EPON安全認證與入侵檢測系統(tǒng)研究.pdf

1、隨著Internet的迅速普及，寬帶業(yè)務大量涌現(xiàn)，人們對帶寬的需求日益增長，作為解決“最后一公里”問題的最佳方案，以太無源光網(wǎng)絡EPON應運而生。但EPON的點到多點(P2M)結(jié)構(gòu)，使其存在嚴重的安全隱患。研究和解決EPON系統(tǒng)的安全問題，對EPON的商業(yè)化進程具有重要的意義。 而在安全問題上，沒有制定解決方案的標準。目前常用的認證和加密解決安全問題的方案，或者存在缺陷，或者對某些問題無效。如何改進現(xiàn)有方案、研究新的措施，有其必

2、然意義。 論文在對EPON系統(tǒng)中各種安全攻擊進行詳細分析的基礎上，針對具體的攻擊方式，研究了一套基于注冊過程的認證方式；對其過程與特點進行了分析，針對其不能對光鏈路端OLT進行認證的局限性，提出了一種基于ECC(橢圓曲線)加密的雙向認證機制，并在OLT與光網(wǎng)絡單元端ONU進行了實現(xiàn)。針對EPON上行拒絕服務攻擊DoS的特征，研究和設計了EPON入侵檢測系統(tǒng)。 主要完成的工作和取得的成果如下： (1)分析了EPON

3、系統(tǒng)各種安全攻擊。針對EPON的結(jié)構(gòu)特點，對EPON系統(tǒng)各種安全攻擊包括被動監(jiān)測、DoS、偽裝和竊取服務ToS等進行了詳細分析，重點研究了DoS實施的原理、過程及其危害性；并針對EPON中不同攻擊，探討了相應的對策，包括認證、安全封裝、加密、入侵檢測等。 (2)提出基于ECC加密的OLT和ONU之間雙向認證機制。在對ONU認證分析基礎上，針對EPON認證注冊過程中只對ONU進行認證、沒有對OLT進行認證，從而導致惡意ONU假冒O

4、LT與合法ONU交互所產(chǎn)生的安全漏洞，設計一種基于ECC加密的OLT和ONU之間雙向認證機制，并在OLT與ONU端進行了實現(xiàn)，提高了其安全性。 (3)對EPON中基于注冊過程的認證過程與基于ECC加密的雙向認證過程的性能進行仿真分析。利用NS2(網(wǎng)絡模擬)軟件搭建EPON模塊，對基于注冊過程的認證過程和基于ECC加密的雙向認證過程的性能進行了仿真，得出：與其高安全性相比，基于ECC加密的雙向認證過程消耗帶寬較少。 (4)