基于802.1x协议的用户认证研究

校园网大量用户的接入带来了对接入用户的认证问题.IEEE 802.1x协议是一种基于端口的网络接入控制协议,能够对所接入的设备进行认证和控制.锐捷SAM系统运用基于802.1x协议,采用“入网即认证”的用户管理模式,实行用户访问任何资源（包括校园网资源）之前都需要认证的用户身份认证机制,从而确保满足对信息安全管理的需要,成功地实现了建造安全可靠的校园网的目的.     

校园网中802．1x认证技术的改进

提出一种基于802．1x协议的网络用户认证管理改进方案。利用后台检测服务器监控在线用户的行为,通过简单网络管理协议向接入交换机发送指令,强制违规用户下线,解除异常下线的用户连接。该方案对用户透明,增强了主动管理优势,有效解决了校园网内IP地址盗用和冲突、MAC搭载等接入控制问题。     

基于BRAS设备的校园网多出口升级方案

当校园网引入一条新的出口链路时,用户认证计费方式、用户IP地址、网络拓扑结构往往需要调整,给用户及网管人员带来诸多不便.上海财经大学在原有教科网链路的基础上引进新的联通链路时,没有修改网络拓扑结构,仅仅修改BRAS(宽带远程接入服务器)设备的配置,就实现了新链路的快速部署,完成校园网的多出口升级.升级完成后,用户可以选择接入不同的出口链路,只需要修改用户名和密码就可以实现不同出口链路之间的切换.文给出基于BRAS设备的多出口升级方案、校园网的网络拓扑、用户身份认证方案、BRAS设备上的关键配置以及升级完成后的使用情况.     

基于BRAS的IPoE技术原理与实现研究

介绍了BRAS设备主要提供的大量宽带用户接入以及用户计费、后台管理等功能。为满足各种不同类型的运营商和服务提供商的需要,对BRAS设备的多种接入方式进行了分析。当前BRAS业务支持的动态用户主要有IPo E用户、PPPo E用户、VPDN用户。对IPo E在BRAS网络中的技术应用进行了深入分析和比较。     

IPV6园区网中基于源地址认证安全的应用研究

在IPV6园区网的接入使用中,怎样安全有效的判定接入用户IPV6地址合法、有效、真实是目前一个突出的问题。基于现有的IPV6技术,通过基于接入用户源地址的有效性安全校验（SAVI）技术研究应用,可以获取一种积极有效的提高IPV6园区网准入安全的途径。在未来IPV6园区网的应用中,提供一种有效安全的认证办法,最大限度的增加园区网IPV6技术的应用推广。     

针对校园网ARP攻击的主动防护方案

针对校园网中频繁发作的ARP协议欺骗攻击,提出一种主动防护方案.通过对ARP攻击的原理和方法进行分析,实现与校园网身份认证系统联动实时定位主机攻击、强制对接入用户隔离的主动防护.实践结果表明,该方案通用性强,可有效抵御多数ARP攻击,降低网络管理难度,提高网络运行水平.     

IPv6试验网络的设计与实现

根据高校校园网络的应用和发展需求,充分利用现有的IPv4网络基础条件,设计实现IPV6试验网.IPV6试验网采用隧道和双协议栈技术,将边缘路由器设置为双栈路由器,并通过IPv6-in-IPv4方式手工配置服务器实现隧道.详细阐述了试验网的设计方法和校园网内部及隧道配置过程,实现了试验网对其它高校IPV6网络资源的访问.该试验网的结构简单,尤其是隧道服务器的设计方式,在不改变原来网络结构的基础上就能很容易实现,为在校园网开展更广泛的IPv6网络研究和应用奠定了基础.     

数字化校园中统一身份认证系统研究

给出了一种基于IEEE 802.1X协议和Diameter协议的校园网统一身份认证系统。通过对EAP-PEAP协议进行扩展,并且采用Diameter的消息路由机制,该系统能够支持域间身份认证和统一认证令牌的发放,从而解决了校园网身份认证中用户漫游和单点登录的问题。对于此身份认证系统易遭受的攻击类型作了分析,并提出了相应的解决方案。     

扁平化以太网中的用户管理模式

扁平化以太网是一种以多业务路由器为核心的新型网络模型。为了更好地发挥该模型的优越性,本文提出一种用QinQ的PUPV用户接入方式同基于BRAS的IPoE用户认证方式相结合的以太网用户管理模式,以解决传统以太网面临的用户安全接入、用户管理运维中的困难。本方法已经在实际校园网环境中实现,提高了用户管理水平和运维效率。     

全IP的有线无线一体化接入与认证技术

本文介绍了未来全IP化的网络,提出了基于IPv6协议的有线无线一体化接入和认证系统。这种接入网络可同时为有线用户和无线用户提供IP网络接入服务,能够进行认证和计费,能够支持IP漫游和移动。采用IPv6协议保证了为每个终端分配一个全局IP地址。满足未来基于IP的、端到端的通信需要。并对有线无线一体化接入和以太网接入认证技术进行了分析。     

基于IPV6协议的校园网安全探讨

本文通过介绍IPv6的IPSec安全机制,就IPv6在校园网组建中的安全问题展开探讨.采用相互对比和理论分析两种方式相结合,给出IPV6的两种模式组合应用在校园网中的具体实现方法.     

