CCProxy代理服务器助力局域网MAC地址与IP地址管理

本文针对在局域网内MAC地址与IP地址的管理上存在的安全问题进行了探讨,并指出从技术角度防止MAC地址与IP地址被盗用有很多有效手段和方法,本文从作者实践角度主要介绍了部署CCProxy代理服务器,采用其最严格的认证方法,即客户端账号结合MAC地址与IP地址绑定的方式来认证上网权限,有效阻止MAC地址与IP地址被盗用的现象,安全性超过96.3%。     

一种改进的PoC系统接入鉴权方法

为实现PoC系统安全的身份认证,本文提出了一种应用层绑定接入层的双重认证方案,该方案依靠核心网中的公共鉴权服务器和服务网络中的SIP代理服务器完成了接入层和应用层的鉴权,实现了用户IP地址和手机号码的有效绑定和客户端与服务器的双向鉴权功能,在相同安全等级的情况下,降低了认证信息交换次数和系统开销,较好的实现了身份认证功能。     

一种结合移动IP和SIP实现IP网络移动性管理的优化方案

本文提出了一种网络层和应用层相结合实现IP网络移动性管理的新方案。移动终端的固定IP地址作为数据传输的地址;当终端和所在子网使用的是不同的IP子网前缀时,使用转交地址形成隧道对数据进行收发;SIP地址作为用户帐号,是在应用层使用服务的地址,通过把它动态地和移动终端绑定来使用终端。方案中还提出了以SIP地址域的分级方式进行组织管理的用户数据库系统,定义了为子网中移动终端服务的区域代理。新方案能够对现役设备和协议改动较小的程度下,为下一代网络提供移动性管理。     

基于工作流的IP地址管理系统

描述一种新型的基于Workflow技术、Ajax技术和模板页控制技术的IP地址管理系统设计与实现。整个系统的设计分为消息管理模块、用户登录模块、人工管理模块、IP地址管理模块、IP-Mac绑定/解绑定模块和日志记录模块。为了方便用户和管理员的使用,系统采用自动的IP地址分配、绑定和回收,完成设备添加功能、设备登录账户功能和消息管理功能、位置管理功能以及IP地址基于DHCP的分配和静态分配两种方案,实现设备登录采取Telnet登录和SSH登录两种模式的选择。本系统的特点是整体页面无刷新的体验、功能模块化独立设计以及页面统一动态加载,因此能给用户一种C/S架构的体验。     

基于CGA算法的绑定更新信息验证机制

在移动IPv6网络中,移动节点的定位通过绑定更新过程来完成,该过程中的重点是定位信息的安全处理。CGA算法的目的是阻止对已存在的IP地址的欺骗和盗用。该文通过对该协议的研究,将其应用于移动IPv6中的绑定更新信息的处理,有效解决移动节点转交地址的获取及验证,从而提高绑定更新信息处理的安全性。     

基于NAI和可变传输层标识的移动IPv6方案

该文分析了当前移动IPv6方案的不足,提出了基于NAI和可变传输层标识的移动IPv6方案。该方案提出主机用NAI唯一标识,无固定家乡IP地址,IP地址在网络接入点自动配置。传输层的连接标识绑定到NAI-IP映射表表项而不是IP地址。通过地址改变消息动态改变表项中的IP地址,实现传输层标识随对端IP地址的改变而改变,达到动态匹配,从而保持了传输层的连接,实现了IP移动性。该方案不需要IPv6扩展包头,大大减小了包头长度,提高了数据净荷的传输效率。避免了对每个报文的包头选项处理,提高了处理效率。不需要家乡IP地址,减少了IP地址的占用。     

基于协同地址碰撞的隐蔽认证方法

云计算的兴起不可避免地带来了一些安全问题,服务资源的非授权访问就是其中的一个重要威胁。对此,基于IPv6地址的新特性,提出一种协同地址碰撞技术,即待认证节点通过多个协同节点的配合,向关键主机所在网络发送在IP地址接口标识部分隐含认证秘密的数据包,以实现对节点的隐蔽认证。理论和实验分析结果表明,该方案可有效提高网络的安全性。     

校园网接入控制技术应用研究

文中结合校园网管理实践,总结了相关的地址绑定、IP地址稽核和用户认证等几类接入控制技术的机理和实现过程,并提出了各种方法的适用性和限制.     

一种大型Ad hoc网络安全IP配置方案

Ad hoc网络IP配置技术是Ad hoc网络投入实际应用的关键问题。目前,几乎所有的IP地址分配方案都是基于节点间相互信任的基础上实现的,没有考虑到安全性因素,不适应在潜在的恶意环境下实际应用。且现有的安全性方案没有考虑到安全性开销的问题。针对这个问题,提出一种适应于大型移动自组网络分层次的安全IP配置方案。该方案中,初始节点和普通节点分别采用双向认证和单向认证的策略。分析表明与现有的方案相比,该方案虽降低了协议的安全性,却节省了大量的安全性开销。     

基于蓝牙设备地址的分组净荷签密方案设计

针对蓝牙设备认证和分组净荷加密传输过程中存在的安全缺陷,结合无证书签密方案,建立基于蓝牙设备地址的分组净荷签密模型;在此基础上,通过分组净荷与蓝牙设备地址的绑定,设计蓝牙分组净荷签密方案。该方案能够有效抵抗来自外部设备的窃听攻击、主设备地址假冒攻击、分组伪造攻击和来自内部设备的分组否认攻击。理论分析和实验结果表明,该方案具有存储和计算开销较小的特点,能够满足蓝牙嵌入式应用需求。     

