基于可信网络连接的局域网数据保密系统设计与实现

基于可信网络连接TNC（Trusted Network Connection）规范,设计并实现了一个局域网数据保密系统。根据TNC的可信平台机制对网络访问的终端实体进行接入控制,采用内核级的文件过滤驱动技术对敏感信息进行监控和保护,防止敏感信息的无意泄漏和恶意窃取,达到文件受控于可信网络环境的要求。     

基于可信证书的可信网络接入模型及实现

通过在可信网络连接TNC场景中设立第三方可信证书中心的方式,对不满足TNC体系结构的终端提出了一种新的访问模型,详细地说明了该模型的工作流程和通讯机制,并用仿真实验证明了该模型在解决该类终端接入可信网络连接的可行性。     

TNC中完整性度量的研究与实现

TNC是TCG提出的可信网络连接规范,它提供了终端网络接入控制、身份鉴别和完整性度量的通用框架.针对网络接入控制的实现,对TNC的组成和工作原理进行了详细的分析.按照TNC架构设计了网络准入控制系统,基于802.1X标准和RADIUS协议设计了网络接入层;并在完整性度量层对客户端和服务器端之间的消息传输进行了详细分析和相应的功能模块设计;最后,基于TNC@FHH实现了TNC构架中完整性度量层的功能.     

基于终端资源的内网监控系统研究与实现

为了规范内部网络用户的操作行为,防止恶意使用内部网络资源破坏内部网络通信秩序、窃取内部网络敏感信息,分析了内部网络信息系统中主体的违规操作,以内部网络中终端资源为监控对象,设计并实现了内部网络监控系统。对该监控系统在实际网络环境中的应用、监控系统的模块结构进行了说明,特别对该监控系统中使用的部分关键技术进行了分析。通过实际应用,该监控系统能有效监控终端资源的使用,控制主体的操作,但同时也面临一些不足。     

基于信任行为感知的WSN主动识别安全算法

在无线传感器网络中，为了解决恶意节点通过伪装窃取数据，造成WSN中敏感信息丢失问题，提出了一种基于可信连接架构的安全访问模型。通过引入调节因子和挥发因子可以自适应调整节点历史信任值对综合信任度的影响，阻止恶意节点通过群体欺诈获取信任值，同时设置节点最低信任阈值，以防止节点受到虚假转发数据、拒绝转发数据的影响。利用主动识别策略识别网络中可能存在的信任攻击，进一步提高模型的安全性。结果表明：该方法可以对网络中的信任攻击行为进行有效地识别，从而提升了对恶意结果的检测率和恶意节点的识别速度；能有效降低节点时延，减少网络丢包，延长生命周期。     

基于IEEE802.11b网卡的WPA与WAPI集成接入方法

为了提高终端对无线局域网（WLAN）网络的适应能力,一针对WLAN中安全接入机制的多样性．提出了基于IEEE802．11b网卡的Wi-Fi保护接入（WPA）和无线局域网鉴别与保密基础结构（WAPI）集成解决方法,该方法能够将WPA和WAPI协议集成到802．1lb网卡上,根据网络特征信息选择正确的协议,使终端能够自适应地接入网络。     

一种基于可信网络连接的网格安全方案

在网格计算中,如何认证远端实体的完整性状态,对于网格安全具有十分重要意义。现在的网格安全框架无法解决这个安全问题。利有可信网络连接(TNC,Trusted Network Connec-tion)的思想,可以测量并认证远端实体的完整性状态。在文章中,我们提出并分析基于可信网络连接的网格安全方案TGC(Trusted Grid Connect,可信网格连接)。TGC可增强网格系统的安全性和可靠性。     

基于内网服务器的网络安全及应用

内网服务器非法内网监管系统可以动态监控终端计算机通过各种网络方式进行非法外联,生成并发送报警信息,同时阻断与本系统外的非法数据交换．以终端安装软件的计算机为可信计算机,可信计算机间可以相互通信,阻断非可信计算机接入．     

利用代理服务器实现对内网服务器的安全访问

在局域网中 ,代理服务器多用作内网的用户访问外网的管道 ,它可以提供企业级的文件缓存、复制和地址过滤等服务。通过设置代理服务器 ,使其起到firewall的作用 ,并且通过多穴主机的方式隔离内、外网 ,提供监控网络和记录传输信息的功能     

一种高效的3G-WLAN互联网络认证协议

提出了基于无线局域网和3G互联网络的接入认证协议．该协议对无线局域网访问网络的身份进行验证,抵御了恶意访问点的重定向攻击行为,采用对3G移动用户的局部化认证机制和基于快速签名的离线计费方法,有效地提高了重认证过程的效率．仿真结果表明,该协议的平均消息传输延时相对于扩展认证密钥协商协议缩短了大约45％,利用该协议3G移动用户可以在无线局域网网络中平滑地漫游和切换．     

可信网络匿名连接方案

在开放式网络连接环境中,可信网络终端在进行身份证明时不希望暴露自己的身份,本文提出了一种基于环签名的可信网络连接客户端匿名认证方案,引入环管理员机制以保证环成员都是合法的可信网络连接客户端,本方案的安全性基于CDH假设和强单向函数,且参数较短,易于实现.     

