基于主机标识的访问控制模型研究

身份认证和访问控制是Internet应用的重要方面,传统的实施方案通常针对于特定的应用,也不能用于普适计算环境下的移动终端。文中提出了一个新的访问控制模型,利用了由IETF定义的主机标识协议（HIP）,并扩展了HIP基本交换过程来实现对用户的认证,并通过客户端主机标识和用户标识的绑定认证来建立主机和用户的绑定关系,从而实现对用户访问请求的判断。     

HIPSCS：基于HIP的安全IP通信系统

针对主机标识协议(HIP, host identity protocol)实际部署应用的相关问题,设计实现了一种基于HIP的安全IP通信系统(HIPSCS, HIP based secure communication system)。该系统通过将主机标识(HI, host identifier)和用户身份证书唯一关联,实现了主机身份的实名化,以保障网络报文的源地址真实可信,并通过IPsec技术加密所有通信数据以达到安全通信目的。实现并在实验室环境中部署了HIPSCS原型系统。实验表明此通信系统可用性强,并能很好地支持移动通信。     

利用PKI扩展主机标识协议

主机标识协议HIP使得主机身份有了独立的标识HI,它作为唯一代表主机身份的标识验证主机的身份。HIP中虽然给出了拥有HI的主机的身份验证和建立安全关联的方法,但并没有涉及主机和HI的映射关系。文中通过PKI注册生成主机和HI的对应关系的证书来保证主机身份和HI映射的权威性,同时扩展HIP的基本交换,将它用于验证证书的真实性,从而和HIP共同形成一套完整的网络安全体系。     

结合3A系统的接入控制技术探析

针对Intranet在接入安全与可管理性方面所面临的问题，提出了结合3A系统的接入控制技术的应用解决方案。通过对用户和主机接入时进行多元素绑定认证，对在线用户的网络运行状态进行监控，实现了对接入用户和主机、网络资源的统一控制与管理。     

一种基于标识的移动通信机制

IPV6的出现不但解决了地址空间紧缺问题,对网络性能的改善也有卓越表现,但是IP地址同时用作用户的身份标识和位置标识,语义过载,不能很好地解决主机移动性和安全性方面存在的问题,应提出一种新的机制加以克服;基于终端的身份与位置分离的设计思想,文中把HIP和SIP协议应用到新的一体化网络中,提出一种基于标识的移动通信机制.     

基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。     

一种面向计算网格U2R攻击的主机入侵检测技术

文中提出了一种针对计算网格U2R攻击的主机入侵检测技术,在主机层使用BV方法,以降低漏报率和误报率.在主机操作系统内核中使用基于整数比较实现的BV方法,不仅占用较小的系统开销,而且可对主机关键资源的使用进行检测.同时通过整合网格访问控制机制,在网格环境下准确地标识入侵者,并向网格中间件层提供网格用户使用主机资源的信息为进一步的用户行为分析提供支持.     

网络管理系统中主机管理技术的研究

本文设计了一个基于Web的主机管理系统,通过对主机用户进行身份认证以及基于权限的访问控制达到管理主机资源的目的。     

基于可信计算的密级标识信息控制模型

借助可信计算的完整性检验、认证及访问控制和密封存储等关键技术,在现有PC体系结构下提出了支持可信计算的密级标识信息控制模型,并提出密级权限域的概念。该模型利用PC机USB接口外接TCM,结合身份认证、基于角色的访问控制和信道加密技术,从不同层次和角度进行涉密文档保护,实现用户细粒度控制和信息流控制。同现有的技术相比较,该模型能够满足国家相关标准的技术要求,实现更灵活、更安全的信息控制,并能够适应新的Cyber Security环境下的安全挑战。     

电信ASP平台中统一安全认证系统的设计和实现

本文论述了上海电信ASP(application service provider)商用平台中统一安全认证系统的设计原则和方法.安全认证系统,是在互联网的应用或服务环境中,对虚拟网络身份可信度进行管理的安全服务体系.安全认证系统为管理分布式互联网的用户标识、角色和安全提供了基础结构,实现统一用户管理、集中访问控制、身份认证和应用授权、单点登录(single sing on,SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务.上海电信ASP商用平台集成了跨行业的多种应用系统,兼容各种已有的和未来新的技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求.安全认证系统能够使ASP商用平台实现"统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降低风险".     

HSIP：下一代无线网络理想的选择

在未来的无线通信网络中,如4G,不同的无线技术和基础架构将并存。在这些异构的网络环境中,移动管理是一个关键问题。文中提出了一种新的移动管理方案,这种方案基于两个协议：主机标识协议（HIP）和会话初始化协议（SIP）。文中称这种方案为HSIP（HIP—SIP）。与SIP相比,HSOP有更好的性能,其信令开销小,延迟短,切换速度快。     

基于动态层次位置管理的HIP移动性支持机制

针对现有HIP机制不支持节点微移动的问题,该文提出了基于动态层次位置管理的HIP移动性支持机制。在该机制中,网络划分成多个自治域,每个自治域划分成多个注册域。当节点在同一个注册域内移动时,在管理该注册域的本地集合服务点中进行位置更新;当节点在同一个自治域内移动时,在管理该自治域的网关集合服务点中进行位置更新。节点根据自己的移动速率以及呼叫到达率选取本地集合服务点并计算注册域的最佳范围。仿真结果表明,该机制能较好地降低节点移动时的信令开销,支持节点微移动。     

