可信网络连接在电力二次系统中的应用研究

基于可信网络连接(TNC)提出一种电力二次系统网络访问控制应用模型。通过将系统内的不同区域进行安全等级划分,实现了分层次网络访问;将不同终端进行可信等级划分,实现了不同终端的访问权限控制;加入纵向加密认证和横向隔离访问控制机制,实现了网络接入控制。终端测试结果表明,TNC不仅很好地满足了二次系统的安全防护需求,还具有一定的自修复能力,实现了对电力二次系统的网络访问控制管理。     

基于802．1X的可信网络连接技术

网络访问控制技术能有效防止不安全终端对网络的威胁。该文介绍网络访问控制技术的研究现状,针对其实现中存在的问题,提出基于802．1x的可信网络连接模型,给出网络连接的认证流程及终端隔离技术的实现方法。实验结果表明,该模型可以保证终端的可信接入,并对不安全终端进行隔离和修复。     

基于TNC的网络终端认证模型设计

针对可信计算平台终端在网络连接认证时存在的安全隐患,提出一个基于可信网络连接框架的网络终端认证模型TNTAM。该模型通过加入身份认证系统模块、信息访问鉴别模块IADM和引入策略管理器来加强终端认证的安全性,实现了用户、改进的认证智能卡以及可信终端三者间的相互认证,并确保了可信终端请求网络服务的可信性和通信安全。对TNTAM模型的具体应用流程进行了设计。最后对比分析表明,该模型减小了可信终端在网络认证时存在的安全隐患并为加强终端认证安全提供了一种思路。     

一种基于可信计算的VPN接入认证方案

平台安全性在远程访问企业资源显得越来越重要.目前VPN客户端认证在对终端用户身份和平台身份认证的同时,尚未很好地保证终端平台的安全性,使得终端平台成为入侵者获得非法访问权限的途径.通过采用智能卡和可信平台模块相结合的方案,提高了终端平台身份认证的安全性,确保网络接入和通信的安全可信.     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

基于TrustZone的分布式可信接入方案研究与实现

随着B/S模式访问盛行,其访问的安全性受到越来越多的关注。当前几乎全部单位允许自己的员工通过终端访问应用系统,以满足通信需求。显然,这种访问并未在安全认证环境下进行。此时,做好终端认证、用户认证、接入认证及应用系统认证尤为重要。所以我们需要一种可信接入方案,以保护通信和敏感信息。本文采用VUE及KONG LUA架构,基于零信任核心理念和原则提出一种分布式可信接入方案。从应用访问、接口调用两个维度,保证终端可信、身份可信、访问可信及动态控制,解决终端可信问题、身份可信问题、行为可控问题。并采用分布式设计,解决并发连接的问题,提升用户体验。     

基于EAP-TLS的可信网络连接认证方案设计与实现

TNC架构在终端接入网络前对终端的平台身份和平台环境进行可信认证,保证了接入终端的可信,但这种可信认证存在单向性的局限,无法保证网络服务器的可信。EAP-TLS是802.1x中一种基于证书的扩展认证协议,支持双向认证机制。本文在分析TNC架构和EAP-TLS双向认证机制基础上,设计了一种基于EAP-TLS的可信网络连接双向认证方案,该方案能够对终端和服务器的平台身份、平台完整性和平台可信环境进行双向认证。在FHH@TNC开源架构搭建的可信网络环境上实现了客户端与服务器之间双向可信认证方案,并进行了方案测试,证明了方案的正确性。     

网络可信接入认证方法及在VPN客户端上的实现

提出了一种网络可信接入认证方法，经分析，该方法可以被使用在各种认证协议中。根据该方法，实现了可信IPSecVPN客户端。实验表明，可信VPN客户端增强了VPN客户端安全可信接入受保护网络的能力。     

支持可信认证的移动IPSec VPN系统设计

基于IPSec协议的移动VPN系统为移动终端的远程接入提供了可行的解决方案,但IPSec协议的普通身份认证没有考虑移动终端系统的完整性和可信性,造成终端安全漏洞,给被接入系统和被访问信息带来安全隐患.针对这个问题,提出支持可信认证的移动IPSec VPN系统,并给出其系统架构和关键技术.该系统在实现了普通IPSec VPN系统的安全功能之外,增加了多因子与可信证明相结合的复合认证功能、基于信任的动态访问控制功能.并对其进行了原型实现和性能测试及分析,表明了在将时间代价合理控制的前提下,该系统有效确保了终端的可信接入、通信信道中数据传输的安全可靠以及被接入网络的资源安全及应用服务的可用性和可管控性.     

