基于LISP协议的网络构架的研究

身份和位置分离技术是下一代网络（NGN）研究的重要方向,由于IP技术固有的缺陷,使得IP地址既表示终端身份又表示终端网络地址的双重属性给网络管理、用户安全性、网络可扩展性带来诸多不便。在分析HIP、Shim6、LISP等现有身份和位置分离技术的基础上,对基于LISP协议的网络构架进行了研究。     

身份与位置分离网络中的可证明三元认证接入协议

针对身份与位置分离网络中接入协议的安全问题,提出一种可证明的三元认证接入协议,实现了所有通信实体(终端、接入交换路由器和认证服务器)的双向认证,有效地防止了未授权终端的接入,防止了伪造的认证服务器和非法的接入交换路由器.通过对Ballare-Rogaway模型的扩展和性能分析可知,该协议基于BR扩展模型是可证明安全的.     

基于Kerberos身份认证的分析和改进

认证是网络安全的基石,是指网络通信双方在通信时验证对方身份.对Kerberos系统作了介绍,并详细分析了Kerberos的认证方案及其局限性,采用公钥体制对Kerberos协议进行了改进,提高了系统的安全性.     

MS-CHAP鉴别协议安全性分析

微软质询-握手鉴别协议（MS-CHAP）通常被嵌入到其他协议中,通过＂三次握手＂对参与通信的实体进行身份鉴别.利用一种基于攻击者协议验证方法对MS-CHAP协议的安全性进行了形式化分析,发现该协议存在使攻击者无需破解口令即可通过身份鉴别的安全漏洞,并给出了相应的攻击剧本.研究表明MS-CHAP协议存在致命安全缺陷,不能达到预期的安全目标.     

HTTP代理服务器的设计与实现

论述了HTTP代理协议的实现过程，并就HTTP代理的身份认证和缓冲机制作出分析研究和探讨。     

一种基于数字签名的SSL协议改进策略

针对SSL协议在电子商务应用中存在的身份认证缺陷,提出了一种基于数字签名的SSL协议改进策略,并通过实验证明改进策略的可行性。具体实现上是对SSL协议本身进行改进,增加了对消息的数字签名功能,达到了防抵赖目的,克服了SSL协议的身份认证缺陷。     

军网身份鉴别协议形式化分析

形式逻辑是一种抽象的逻辑证明工具,密码协议的形式逻辑证明技术日趋得到重视,人们采用形式逻辑分析方法发现了许多协议中存在的安全缺陷,它的实用性已经得到了充分证明。本文对目前较为常用的形式逻辑分析方法——BAN逻辑的形式化分析理论进行了介绍,在此基础上对军网身份鉴别协议进行了BAN逻辑描述,并对协议的安全性进行了理论分析与证明。结果为协议能正确传递鉴别双方的信任关系,协议设计上不存在冗余步骤。     

LeeB私钥分发协议的改进方案

为了解决LeeB协议中存在的用户私钥托管问题,通过采用公开的身份密钥对来确认用户的身份,提出一种改进方案,并分析了该方案的安全性与执行效率.改进方案解决了LeeB协议中存在的安全问题,且运算量减少了4n次对运算和2n次哈希运算.     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

基于目录服务实现校园网统一身份认证

传统校园网系统对每个应用采用独立用户身份认证,增加了系统管理难度和安全风险。使用高效的目录服务系统(OracleInternetDirectory),建立了一个基于目录服务的校园网统一身份认证系统,来解决这个问题。     

Socks代理协议分析

Socks协议是一个基于客户机/服务器结构的网络代理协议。它位于OSI模型的会话层,是回路型代理的代表。它处理的对象主要是基于传输层上的会话包,是一种兼具传统应用代理特点,同时又具有良好透明性的通用代理技术。文章深入讨论了Socks协议的工作原理和流程,着重介绍了SocksV5协议的相关技术,并给出了一个应用实例。     

OpenStack认证后端的安全性研究与改进

OpenStack作为当今最流行的开源云平台,在当前的使用过程中其安全性也越来越受到人们的重视和研究.本文在分析Openstack平台架构的基础上,重点分析了openstack认证组件keystone的工作原理,以及用户在登陆云平台时keystone的交互过程.以keystone作为openstack 身份认证安全性问题的切入对,提出了其认证后端数据库利用率和安全性不足的问题,并以LDAP轻量级目录服务协议为基础提出了openstack认证后端的安全性改进方案.     

