无线多跳接入网络中的移动性管理

对无线多跳接入网移动性管理的研究内容进行了详细的分析，提出一种应用在高速无线多跳接入网络中的分层微移动管理方案。通过在本地进行微移动管理。减少了切换时延并保证了移动多跳节点在接入子网间或接入子网内的平滑切换。在方案中综合了混合接入路由器广播算法和基于地理位置的接入路由器选择算法，使用接入路由的时延仲裁和稳定度作为接入路由器的选择条件。     

网络移动无缝切换机理研究

网络移动通过移动路由器实现边缘移动网络节点间及其与骨干网络节点间的会话连续性。移动路由器在嵌套接入环境下的接入安全与切换延时已经成为网络移动发展的最大障碍。在分析网络移动无缝切换研究现状的基础上,提出基于协同模型的网络架构、基于移动模型的预切换方法等需要突破的关键技术以及相应的无缝切换技术思路,支持轻量可信切换、多穴负载均衡、嵌套路由优化,为设计具有服务质量和安全保证的端到端网络移动通信协议提供技术支撑。     

联通VPDN移动办公用户认证与接入系统

通过研究和分析联通VPDN移动办公用户认证与接入系统的开发过程以及在实际中的应用实践,探讨了其认证的过程,对联通VPDN网络环境进行了仔细的调查和研究,结合移动办公的网络安全性需求,设计了较灵活、稳定、满足安全需求的联通VPDN移动办公用户认证与接入系统。     

基于 IBE 的移动自组网安全接入机制

文中研究基于IBE的移动自组网安全接入机制,解决移动自组网拓扑动态变化、高时效性、快速切换等条件下的高效认证问题。对比分析各种认证机制的优缺点以及适用的环境,针对移动自组网内部的接入认证、动态组网认证、跨域认证,分别设计相关的认证流程及安全接入实现途径,保证骨干网、接入子网互联互通时的安全可控,为建设移动自组网安全防护体系提供理论依据和技术支撑。     

宽带用户的接入认证技术简介（下）

Web认证方式是通过Web技术和DHCP技术相结合，实现用户的接入认证。用户为能够访问到Web认证服务器，在进行认证前(用户主机开机时)，必须先获得DHCP服务器分配的IP地址，因此在一定程度上浪费了运营商的IP地址资源。同时，尽管运营商在Web认证页面上可以插入一些增值服务的信息，但是这种认证方式需放置专门的Web认证服务器，加大了建网成本。因此，出现了一种通过DHCP协议的、简化的认证方式：扩展的DHCP认证方式——DHCP 的认证方式。     

基于Diameter的L2异构网络切换

4G系统由IP骨干网和各种无线接入网组成,不同接入网络并存使得具有多模配置的移动终端可以同时连接到多个物理网络。如何安全并无缝地接入IP骨干网成为MN在异构网络漫游中需要解决的首要问题。在分析了移动IP技术和移动以太网技术的基础上,提出了一种基于L2分层的安全的切换模型。把对MN的安全认证放在L2接入的第一时间进行,L3切换时无需进行安全认证,从而降低了L3切换的时延。     

综合VPDN实现方案技术探讨

对固网移动网融合后为更好的向企业客户提供多种接入方式的端到端的解决方案进行了研究,解决在统一平台上引进移动分组网的APN技术及IP城域网中的VPDN技术后,实现对企业用户的统一认证、计费、管理、维护、统计等相关内容。系统中涵盖综合VPDN平台、路由器、GGSN、BARS等多厂商设备组网实现了专线、internet、MPLS VPN等企业接入方式,动态L2TP、静态L2TP方式、GRE连接方式等多种用户接入方式,满足各种用户接入需求,有效利用网络资源,并提供认证和加密等安全策略。     

移动视频业务微移动性管理方案

提出了融合GMPLS和EPON技术各自优势的未来一体化接入网络架构.在此基础上,提出一个分布式的IP微移动性管理方案对移动视频业务提供服务品质保证.详细地阐述了其主要移动性管理过程,如移动节点注册及数据包转发路径的建立、不同类型切换操作的过程.在对用户进行移动性管理的过程中,相对于HMIP协议,提出的方案能够明显减少切换时延.     