基于IPV6的校园网建设

通过分析广州大学华软软件学院的校园网现状,结合IPV4和IPV6的特点,选择适合学院的校园网升级改造方案。在针对校园网升级的过程中,同时保证校园网用户的正常上网需求,实现升级过程中,不影响师生日常工作生活的上网要求。IPV6的升级过程包括IPV6地址的划分,核心交换机、汇聚交换机、接入层交换机的配置等。实现学院网络从IPV4到IPV6的平滑无缝过渡。     

基于校园网单点登录系统的设计

分析校园网单点登录和用户统一管理的需求,提出了采用LDAP来保存用户信息,通过整合构建统一的用户中心.同时,利用Kerberos的认证机制,设计一种基于LDAP和Kerberos协议的校园网单点登录系统,大大提高校园网的安全性.     

基于 eduroam 的跨域无线接入解决方案

eduroam (education roaming,教育漫游) 满足了授权用户在成员高校和科研机构之间自由、安全的使用无线网络,提高了网络接入效率。eduroam 在无线网络的接入认证时,应用 IEEE 802.1x 协议,采用 RADIUS 协议进行认证。本文分析了 eduroam 架构和认证过程,在高能所网络环境中部署实践了 eduroam 认证环境,验证了账号认证和签发证书认证的可行性,并提出在认证过程中对 LDAP 明文密码的 NT hash 加密存储方法。分析证明,该方法简化了 eduroam 部署,提高了认证效率和安全性。     

校园无线网络Portal二次身份认证的设计与实现

随着高校校园网规模的扩大及WLAN建设,无线网络已成为校园网的一个重要组成部分。本文根据我校实际需求,结合无线AC控制器与ABMS Bras,简化了用户端操作过程,并对无线网络用户的接入与访问控制采用Web Portal二次身份认证一次通过的体系结构、工作原理和认证实现流程等进行了阐述。     

EAP与Diameter结合的认证机制设计与实现

对用户进行认证是目前广泛使用的一种保障网络安全的有效手段。为了满足无线移动环境下不同用户的认证需求,文章基于Diameter协议和EAP协议设计了一种支持多种认证方法的认证机制,该认证机制具有良好的易扩展性,并且易于对不同认证过程进行管理。通过应用测试,认证性能良好。     

一种车载mesh网络漫游匿名接入认证协议

无线mesh网络的特性使它面临着比传统无线网络更大的安全挑战。其安全解决方案必须兼顾安全性和应用环境等因素。用户节点的接入认证与密钥协商是节点漫游时最基本的安全协议,是安全路由等协议的实现基础。在多跳车载mesh网络用户节点接入认证中,用户身份信息的保护非常重要,然而有关车载mesh网络用户节点漫游时的匿名认证的研究较少,为此,在充分考虑无线mesh网络自身特点的基础上,结合基于Hash和Diffie-Hellman算法,提出一种高效的用户节点匿名接入认证与密钥协商协议。分析发现,该协议不仅可以满足安全性需求,在现实应用中也是可行的。     

论述IPV6发展前景及应用

文章主要探讨了基于IPV6协议的业务与应用的发展状态,IPV6协议支持的业务所具有的优势,以及IPV6在家庭网络、RFID、三重服务、移动、Wi-Max和Wi-Fi上的应用前景。     

基于IPv6的用户认证模型

为解决IP地址资源日趋紧张和以太网的安全网络管理问题，进行了IPv6用户认证模型的研究与设计。该模型无须对现有的网络拓扑结构进行改动，从IPv6主机的无状态自动配置技术出发，利用已有设备所支持的802.1x协议和RADIU协议，使用户在局域网内的任何地方、自动配置冗长的IPv6地址，输入用户认证信息，就可以接入网络，提高了局域网的安全性。     

家乡代理不支持EAP协议时的MIP6认证问题研究

针对Split场景下,家乡代理不支持EAP协议的问题,提出了一种基于diameter-EAP协议的认证方案。认证服务器在对移动节点进行认证时,通过支持EAP协议的接入路由器对移动节点进行身份认证,为移动节点和MIP6服务提供者配置共享密钥,用于服务提供者对移动节点的认证。采用BAN逻辑对协议的安全性进行了形式化证明,并比较分析了该方案的性能,分析结果表明,该协议的密钥性能达到了RFC4004的水平。