扩展DNS实现主机标识协议的研究

摘要

计算机通信技术和计算机网络技术的高速发展，使得我们当前的互联网体系的局限性日益凸显。针对目前互联网存在的安全性差、缺乏可信度、不支持移动性和流媒体业务承载能力低下等主要问题，以及新一代互联网所提出的可信任、可扩展、可管理、可移动和可普及的重大需求，使得研究新一代高可信互联网体系结构及其关键支撑技术很有必要。在目前的网络环境下，存在一些难以解决的问题，其中一个重要的问题就是互联网主机系统的全局身份认证和访问授权问题。一方面，互联网主机大多是匿名的，身份无法得到有效的识别和验证，助长了网络用户行为的随意性。另一方面，用户对不同网络资源的访问大多依赖于这些资源本身的应用级的访问控制，缺乏一种统一的授权和访问控制机制。同时，随着IPv6协议的大力推广和应用，主机的移动特性、协议的加密特性也会导致问题变得更加复杂。主机的IP地址可以随时更换，IP地址将不再是主机的对外标识，通过传统的防火墙、IDS系统也已经难以实现对主机的身份认证和对用户行为的控制，新的攻击和非法访问手段将会随之出现。为了解决以上的问题，需要一种统一的身份标识和命名机制，配合相应的认证手段，来实现对CNGI网络上任意主机的身份识别、身份认证和访问控制。 本文首先研究了一种新的互联网名字空间--HI,即主机身份，作为IP地址和DNS命名空间的重要补充。同时在当前网络体系中引入了一个新的子层，主机标识协议层(HostIdentityProtocol)，处于网络层与传输层之间。HIP协议满足了主机对通信双方的身份认证和数据传输的安全性以及移动主机的安全性的需求，作为一个有效的安全通信框架弥补了当前网络结构的诸多不足之处。随着HIP协议的引入，需要对当前DNS的功能进行扩展以满足新的三元结构的名字空间的解析，即DNS域名、HI和IP地址。随后，描述了在Linux操作系统下实现的HP协议的基本交换模块，HIP解析器以及扩展DNS系统。对基本交换的四次握手过程做了相详细的论述，分析了HIP协议基本交换在网络通信中所实现的安全性，并且给出了实现方案。同时针对HIP协议的域名解析需求，设计和实现了HIP域名解析器，并且对当前最流行的DNS服务器进行分析，通过添加处理HIP资源记录的代码对其进行扩展，使其支持对HIP协议的解析，从而实现整个HIP协议系统。后面针对所实现的系统分别介绍了数据报文的处理、部分功能实现的函数和数据结构。最后给出了IPv6实验网络中整个系统的实验和结果分析。

目录

文摘

英文文摘

论文说明：图表目录

声明

第一章引言

1.1课题背景

1.2国内外研究和发展现状

1.3课题介绍和研究内容及意义

1.4论文工作

第二章HIP协议及DNS扩展

2.1 HIP协议提出的背景和研究现状

2.2 HIP协议

2.2.1主机身份名字空间和HIT

2.2.2 HIP基本交换

2.2.3 Diffe-Hellman密钥交换和基本交换中的密题机制

2.3 DNS扩展

2.4SCTP、移动IPv6和HIP协议的对比

2.5本章小结

第三章方案设计

3.1系统的整体方案

3.2 HIP的整体结构

3.3 DNS扩展系统的设计

3.3.1 DNS扩展系统的总体结构

3.3.2 DNS扩展系统的功能设计

3.4本章小结

第四章 HIP协议的实现

4.1HIP协议状态机

4.2 HIP的报文

4.3 HIP的报文的处理

4.3.1接收到I1报文的处理

4.3.2接收到R1报文的处理

4.3.3接收到I2报文的处理

4.3.4接收到R2报文的处理

4.4 DNS扩展域名解析处理

4.5本章小结

第五章 DNS扩展系统的实现

5.1 DNS扩展系统结构体系

5.2 DNS扩展HIP资源记录

5.2.1 DNS扩展系统的HIP资源记录数据结构

5.2.2 DNS扩展处理HIP资源记录的函数接口

5.3本章小结

第六章系统实验

6.1实验网络平台

6.2 HIP基本连接通信实验

6.2.1 HIP基本连接配置

6.2.2 HIP基本连接过程与数据

6.3 DNS扩展支持HIP解析实验

6.3.1 DNS扩展服务器配置

6.3.2 DNS扩展处理和建立连接

6.4实验分析

6.4.1基本连接建立时间分析

6.4.2基本交换和移动IPv6、SCTP对比分析

6.4.3报文传输RTT分析

6.4.4报文传输RTT和移动IPv6、SCTP对比分析

6.5本章小结

第七章论文工作总结和展望

7.1论文研究工作总结

7.2论文研究工作的展望

致谢

参考文献

附录

攻读硕士学位期间取得的研究成果