随着计算机网络的迅速发展,出现了大量高带宽的网络应用,IP组播技术也随之显得愈加重要。虽然组播技术的发展为解决高带宽网络应用问题提供了可能,但却因为安全问题成了应用瓶颈,其中组成员访问控制是组播安全的重要方面。目前组成员访问控制研究主要集中在安全框架设计,安全协议设计及改进等方面,当前网络设备并不支持,仍不能改善目前组播应用瓶颈状态。因此为了适应当前网络环境,将网络设备从组成员访问控制功能中解脱出来是必要的。首先,论文在对igmp协议原理及访问控制技术深入分析的基础上,提出了IP组播应用层组成员访问控制模型。模型通过igmp消息监听获得用户访问控制属性,依据获得的一系列用户属性进行身份认证和访问控制,确定访问权限,最终通过策略自动部署技术在网络设备上配置相应访问控制策略动态更改组播权限。与传统组成员访问控制研究对比,模型将访问控制功能转移到应用层实现,不仅实现不受网络设备限制,不会增加网络设备处理负担,而且实现代价小。其次,论文针对传统访问控制算法对多样化访问控制属性搜索匹配效率低的特点,提出了基于映射表的访问控制算法。该算法通过将每个访问控制属性、访问权限和权限变更执行动作映射为整数,通过所有访问控制属性不同整数组合及对应访问权限和权限变更动作整数值,按照一定的映射函数绘制成映射表,每次访问控制只需通过映射函数根据访问控制属性定位到映射表的指定位置,可随机确定访问权限和权限变更动作。分析表明,与传统算法相比,基于映射表的访问控制算法的访问控制属性匹配复杂度降为o(1),大大提高了访问控制效率。最后,论文对组成员访问控制系统在应用层的具体实现进行了详细介绍,包括igmp消息监听、身份认证、访问控制和策略自动部署四个模块的主要实现细节,并通过实验证明应用层组成员访问控制系统对组成员访问控制的适用性、安全性和有效性。