B1级网络安全机制与实现

文章介绍了本小组开发的B1网络,通过修改协议栈和上层服务实现的安全机制包括自主访问控制,强制访问控制,安全主机确认,安全标签,客体再用控制,可信服务,用户鉴别和认证,审计,在操作系统级解决了一些目前主要的网络安全问题。     

Web服务访问控制的设计和实现

为实现Web服务的安全访问,利用SSL传输SOAP报文的Web服务安全机制只考虑点到点的通信,不能实现端到端的通信,并且不能对报文的局部进行加密的弊端,在分析WS-Security开源代码WSS4J的基础上,设计了一套基于SOAP报文处理的Web服务访问控制的安全模型.利用SOAP报文处理器实现Web服务报文的安全,利用访问控制机制实现Web服务的授权处理,并在java平台上给出了对SOAP报文进行扩展的方法,对此安全模型进行了测试.此模型实现了SOAP报文的安全通信并阻止了相关资源被非法访问.     

无线局域网协议分析系统的设计与实现

现有的无线局域网协议分析系统多采用基于PC的单点模式,操作人员需在现场实施分析,存在分析范围小、灵活性差等问题。该文提出一种分布式协议分析系统构架,该系统通过无线局域网数据采集设备对多个无线局域网采集数据,该设备与协议分析平台间通过CDMA2000网络多路数据链路进行远程控制和数据上传。给出了无线局域网协议分析的方法和数据采集设备的设计与实现,经测试表明该设备可以有效采集无线局域网通信信息,该系统能够准确地分析无线局域网协议,在安全防护、网络监测等方面有较好的应用价值。     

SDARP：基于软件定义网络的地址解析协议代理机制

针对以太网中,主机之间存在大量的地址解析协议（ARP）的广播流量,导致以太网规模受限问题的研究,提出基于软件定义网络的地址解析协议代理机制（SDARP）,利用软件定义网络范式,集中处理地址解析协议报文,应答地址解析请求,从而抑制广播流量。SDARP基于RYU控制器实现。基于Mininet仿真器的虚拟试验床实验证明：SDARP对主机透明,能够有效减少92.9%的ARP广播报文,消除广播风暴,并减少35.9%的ICMP传输时间。     

新一代网络安全接入技术TNC

TNC是Trusted Network Connection的缩写,即为可信网络连接技术,它是由TCG组织成员制定的一组详细规范,其目标是解决可信网络接入问题。TNC建立在基于主机的可信计算技术之上的,其主要目的在于通过使用可信主机提供的终端技术,实现网络访问控制的协同工作。同时,TNC的网络构架可以结合已存在的网络访问控制策略(例如IEEE802.1x、IETFRADIUS、IETFEAP等协议)来实现访问控制功能。     

基于协议解析的工控网络安全仿真平台设计

工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该方案在工业防火墙的基础上,通过对工控网络通信协议的报文深入解析,直接在报文层面解析过滤,从而拦截与功能实现无关的报文,并发现隐藏较深的威胁。以OPC协议为例,搭建了基于应用层协议深度解析的工控网络安全仿真测试平台,并利用石化企业现场设备的通信数据对该平台进行了验证。所提出的安防策略为工控网络安全设备的设计和制造提供了一种基于应用层协议解析的方案,具备较高级别的安全性能。     

基于MFC的局域网监控系统的设计与实现

开发了一套Windows平台下基于MFC框架设计实现的局域网监控系统。该系统具备有同时对局域网内多台主机进行屏幕监控,远程锁屏、关机,消息传递,文件传输,资源访问控制,视频录制等功能。     

分布式网络行为监控系统的研究与实现

随着计算机网络的发展与普及,网络内部的安全性越来越受到人们的关注,如何对局域网内部主机的行为进行监视与控制是解决问题的基础和关键所在。本文提出了一种基于C／S模型的分布式网络行为监控系统的设计框架及主要功能,并对实现过程中的软件体系结构、报文解析引擎和网络行为分析引擎等关键技术进行了讨论;最后给出了本系统
统的应用方向及系统测试结果。     

面向密码协议的半实物网络仿真方法

针对常用仿真工具在进行面向密码协议的半实物（Hardware-in-the-loop,HIL）网络仿真时接口不支持、密码协议仿真资源缺失、无法实现密码协议处理等问题,提出一种面向密码协议的HIL网络仿真方法。在形式化分析面向密码协议HIL网络仿真建模环境的基础上,给出了密码协议HIL网络仿真过程中用到的关键技术,构建了基于OMNeT 的HIL网络仿真模型。然后,就仿真过程中存在的关键问题进行了分析,提出了有效的解决方案。最后,以网际控制报文协议（Internet Control Message Protocol,ICMP）在测试主机连通性中的应用为例,基于封装安全载荷（Encapsulate Security Payload,ESP）协议,对面向密码协议的HIL网络仿真方法进行了仿真测试。实验结果表明,与现有HIL网络仿真方法相比,该方法可以对经ESP协议处理后的ICMP询问报文进行响应,有效地使虚实主机基于密码协议进行保密通信。     