集对分析的可信网络安全态势评估与预测

为了解决可信网络中网络管理和安全监控审计的问题,通过对可信网络连接框架(TNC)和网络态势感知体系(CSA)的研究,针对可信网络安全中多数据源确定性与不确定性的特点,提出了基于集对分析的网络安全态势评估与预测方法 SPSAF.SPSAF首先采用基于特征库的方法审计网络连接信息、系统管理信息、系统监控信息和应用服务信息,然后综合改进的熵权法和层次分析法提取安全态势指标权重,再利用集对分析方法对安全态势指标进行评估得到网络安全态势值,进而绘制网络安全态势图,最后采用Box-Jenkin模型基于安全态势值预测网络安全趋势.仿真实验结果表明SPSAF能够准确有效地反映当前及未来的网络安全态势,有助于管理员有效地制定网络安全策略,并能及时发现风险,迅速准确地调整策略和实施应对措施,提供更全面可靠的网络安全保障.     

基于文件过滤驱动的网页防篡改方法研究

为了避免Web页面被篡改,提出了一种文件过滤驱动的分布式网页防篡改系统.系统包括Web文件监控、内容发布、Web代理、备份恢复、监控中心5个子系统,并采用Windows文件过滤驱动实现Web文件监控,基于代理实现Web入侵检测,具备灾难备份恢复功能,可以有效地防止网站内容被篡改,适用于各种编程语言和Web服务器.实验对Web文件监控做了功能性验证.     

Windows 操作系统文件安全共享的研究与实现

在详细分析Windows操作系统文件共享机制的基础上,对用户文件共享行为进行处理,防止用户通过文件共享方式造成信息的泄露。在功能实现过程中分别对内联Hook技术、NDIS-Hook技术和内核驱动技术进行了深入分析和研究,综合利用以上几种技术实现对文件共享的监控,达到敏感信息在内网内的安全流通,实现文件的安全共享。     

针对文件过滤型防御系统的隐藏及检测方法研究

目前的主流防御系统均通过在文件访问系统中建立文件过滤驱动来实现。为了在系统的监控下实现文件隐藏及其检测,对文件过滤型防御系统和驱动数据堆栈单元结构进行了分析,通过修改驱动堆栈单元实现了文件隐藏。针对这种隐藏方法,给出了一种直接访问磁盘检测隐藏文件的方法,经调试均获得了较好的效果。     

计算机与网络

“黑客克星”监测系统研制成功国防科技大学计算机学院最近研制成功的“基于代理的网络入侵监测系统”，不仅能够抵御外来“黑客”对网络的侵袭，而且可以防止内部人员窃取本单位局域网上的重要信息尤其是对外保密的信息，还具有防止误操作、自动防止信息丢失等功能。该系统的工作原理是：如果把一个网络系统比作一栋大楼，网上各种信息就像楼内房间里的东西。“黑客克星”就是把守各个楼层的“门卫”，一旦发现外部或内部有人想损害或非法取走“房间”内的东西（即信息），就会自动报警并保护网络及网上信息不受侵害。该监测系统具有中国自…     

身份与位置分离网络中的可证明三元认证接入协议

针对身份与位置分离网络中接入协议的安全问题,提出一种可证明的三元认证接入协议,实现了所有通信实体(终端、接入交换路由器和认证服务器)的双向认证,有效地防止了未授权终端的接入,防止了伪造的认证服务器和非法的接入交换路由器.通过对Ballare-Rogaway模型的扩展和性能分析可知,该协议基于BR扩展模型是可证明安全的.     

基于硬件架构和虚拟化扩展机制的虚拟机自省机制研究

针对现有虚拟机自省技术利用不可信被监控操作系统的内核数据结构在内存中的期望布局及内核函数构建被监控系统语义、无法抵抗直接内核数据结构操纵攻击的问题,对虚拟机自省机制的能力进行全面分析,并对利用虚拟机自省机制可应对的恶意攻击进行分类,提出更具健壮性的基于硬件体系架构和虚拟化扩展机制的虚拟机自省技术,通过硬件体系结构提供的虚拟机自省特性被动地观察与收集被监控系统信息,并利用虚拟硬件扩展机制主动地截获客户虚拟机内部的事件和指令,达到主动监控的目的.描述了基于硬件的虚拟机自省机制在系统调用序列收集与监控上的应用,并进行了效率测试分析.     

LINUX系统下在网络机顶盒上PPPoE设计和实现

网络机顶盒是IPTV业务中重要的用户接入终端,用户接入认证是其必要的业务之一。在LINUX系统下,根据PPPoE原理,重点论述了LINUX数据链路访问、PPP驱动原理,详细设计了PPPoE流程及实现、发现阶段,在网络机顶盒上实现了PPPoE功能,具有一定的实用价值。     

一种高效的网络终端安全管理系统平台

桌面终端安全是网络与信息安全的重要组成部分,是网络与信息安全管理的主要内容.然而,终端安全是很容易被忽视的网络边界安全问题,也是所有终端计算机使用者的行为安全问题.目前,局域网桌面终端安全主要反映在运行安全与信息安全两方面.运行安全主要以准入控制和桌面管理功能为主.信息安全主要包括边界安全、局域网信息防扩散和终端自身安全三个方面.本课题组提出的高效网络终端安全管理系统平台是基于Web的网络终端管理,将网络终端管理与基于Web的网络管理技术结合起来,对分散的网络终端资源进行集中式管理,为用户提供更加便捷的操作.