安全域划分关键理论与应用实现

随着经济的快速发展,业务需求成倍增加,计算机系统的功能在不断增强,其网络复杂程度也在不断提高。目前网络主要存在如下问题：网络边界不够清晰,对网络内各部分的安全需求缺乏统一规划,没有对核心业务系统的访问进行很好的控制;各接入系统之间没有进行明确的访问控制。网络之间彼此可以互相访问,系统局部的安全问题极易扩散到整个系统。提出动态安全域划分的方案,实现一个系统的动态安全域划分。从纵深的角度,全盘考虑安全的部署和应用,提高了网络安全性。     

多安全域角色信任访问控制模型

为解决网络中多安全域间的访问控制难题,提出一种基于角色和信任度的访问控制模型. 将角色和信任度相关联,根据用户角色等级定义角色评价权重,利用角色评价权重和角色行为计算其信任度. 在引入直接信任度、推荐信任度和反馈信任度的基础上,通过调节各自的评价权重参与综合信任度评价,实现了细粒度的访问控制. 在局域网环境下利用web应用系统构建具有多安全域的访问控制模型,并进行了仿真实验,实验结果证明该模型具有较高的安全性、可扩展性和灵活性.     

IDVE：面向跨数据中心的虚拟域一致性迁移机制

针对混合云环境下虚拟域跨数据中心策略一致性迁移的需求,提出虚拟域迁移机制IDVE,通过数据中心间虚拟域一致性迁移协议,在数据中心间利用虚拟加密隧道迁移虚拟网络,使得虚拟域的拓扑和网络配置在虚拟域迁移时保持不变.该方案满足了跨数据中心虚拟域一致性迁移需求,并能使网络拓扑和配置在虚拟机迁移时提前设置完毕,大大减小了虚拟机迁移停机时间.测试结果表明:迁移时虚拟隧道下降损耗约为25％,停机时间仅为0.81 s,满足实际应用需要.     

Xen的虚拟机网络优化研究

针对一类流行的IP网络应用,提出了一个性能优化的虚拟机网络原型。多个虚拟机运行在高性能虚拟机监控器Xen上,通过它复用了其下的一台物理宿主机,Xen创建和管理这些虚拟机。优化原型的核心是一个新的虚拟网卡,所有的虚拟机通过它被互连成一个网络,用于虚拟机间的通信。与Xen的标准相应模型相比,实验和评估表明该原型改善了虚拟机间的通信性能,减少了约42%的用户请求响应时间。     

通用访问控制框架在网格中的应用

通用访问控制框架将访问控制的决策部分和访问控制的实施部分相分离,使访问控制实施与具体策略无关,从而可方便地支持多种不同的安全策略而无须改变访问实施.针对网格环境中多安全策略需求,对通用访问控制框架进行了扩展,提出网格通用访问控制框架.其通过抽象不同安全域系统的安全策略类型,形成安全域安全策略元数据;在用户跨域访问不同安全域时,基于安全策略元数据,系统可方便地决策并调用相关安全策略的实施.系统测试结果表明,该框架能够支持网格环境中多安全策略需求,并有效提高系统效率.     

TOChain:一种高性能虚拟网络安全服务功能链

为了优化基于网络功能虚拟化（NFV）的安全服务功能链（NS-SFC）的性能,提出了基于TCP Offloading的虚拟网络安全服务功能链（SFC）--TOChain,解决了重复收发网络包的问题;提出了面向吞吐率保证的强同步周期性CPU调度算法,在虚拟网络功能（VNF）与用户虚拟机混合部署的场景下实现网络吞吐率性能保证与调度公平性.基于KVM虚拟化平台实现了原型系统,并对由防火墙、入侵防御系统和应用层防火墙3种VNF构成的NS-SFC进行了不同负载下的性能测试.结果显示,与传统SFC相比,TOChain能够以较低的CPU资源占用率达到更高、更稳定的网络性能;在轻度和中度网络流量负载下,采用强同步周期性调度算法都能够达到与所设定的吞吐率极为接近的网络性能,即便是在重度负载下,也能实现用户虚拟机间的调度公平性.     

基于MPLS与BGP的VPN构建与应用研究

针对GRE、IPSEC构建的虚拟私有网络存在数据隔离、互访控制难于实现等问题。文章分析了产生这些问题的根源,提出采用MPLS和BGP技术构建虚拟私有网络的设计思想,并通过仿真平台加以验证。实践证明,采用这种方法在解决路由冲突、数据隔离、站点间访问控制等方面要优于传统的VPN技术。     

基于对象的虚拟外存管理

为解决多虚拟机环境中的外存管理问题,研究了基于虚拟机监控器的多虚拟机结构,概括出多虚拟机环境中外存空间的隔离与保护、外存空间的按需分配和外存空间的扩展等主要外存管理问题.借鉴虚拟内存管理思想和基于对象的网络存储协议,提出了一种虚拟外存管理系统的设计方案,有效地解决了外存管理中的上述问题.实验表明,虚拟分区可以动态创建和...     

基于Packet Tracer的访问控制列表实验教学设计

访问控制列表是计算机网络技术专业重要的知识点之一,对ACL的实现进行了研究,提出了基于Packet Tracer虚拟平台下访问控制列表实现的教学设计,设计了网络拓扑结构,构建了虚拟网络平台,配置了标准访问控制列表和扩展访问控制列表,最终对实训的结果进行了验证.     

基于802.1x的无线安全网关用户访问控制的探讨

本文以无线安全网关为基础,分析了当前无线局域网所面临的用户访问控制问题.根据网络端口访问控制标准IEEE802.1x的用户认证协议,提出了无线用户访问控制方案.该方案采用双向认证协议EAP-TLS,设计了用户与网络之间的双向认证.最后,本文分析了在有效结合RADIUS认证服务器时,无线安全网关上的用户访问的端口控制.