EPON安全認(rèn)證與入侵檢測系統(tǒng)研究.pdf

1、隨著Internet的迅速普及，寬帶業(yè)務(wù)大量涌現(xiàn)，人們對帶寬的需求日益增長，作為解決“最后一公里”問題的最佳方案，以太無源光網(wǎng)絡(luò)EPON應(yīng)運而生。但EPON的點到多點(P2M)結(jié)構(gòu)，使其存在嚴(yán)重的安全隱患。研究和解決EPON系統(tǒng)的安全問題，對EPON的商業(yè)化進(jìn)程具有重要的意義。 而在安全問題上，沒有制定解決方案的標(biāo)準(zhǔn)。目前常用的認(rèn)證和加密解決安全問題的方案，或者存在缺陷，或者對某些問題無效。如何改進(jìn)現(xiàn)有方案、研究新的措施，有其必

2、然意義。 論文在對EPON系統(tǒng)中各種安全攻擊進(jìn)行詳細(xì)分析的基礎(chǔ)上，針對具體的攻擊方式，研究了一套基于注冊過程的認(rèn)證方式；對其過程與特點進(jìn)行了分析，針對其不能對光鏈路端OLT進(jìn)行認(rèn)證的局限性，提出了一種基于ECC(橢圓曲線)加密的雙向認(rèn)證機(jī)制，并在OLT與光網(wǎng)絡(luò)單元端ONU進(jìn)行了實現(xiàn)。針對EPON上行拒絕服務(wù)攻擊DoS的特征，研究和設(shè)計了EPON入侵檢測系統(tǒng)。 主要完成的工作和取得的成果如下： (1)分析了EPON

3、系統(tǒng)各種安全攻擊。針對EPON的結(jié)構(gòu)特點，對EPON系統(tǒng)各種安全攻擊包括被動監(jiān)測、DoS、偽裝和竊取服務(wù)ToS等進(jìn)行了詳細(xì)分析，重點研究了DoS實施的原理、過程及其危害性；并針對EPON中不同攻擊，探討了相應(yīng)的對策，包括認(rèn)證、安全封裝、加密、入侵檢測等。 (2)提出基于ECC加密的OLT和ONU之間雙向認(rèn)證機(jī)制。在對ONU認(rèn)證分析基礎(chǔ)上，針對EPON認(rèn)證注冊過程中只對ONU進(jìn)行認(rèn)證、沒有對OLT進(jìn)行認(rèn)證，從而導(dǎo)致惡意ONU假冒O

4、LT與合法ONU交互所產(chǎn)生的安全漏洞，設(shè)計一種基于ECC加密的OLT和ONU之間雙向認(rèn)證機(jī)制，并在OLT與ONU端進(jìn)行了實現(xiàn)，提高了其安全性。 (3)對EPON中基于注冊過程的認(rèn)證過程與基于ECC加密的雙向認(rèn)證過程的性能進(jìn)行仿真分析。利用NS2(網(wǎng)絡(luò)模擬)軟件搭建EPON模塊，對基于注冊過程的認(rèn)證過程和基于ECC加密的雙向認(rèn)證過程的性能進(jìn)行了仿真，得出：與其高安全性相比，基于ECC加密的雙向認(rèn)證過程消耗帶寬較少。 (4)