802.1x协议安全量化分析的数学模型

网络访问控制技术能有效防止不安全终端对网络的威胁。作为一种可信网络连接协议,802.1x本身就具有安全性问题。首先建立基于半马尔可夫过程的随机模型,然后针对认证过程中存在的安全漏洞和威胁进行安全量化分析,最后推算出具体的安全性指标。     

可信网络连接(TNC)架构的应用研究

可信网络连接(TNC)是由60多家可信赖计算机组织TCG的成员共同开发的。TNC是基于完整性和认证性双重概念开发的。TNC架构提供了在不同种网络环境中采集和交换端点完整性数据的通用框架。定义了TNC架构的基本元素。介绍了TNC与现有网络标准和设备的关系,研究如何在现有网络环境下应用TNC架构。     

安全高效的SSL VPN构建方法研究

随着互联网技术和通信需求的迅猛发展,虚拟专用网（VPN）已成为构建专用网的主要方法。与其它虚拟专用网相比,安全套接层虚拟专用网（SSL VPN）由于具有安装简单、能够进行细粒度控制等突出优点,在构建远程访问VPN（Access VPN）时得到了广泛应用。但是,SSL VPN在构建过程中也面临着安全问题和效率问题,这些问题严重制约着SSL VPN的发展。该文在对这些问题进行分析和研究的基础上,提出了全新的SSLVPN安全认证方案和网络加速方案,并推导出配置加速器数目的计算方法。     

CA-IPSec结构的VPN解决方案

随着网络技术的发展,虚拟专用网(VPN)在建立关键业务网络系统中的应用越来越广泛。该文提出了CA-IPSec结构的VPN解决方案,其目标是在不安全的Internet网络上建立一个安全的VPN,保证网络传输安全。此方案将认证中心(CA)的证书管理引入到IPSec中来,弥补了IPSec协议对用于身份认证的公私钥管理没做定义的不足,形成了一套完整实用的VPN解决方案。文章对这种方案的安全性能进行了分析和评估。     

基于QoS的IP VPN的研究

1 引言简单讲,虚拟专用网(Virtual Private Network)是利用公共网络基础设施(如Internet)来仿真专有广域网络,以下简称VPN。它正快速成为新一代网络服务的基础。目前VPN有多种类型,其中最主要的是基于IP的VPN与MPLS-VPN,这两种VPN各有优势。本文所关心的不是如何论证谁更合适,这超出本文的范围。我们所关心的是如何在IP-VPN体系结构上提供服务质量保证。     

基于以太网的工业控制远程访问的研究

NAT是一项专门用于网络互联的技术，可以用来解决工业控制网络的互联及远程访问的问题。探讨了利用NAT技术实现基于以太网的远程访问的实现，并给出了具体的实例。     

利用VPN技术构建企业内部网

虚拟专用网VPN是一个新的网络热门技术,它可以利用公共网络建议企业内部网,从而不仅减轻了企业费用,还保证了数据的安全性,讨论了VPN的来源、定义、协议及安全问题,并举例说明了如何用VPN构建企业内部网。     

B1级网络安全机制与实现

文章介绍了本小组开发的B1网络,通过修改协议栈和上层服务实现的安全机制包括自主访问控制,强制访问控制,安全主机确认,安全标签,客体再用控制,可信服务,用户鉴别和认证,审计,在操作系统级解决了一些目前主要的网络安全问题。     

VPN中IPSec穿越NAT的解决方案

IP安全（IPSec）体系结构与网络地址转换（NAT）都是在因特网上得到广泛应用的技术,然而它们之间的不兼容性却制约着基于IPSec技术的虚拟专用网(VPN)发展。为解决两者之间的不兼容性,IETF提出了用户数据包协议(UDP)封装草案。但该草案对于IPSec通信双方均在NAT之后的情况,则还没提出可行的解决方法。在借鉴UDP封装方案和双向穿越NAT方案的基础上,给出了一种适应不同情形的NAT穿越解决方案,并对方案的可行性进行了详尽的分析。