一种实时信头压缩上下文转移方法

文章综合F—HMIPv6（次移移动IPv6的快速切换技术）、鲁棒性信头压缩和上下文转移三种机制,提出一种实时上下文转移方和ROHC（鲁棒性信头压缩协议）压缩状态迁移协调策略。在切换的同时将信头压缩上下文转移到新接入路由器中。避免了切换后在新接入路由器上重新运行压缩协议重建上下文的开销。分析表明,该方案能有效解决因切换导致的丢包和时延造成的压缩端与解压端上下文不同步问题。     

基于SAVI的IPv6接入认证系统设计

为了提高用户接入互联网的安全性,文中设计一款基于SAVI技术的IPv6接入认证系统。该系统基于充分的用户调研和技术分析,在Web认证方法的基础上,引入SAVI源地址验证技术。经实验测试表明,该系统可以抵抗分布式拒绝服务攻击,屏蔽无合法权限和伪造源地址的非法用户访问,进一步提高了新一代移动互联网的安全性防护水平。     

手机钱包业务中的OTA下载安全机制研究

手机钱包业务中提供了空中充值功能,用户从客户端发起充值请求,OTA服务器验证身份后处理请求。国内移动支付领域,多数OTA加解密使用的是DES的变体3DES算法,其密钥相对较短,且有弱密钥。同类算法中,AES性能最好,较大的数据可以利用AES进行分段加密。文章提出基于AES的Mac校验方式,研究双向身份认证机制的原理和流程,并根据OTA下载的功能需求,提出可应用于手机钱包业务中的多级动态密钥方案。     

家庭数据业务中心的鉴权机制

在数据业务的客户端与应用服务器之间的交互过程中,安全问题是必不可少的一个重要环节.在目前开展的许多相关业务中,客户端与应用服务器之间的鉴权多局限于双方的认证鉴权,安全级别及通用性都较低.HDC (Home Data Service Center)家庭数据业务中心是东信北邮家庭数据业务平台的重要组成部分,本文介绍了HDC...     

One-time password-based high performance per-packet authentication for capsule networks

Most traditional security for capsule-type active networks focused on node-level security mechanism that tries to restrict resource consumption of a packet at a node. Network level security mechanism, which restricts resource consumption in the whole network like ttl in ipv4, is also necessary for capsule. We propose high-performance per-packet authentication mechanism for this purpose. The proposed authentication mechanism uses packet-loss-resistant one-time password algorithm to avoid multiple packet exchanges between user terminals and routers. Since the address in a node where a packet’s authentication data is stored can be easily calculated from the information contained in the packet, we can authenticate the packet without searching a database. The overhead in the packet for authentication information is 46 bytes, and a Linuxpc with a 2.8 GHz Intel Pentium 4 processor can authenticate and process a packet in 22 µs, which corresponds to 45,000 authentications per second.     

基于融合网络的WLAN漫游认证方式研究

在网络融合的趋势下,通过电信网络为WLAN网络提供终端认证将是未来WLAN业务认证的主要方式。为高效、安全地实现网间漫游状态下WLAN的鉴权认证,本研究分析了在网间漫游状态下WLAN的鉴权需求,讨论了鉴权模式、流程和存在的问题,提出了基于EAP SIM/AKA协议的、非中转方式的WLAN漫游认证方案,并进行了验证。实验结果证明该非中转认证方案可以满足终端在漫游状态下实现EAP SIM/AKA认证的需要,同时增强了系统的安全性,降低了投资成本,实现了实时计费。     

一种安全隧道网关的设计与实现

针对应用层客户/服务器系统安全性欠缺的情况,设计、实现了一套基于SSL/TLS协议的安全隧道网关,以提供无缝的安全集成.客户端隧道网关与服务器端隧道网关之间基于X.509证书进行身份认证,并建立SSL/TLS安全链接转发客户端请求与服务器端响应.隧道网关与客户端、服务器之间采用普通TCP/IP链接进行数据传输.隧道网关使已有客户/服务器系统无需任何修改即可享有机密性、完整性和可认证的数据传输.最后给出了网关测试结果与应用实例.     