基于身份认证的IP地址管理方法研究

针对Intranet网络环境中IP地址管理混乱与盗用问题,讨论了基于身份认证、利用802．1x协议的IP地址管理方法。此方法不但可以灵活管理IP地址,而且可以实现人机结合认证,加强用户与主机的安全。     

一种AAA下Mobile IP的认证注册方案

Mobile　IP解决了移动结点在不改变IP 地址的情况下在不同域中的漫游问题。移动结点在漫游时,外地域通过AAA 服务器对它进行认证、授权、记账。本文提出了一种 A A A 下Mobile　IP的认证注册方案。在注册过程中利用公钥和对称钥实现移动结点和网络的双向认证。仿真表明该方案完全能够满足实际应用的要求。     

基于IPv6的防火墙的关键技术与实现

IPv6是新一代的IP协议。它的提出解决了当今IP地址匮乏的问题,并引入了加密和认证机制,实现了基于网络层的身份认证,确保了数据包的完整性和机密性,因此,可以说IPv6实现了网络层安全。虽然IPv6有很好的安全功能,但它替代不了防火墙。目前的防火墙一般提供的都只是物理上的过滤形式,缺少认证和加密机制,如果在防火墙中加入认证和加密机制,那么防火墙功能将更加完善。     

一种基于改进IKE的移动VPN密钥协商方案

对传统IKE协议进行了改进,改进后的协议在不降低安全性的前提下实现了移动用户远程安全接入,以便其获得内网信息;扩展了IKE的认证方式,使其具有更高的协商效率和更强的可控性;实现了相应的移动VPN接入系统,该系统既支持动态内网IP分配,又支持扩展用户身份认证,从而在接入服务器端可以方便地进行基于内网IP的访问控制管理。     

基于IPSec的组播数据源认证设计方案

组播技术在面向组的应用中越来越多地使用,但是组播数据源认证问题却一直没有很好的解决方案.IPSec是解决IP层安全问题的协议,目前IPSec协议已经越来越多地用于组播应用中,在对IPSec的安全组播主机系统框架进行研究的基础上,提出了基于一次性签名的组播数据源认证方案,重点解决了组播数据源认证设计的困难,这个方案能够达到组播数据源认证的安全性与性能两个方面的要求,尤其在抗抵赖和计算量两个方面作了改进.     

基于主机标识的802.1x认证协议的安全性改进

针对802.1x认证不能防止IP和MAC地址同时被盗用的缺陷,对该协议作改进.由于IP地址和MAC地址均可被修改,故不能唯一地标识一台主机,然而用户上网浏览网页或传输文件等都离不开自己的硬盘,硬盘序列号是可以读取且不能修改的,将用户的硬盘序列号作为其唯一的标识加入到认证方式中就可以做到防止非法盗用IP和MAC地址上网或进行攻击活动.     

基于本地安全关联的移动网络接入认证机制

为减少网络移动中身份认证对性能的影响,提出了一种基于本地安全关联的接入认证机制。该机制通过认证消息携带地址注册信息,整合认证和绑定更新过程,采用本地移动性管理策略,通过建立本地安全关联,实现了域内切换流程本地化,保护了地址注册信息,避免了隧道嵌套。性能分析表明,该机制在实现双向认证的同时能够抵抗重放等多种攻击,相比其他方案,该机制减小了计算开销,缩短了切换时延。     

基于UDP/IP单向数据广播的加扰认证解决方案

条件接收系统是实施收费数据广播业务平台中的重要组成部分，为了实现基于DVB单向传输网络下的条件接收系统中授权问题，提出引入智能密码钥匙（USBkey）作为单向数据传输的终端用户身份认证及权限接收工具，提供一种采用对称密码体制和非对称密码体制结合安全认证方案，以实现单向传输过程中的高安全性和实时性需要。该方案在央视数据广播的条件接收系统中得以成功的实施。     

全IP的有线无线一体化接入与认证技术

本文介绍了未来全IP化的网络,提出了基于IPv6协议的有线无线一体化接入和认证系统。这种接入网络可同时为有线用户和无线用户提供IP网络接入服务,能够进行认证和计费,能够支持IP漫游和移动。采用IPv6协议保证了为每个终端分配一个全局IP地址。满足未来基于IP的、端到端的通信需要。并对有线无线一体化接入和以太网接入认证技术进行了分析。     

Online risk-based authentication using behavioral biometrics

In digital home networks, it is expected that independent smart devices communicate and cooperate with each other, without the knowledge of the fundamental communication technology, on the basis of a distributed operating system paradigm. In such context, securing the access rights to some objects such as data, apparatus, and contents, is still a challenge. This paper introduces a risk-based authentication technique based on behavioral biometrics as solution approach to tackle this challenge. Risk-based authentication is an increasingly popular component in the security architecture deployed by many organizations to mitigate online identity fraud. Risk-based authentication uses contextual and historical information extracted from online communications to build a risk profile for the user that can be used accordingly to make authentication and authorization decisions. Existing risk-based authentication systems rely on basic web communication information such as the source IP address or the velocity of transactions performed by a specific account, or originating from a certain IP address. Such information can easily be spoofed, and as such, put in question the robustness and reliability of the proposed systems. In this paper, we propose a new online risk-based authentication system that provides more robust user identity information by combining mouse dynamics and keystroke dynamics biometrics in a multimodal framework. We propose a Bayesian network model for analyzing free keystrokes and free mouse movements involved in web sessions. Experimental evaluation of our proposed model with 24 participants yields an Equal Error Rate of 8.21 %. This is very encouraging considering that we are dealing with free text and free mouse movements, and the fact that many web sessions tend to be very short.