基于策略协议的VPN安全网关设计

基于IPSec的VPN模型采用传输加密报文的形式,实现了企业重要数据的安全共享。网络复杂性的增加以及一些高端的网络应用需求已迫使对VPN的模型做优化改造,引入策略管理和策略授权协议,设计基于策略服务协议的隧道模式的VPN安全网关模型,成功实现了高端网络对访问控制与审计、动态IP技术以及WLAN的需求,提高网络安全管理的效率。     

基于IPv6的防火墙设计

IPv是下一代的IP协议,它的提出解决了现有协议的一些安全问题,它可在网络层支持对每个分组的认证和加密,它的应用将对现有的防火墙机制产生影响。文中介绍了基于IPv6协议的防火墙的设计,并对常见的三类防火墙系统进行了改进。改进后的系统除了具有目前防火墙系统的分组过滤和应用代理等功能外,还能够实现对IP数据报的源地址的认证,分组内容的完整性检验,以及对分组的加解密。     

一种基于Kademlia的网络语音安全多路通信方法

基于互联网络的开放性特点,端到端的网络语音难以避免遭到监听、拒绝服务和流分析等攻击,极大危害到网络语音的安全。文章为应对这些安全问题而提出了一种基于异或运算KademliaP2P协议的网络语音安全多路通信机制。语音数据在发送端就开始进行分流处理,每个加密的语音包拆分成多个密文碎片,同时通过多条独立的路径发送至对端。转发节点选取Kademlia协议中的超级节点,并从生成的多条路径中基于最优算法选取性能最优、一致性最好的组合用于语音传输。通话两端的呼叫及密钥协商过程均基于多路径实现。实验和分析表明,文章提出的方法在保证语音服务质量不下降的基础上,能有效抵抗中间链路监听,拒绝服务攻击及密钥破解等安全问题。     

基于IEEE802.1x的网络准入控制系统设计与实现

为确保本地网络资源的安全,可在网络边界处部署防火墙、安全认证网关等设备,但局域网内用户可未经授权访问关键的IT资源,占用宝贵的网络资源甚至发起攻击。为解决这个问题,本文设计了一种基于IEEE802.1x的网络准入控制系统,深入分析了802.1x协议及网络准入控制系统体系结构,通过将802.1x与RADIUS认证服务器结合构建了一个高效、可靠的内部网络802.1x/EAP接入方案,并在网络环境下进行了实验。     

基于专业过滤器的网络管理与安全系统

本文介绍了基于专业过滤器的网络管理与安全系统的设计和实现过程,该系统结合了包过滤、用户认证、计费和数据加密等多种技术。由屏蔽路由器、屏蔽主机等实现的包过滤器出于本身的安全、性能和复杂性等考虑,其过滤策略很难改变,用户不能参与管理帐户权限。本系统借鉴了代理服务器中的用户认证功能,使用户可参与管理自己的帐户权限,可有效地防止合法ＩＰ地址的非法盗用。同时,由于采和了硬件加速和包过滤技术,可得到较高的吞吐     

无线传感器网络轻量级数据加密机制设计

针对无线传感器网络处理能力、存储空间、能量等有限的特点,设计了轻量级数据加密机制。该机制对RC6算法进行了改进,添加了"对称层"运算,使改进后的RC6算法在运算工作量变化不大的情况下,硬件实现更加容易,硬件资源消耗更小。为进一步提高密文的安全性与数据加密强度,使用双密钥对明文进行两级加密,并引入了随机密钥管理机制,使网络节点每次加密时都能使用不同的密钥,提高了密钥的安全性。数据加密机制还使用了节点ID认证、带有身份标识的密钥池认证等多种安全认证机制来阻止非法节点的接入。实验基于低功耗Cortex-M3内核的控制芯片搭建无线传感器网络节点硬件平台,设计了通信协议,并在硬件平台上移植与实现了该机制。实验结果表明,该加密机制能够很好地在低功耗平台上运行。     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.     

蓝牙访问控制方案的设计与实现

通过分析L2CAP层和RFCOMM层连接建立过程以及HCI层、L2CAP层和RFCOMM层接收流程上的数据分组,提出了一种在HCI层、L2CAP层和RFCOMM层实施的蓝牙访问控制方案,并基于BlueZ协议栈进行了仿真实现.实验结果表明,该方案能够实现对蓝牙服务应用的实时控制,解决了蓝牙访问控制方案存在延时问题,确保蓝牙设备内资源的安全.     

基于S3C2440的嵌入式IPv6防火墙设计

随着网络应用的不断发展,网络安全显得越来越重要。基于X86架构的边界防火墙成本较高,且难以遍布网络的每一个终端设备,无法构建全方位的安全防护网络。本文针对以上问题,设计了一种基于S3C2440嵌入式IPv6防火墙。并且提出了状态跟踪与智能包过滤相结合的动态包过滤方案。该方案通过智能访问控制技术优化包过滤规则集,从而提高了防火墙的吞吐量和安全性。     

基于协议转换的安全网关原型系统设计与实现

提出了一种IPv4,IPv6混合网络下基于协议转换的安全网关原型系统设计（Hybrid-SG）,并基于Linux 2.6内核Netfilter框架实现了基本功能。Hybrid-SG在协议转换的基础上跟踪UDP/TCP连接会话,并可实施简单的端到端的安全访问控制策略。实验测试结果表明, Hybrid-SG对端到端数据包传输的时延影响不大,可满足企业组网及安全控制的实际需要。