一种基于身份的可否认认证协议的改进

为了满足非交互式的可否认认证协议的安全评估,将密钥泄漏(key-compromise impersonation,KCI)安全属性重新定义为发送方密钥泄漏(sender key-compromise impersonation,SKCI)安全属性,并针对Cao方案存在的发送方密钥泄漏攻击问题,提出一种改进,该方案同原方案相比减少了6次对运算且通信双方的交互次数减少了2次.另外,与同类Liao的改进方案相比,本文方案不需要增加签名机制即可实现身份认证且同时满足可认证性、否认性和发送方密钥泄漏安全性.     

基于身份密码体制在WiMAX网络安全协议中的应用

针对802.16-2005修正案中安全认证方面的不足,通过引入基于身份(Identity-Based)的公钥密码体制,提出了一个基于身份802.16(W iMAX)网络安全认证结构。详细描述了从初步建立系统参数,动态的共享密钥的生成,到4-way握手的相互身份认证协议的过程以及weil paring的实现。通过比较,说明了该协议在安全性方面相对于目前的无线网络安全协议的优越性。     

单片网络接口芯片W5100的原理与应用

W5100是WIZnet公司推出的一款TCP/IP硬件协议栈的升级产品,是一种多功能的单片网络接口芯片.它除了集成TCP/IP协议栈外,还集成以太网MAC层和物理层.介绍了W5100芯片的性能特点和内部结构,分析了其软硬件应用设计方法.     

基于ARM的CAN总线与以太网通信网关设计

为了实现工业现场控制中2种不同网络之间的数据交换,本文给出了一种嵌入式CAN总线——以太网的网关设计思路和硬件电路设计方法．采用μC／OS-Ⅱ操作系统上的软件编程,完成CANopen协议与TCP／IP协议的相互转换,从而实现了以太网对各工业现场设备节点的信息交流．     

基于位置辅助的自适应广播AODV路由协议

由于AODV路由协议采用洪泛的方式广播RREQ,这使得一些本不适合作为此次传输中继的节点也参与了进来.针对这一缺点,提出一种基于位置辅助的自适应广播AODV路由协议——AbAODV(Adaptive broadcast AODV based on location assistance).节点通过定期交互的HELLO报文获取网络内其它节点的位置信息,考虑到传输时延,提出 目的节点位置最大误差值以应对在拓扑快速变化的网络中出现的最恶劣情况.最后在路由发现过程中,节点根据自己与 目的节点的地理位置信息和其通信范围内的节点密度,自适应的调整广播角度、缩小RREQ消息的广播范围.有效地减少了过多冗余的路由消息和中继节点的数量,降低了由于节点的移动性出现路径断裂的概率和节点互相通信的能量开销.通过仿真实验表明,相比于传统的AODV路由协议、同类型的GeoAODV、LAODV路由协议,AbAODV都有更好的性能表现.     

基于位置和定向泛洪的车联网区域路由协议

为提高车载自组网通信中路由发现和数据传输的效率,对区域路由协议进行改进。在分组中加入节点坐标、速度和时间字段,各节点接收分组后,记录或更新此信息到自身位置缓存表。路由发现阶段,节点位移大于位置更新半径时才更新路由,以此减少路由发现次数;非目的节点查询位置缓存表或路由表后直接应答,以此加快路由发现时间。数据传输阶段,节点通过定向区域转发以限制泛洪,以此降低控制开销。通过搭建车联网场景,对60个节点在5~50m/s速度下进行仿真实验,结果显示,改进方案可使时延降低6%~13%,分组投递率增加6%~20%。另当节点速度大于35m/s时,可使控制开销减少7%~14%。     

MS SQL Server身份认证机制的安全分析

文章主要研究MS SQL Server 2000和2005两个版本的数据库系统的身份认证机制及其攻击方法。借助软件分析完整地还原了SQL Server用户的登录过程,发现SQL Server 2000的认证机制极其脆弱,而SQL Server 2005采用标准的TLS安全协议对用户认证信息进行了封装保护。通过深入分析确信SQL Server 2005在TLS的使用上存在重大缺陷,极易受到中间人攻击而导致敏感信息的泄漏。     

特定环境下移动Ad Hoc网络使用DSR协议的性能研究

提出特定通信环境下的一种改进的DSR协议，并将此协议与位置信息相结合，在移动Ad Hoe网络中，由于位置信息的作用，网络节点的寻址方式由全局寻址改为局域寻址．实验结果证明，在两种特定通信环境下改进的DSR协议较之传统的DSR协议在时延和寻址成功率方面更有效。