基于安全终端的虚拟桌面系统

由于缺乏终端侧的安全防护措施,现有虚拟桌面系统的信息在传送到终端之后存在着信息泄露的安全隐患。因此从用户身份认证和终端自身安全防护两个方面入手,提出基于安全终端的虚拟桌面系统,实现终端侧的安全性防护。采用USB—Key作为强认证因子,提高身份认证的安全性。同时终端采用硬件完整性检测以及内容保护设计,确保自身运行安全。保证信息在终端上的无痕浏览,敏感信息无法被非法记录。     

GI/Geom/1 queue based on communication model for mesh networks

In mesh networks architecture, it should be permitted to visit the mobile client points. Whereas in mesh networks environment, the main throughput flows usually communicate with the conventional wired network. The so‐called gateway nodes can link directly to traditional Ethernet, depending on these mesh nodes, and can obtain access to data sources that are related to the Ethernet. In wireless mesh networks (WMNs), the quantities of gateways are limited. The packet‐processing ability of settled wireless nodes is limited. Consequently, throughput loads of mesh nodes highly affect the network performance. In this paper, we propose a queuing system that relied on traffic model for WMNs. On the basis of the intelligent adaptivenes, the model considers the influences of interference. Using this intelligent model, service stations with boundless capacity are defined as between gateway and common nodes based on the largest hop count from the gateways, whereas the other nodes are modeled as service stations with certain capacity. Afterwards, we analyze the network throughput, mean packet loss ratio, and packet delay on each hop node with the adaptive model proposed. Simulations show that the intelligent and adaptive model presented is precise in modeling the features of traffic loads in WMNs. Copyright © 2013 John Wiley & Sons, Ltd.     

Privacy-Preserving Data Packet Filtering Protocol with Source IP Authentication

Packet filtering allows a network gateway to control the network traffic flows and protect the computer system. Most of the recent research works on the filtering systems mainly concern the performance, reliability and defence against common network attacks. However, since the gateway might be controlled by red an untrusted attacker, who might try to infer the identity privacy of the sender host and mount IP tracking to its data packets. IP spoofing is another problem. To avoid data packets to be filtered in the packet filtering system, the malicious sender host might use a spoofed source IP address. Therefore, to preserve the source IP privacy and provide source IP authentication simultaneously in the filtering system is an interesting and challenging problem. To deal with the problem, we construct a data packet filtering scheme, which is formally proved to be semantic secure against the chosen IP attack and IP guessing attack. Based on this filtering scheme, we propose the first privacy-preserving packet filtering system, where the data packets whose source IP addresses are at risk are filtered, the privacy of the source IP is protected and its correctness can be verified by the recipient host. The analysis shows that our protocol can fulfil the objectives of a data packet filtering system. The performance evaluation demonstrates its applicability in the current network systems. We also presented a packet filtering scheme, where the data packets from one subnet can be filtered with only one filter policy.     

移动互联网安全接入机制研究

文中关注移动互联网网络接入安全性,介绍移动互联网面临的安全威胁,研究移动互联网的网络结构和接口协议,提出跨网系的统一认证与授权管理技术,阐述网络接入安全需求,针对EAPSIM和EAP-AKA两种安全机制,分析网络接入鉴权与密钥协商流程,以及演进分组核心网络各网元设备功能,实现用户和网络之间的认证性、机密性和完整性的安全防护,为移动互联网网络安全体制建设提供理论依据与技术支撑。     

嵌入式LonWorks网络智能网关设计

为了解决LonWorks设备现场智能控制及远程监控的需要,提出了通过嵌入式网关实现LON网和以太网协议的转换方案.本网关采用电力线收发器PL3150和带有以太网控制器的微处理器LPC 1778分别实现LonWorks网络和以太网的接口功能.同时还利用LPC 1778内置以太网控制器搭建Web服务器,实现了一个远程监控平台,达到了远程智能交互与监控的目的.本文给出了该智能网关硬件平台和软件平台的方案和实现方法.