点播等。这些应用通常采用一对多或者多对多的传输方式，数据量大，带宽要求高。组播通信因其高效、快捷的数据传输方式得到越来越广泛的应用。组播网络中，即使组播用户数量成倍增长，骨干网络中网络带宽也无需增加，从而最大限度地解决目前宽带应用对网络带宽和服务质量的要求。
　　 由于组播技术研究初期只注重其应用性而未考虑安全方面的因素，组播作为一个开放的系统，任何用户可以在任何时间加入或者离开一个组播组。这不但给组播应用带来一定的安全隐患，也阻碍了其在商业领域的推广。目前存在一些基于组播路由器的组播安全访问控制解决方案，而在数据链路层，相关的解决方案则很少。如今二层以太网交换机在组网时已得到越来越广泛的应用，通常采用的IGMP Snooping、GMRP、CGMP等二层组播协议，虽然可使交换机实现对组播数据进行有效的转发，但依旧缺乏安全访问控制功能。
　　 本文首先研究了国内外现有的典型组播访问控制方案，结合现有的组播访问控制方案的优点，在IGMP Snooping协议的基础上，设计了一种数据链路层组播访问控制方案。对IGMP协议进行扩展，增加了认证查询（交换机发送给主机，要求用户提供认证信息）、认证应答（主机发送给交换机，载有用户认证信息）和认证结果（交换机发送给主机，通知认证结果）三种类型的报文。交换机侦听主机与组播路由器间的IGMP报文，用户在加入组播组时，交换机会拦截加入报文并向主机发送认证查询报文，要求用户提供身份认证信息，用户通过认证应答报文将账号、密码等认证信息发送给交换机，交换机提取用户认证信息到认证服务器进行身份认证，只有通过认证的用户才允许加入组播组。
　　 论文最后通过实验验证了该系统的功能及性能。测试结果表明该组播访问控制系统能很好地实现对交换机上的组播用户进行安全访问控制，提高了数据链路层组播的安全性，同时对交换机的正常功能影响很小。

目录

文摘

英文文摘

声明

第一章 绪论

1.1 组播技术

1.1.1 IP组播概述

1.1.2 IP组播的应用

1.2 组播安全

1.2.1 组播通信面临的安全风险

1.2.2 组播中的安全问题

1.3 研究内容及论文结构

第二章 组播访问控制研究现状

2.1 网络访问控制技术

2.1.1 访问控制概述

2.1.2 访问控制策略

2.1.3 访问控制技术

2.2 组播访问控制面临的问题

2.3 组播访问控制技术研究现状

2.3.1 基于IEEE 802.1x协议的组播访问控制

2.3.2 IGMP-AC

2.3.3 组播分布式访问控制系统

2.3.4 基于策略的组播接入访问控制

2.4 本章小结

第三章 二层组播相关协议

3.1 IGMP协议

3.1.1 IGMPv1

3.1.2 IGMPv2

3.1.3 IGMPv3

3.2 IGMP Snooping协议

3.2.1 协议概述

3.2.2 接收报文处理

3.2.3 定时器超时处理

3.3 其他二层组播协议

3.3.1 CGMP协议

3.3.2 GMRP协议

3.4 本章小结

第四章 组播访问控制系统的总体设计

4.1 设计思想

4.2 系统结构设计

4.3 系统工作流程

4.4 开放组和安全组问题

4.5 级联交换机问题

4.6 本章小结

第五章 功能模块的设计与实现

5.1 Linux内核中多播通信

5.1.1 IGMP的实现

5.1.2 多播转发缓存

5.1.3 多播包流经内核的路径

5.2 主机客户端

5.2.1 工作流程

5.2.2 详细设计

5.3 边缘交换机

5.3.1 分析认证模块

5.3.2 IGMP Snooping模块

5.4 认证服务器

5.5 本章小结

第六章 系统测试与评价

6.1 测试环境

6.1.1 测试系统架构

6.1.2 系统安装测试

6.2 功能测试

6.3 性能测试

6.4 本章小结

结论

参考文献

攻读硕士学位期间取得的研究成果

致谢