Improved IPSec tunnel establishment for 3GPP–WLAN interworking

Interworking between wireless local area network (WLAN) and the 3rd Generation Partnership Project (3GPP) such as Long Term Evolution (LTE) is facing more and more problems linked to security threats. Securing this interworking is a major challenge because of the vastly different architectures used within each network. Therefore, security is one of the major technical concerns in wireless networks that include measures such as authentication and encryption. Among the major challenges in the interworking security is the securing of the network layer. The goal of this article is twofold. First, we propose a new scheme to secure 3GPP LTE–WLAN interworking by the establishment of an improved IP Security tunnel between them. The proposed solution combines the Internet Key Exchange (IKEv2) with the Host Identity Protocol (HIP) to set up a security association based on two parameters, which are location and identity. Our novel scheme, which is called HIP_IKEv2, guarantees better security properties than each protocol used alone. Second, we benefit from Mobile Internet Key Exchange protocol (MOBIKE) in case of mobility events (handover). And we extend HIP_IKEv2 to HIP_MOBIKEv2 protocol in order to reduce the authentication signaling traffic. The proposed solution reinforces authentication, eliminates man‐in‐the‐middle attack, reduces denial‐of‐service attack, assures the integrity of messages, and secures against reply attack. Finally, our proposed solution has been modeled and verified using the Automated Validation of Internet Security Protocols and Applications and the Security Protocol Animator, which has proved its security when an intruder is present. Copyright © 2014 John Wiley & Sons, Ltd.     

支持SIM认证的WLAN STA模拟器的设计与实现

为了解决在无线AC(接入控制器)开发与测试过程中出现的多用户终端接入测试困难及测试AC对大量用户的处理性能的问题,介绍了一种支持EAP-SIM(可扩展认证协议-客户识别模块)认证的STA(站)模拟器的设计原理,该模拟器可根据EAP-SIM协议规定,模拟真实SIM卡用户的接入认证流程,实现大量用户接入并认证,对AC进行压力和性能测试。     

Design and Evaluation of DNS as Location Manager for HIP

Host Identity Protocol (HIP) is designed to provide secure and continuous communication by separating the identifier and locator roles of the Internet Protocol (IP) address. HIP also has efficient solutions to support host mobility. In this paper, we propose a location management scheme based on Domain Name System (DNS) for HIP. In the proposed scheme, a new DNS HIP resource record is used to translate a domain name into a host identity tag and an IP address. We also develop an analytical model to study the performance of DNS as location manager in terms of success rate, which takes into account the velocity of mobile nodes, the radius of a subnet, the regional network size, the packet transmission delay between the mobile node and the rendezvous server, and the packet processing delay at the DNS and the rendezvous server. The performance results show that for a reasonable range, the DNS is a feasible solution for location management with high success rate for HIP.

Performance evaluation of an authentication solution for IMS services access

The IP Multimedia Subsystem (IMS) is an access-independent, IP based, service control architecture. Users’ authentication to the IMS takes place through the AKA (Authentication and Key Agreement) protocol, while Generic Bootstrapping Architecture (GBA) is used to authenticate users before accessing the multimedia services over HTTP. In this paper, we focus on the performance analysis of an IMS Service Authentication solution that we proposed and that employs the Identity Based Cryptography (IBC) to personalize each user access. We carry out the implementation of this solution on top of an emulated IMS architecture and evaluate its performance through different clients’ access scenarios. Performance results indicate that increase in the number of clients does not influence the average processing time and the average consumed resources of the GBA entities during the authentication. We also notice that the Bootstrapping Server Function (BSF) presents a bottleneck during the service authentication which helps in giving some guidelines for the GBA entities deployment.     

基于手机令牌的动态口令身份认证系统

随着无线网络的日益完善,通过手机无线接入Internet的用户不断增加,因此解决无线接入用户的身份认证问题极为重要。动态12令已经成为认证机制新的发展趋势,它提供了比传统静态口令更高的安全性。文中设计了一种基于挑战／应答机制的动态口令认证协议,并根据此协议设计了一个基于手机令牌的动态口令身份认证系统,论述了系统的组成、认证过程,分析了系统的安全性。分析表明,该系统具有安全性高、适用面广、使用方便、系统成本低的特点。     

ERP系统IAM的网络安全设计

ERP系统的安全应用一直是企业面临的信息安全问题,为了保障ERP应用与信息访问的安全性,我们为ERP系统搭建了一套IAM（Identity and Access Management）网络安全方案.该方案为ERP应用提供了可靠、高效的指纹认证以及安全可靠的包过滤防火墙模块、实时的数据库进程监控模块;从而确保ERP系统信息的安全可靠.本文叙述了IAM系统;分析了IAM系统内部与ERP系统的交互过程;然后详述了基于Windows API包过滤技术的防火墙模块的设计以及相关的其它网络安全设计,使系统可根据IAM身份验证信息进行动态过滤的目的,弥补了一般防火墙规则难以与应用软件灵活互动的不足,为企业应用的信息安全访问提供了可靠的保障.