利用路由器构建校园网防火墙体系

以华为路由器为例,结合实际网络结构,介绍了路由器访问控制列表的概念、功能及语法,常见的网络攻击方法,论述了利用访问控制列表构建校园网防火墙体系.     

一种新的不安全信道上的匿名认证方案

基于双线性对构造了一种基于身份的签名算法,利用双线性对的双线性和非退化性,使得算法中签名矢量的验证结果相对于用户身份为一个常量．然后基于该算法提出一种新的匿名认证方案,解决了在不安全信道上进行用户匿名认证的问题．在匿名认证方案中,用户生成临时身份,服务器利用该临时身份计算用户帐户索引,获得用户真实身份并认证用户．新方案实现了用户匿名性及自主口令更新,且服务器无需维护用户通行字或临时身份列表,解决了现有方案无法同时保证不安全信道上的认证安全性和用户匿名性的问题．     

华为3com路由器访问控制列表详解

华为3com路由器可以通过标准和扩展访问控制列表来控制数据包的传送,从而控制通信双方是否能够通讯,因此这里将具体介绍两种控制列表的规则以及它们的具体应用.     

基于802.1x的无线安全网关用户访问控制的探讨

本文以无线安全网关为基础,分析了当前无线局域网所面临的用户访问控制问题.根据网络端口访问控制标准IEEE802.1x的用户认证协议,提出了无线用户访问控制方案.该方案采用双向认证协议EAP-TLS,设计了用户与网络之间的双向认证.最后,本文分析了在有效结合RADIUS认证服务器时,无线安全网关上的用户访问的端口控制.     

网络管理系统中身份认证方案的研究

研究分析了Radius的实现原理及应用,将CHAP认证机制和MD5加密算法与Radius协议相结合设计了网管系统中的用户身份认证方案,完成了将安全管理集成到传统的网管系统中关键性的一步,并对方案的安全性进行了分析,通过对实现方案进行结果测试证明方案是安全、可靠的,且实现简单,具有很强的实用价值．     

基于LDAP和Radius的统一资源访问控制的实现

在一个大型的网络信息应用系统中，存在着各种各样的资源和应用．不同的用户对于不同的资源，访问权限是不一样的，目前，对于这个问题的解决，主要是通过不同的访问控制机制来实现的，从而导致了管理、应用复杂，且成本高．针对这一问题，提出了基于LDAP和Radius的统一资源访问控制机制，可以对不同的资源、不同的应用及使用者进行统一的管理．同时作者结合实际开发，提出了一个基于开放源代码系统的、可行的、稳定的认证平台及其所涉及的相关技术及方案，具有很强的实践性．     

基于组播访问管理协议的安全组播访问控制方案设计

提出了一个基于Internet组管理协议的安全组播接入控制方案。边缘路由器拦截用户申请加入互联网组管理协议组播组的请求数据包,将组播传送到管理中心;组播管理中心处理该请求并返回相关信息;边缘路由器的组播管理中心根据决策信息处理的相应要求,决定是否允许用户加入组播组,以实现多播的访问控制。该方案克服了传统的多播路由器不具有的访问控制功能的缺点,该组播管理中心可以减少对路由器的负担,减少计算开销,存储开销和通信成本,提高性能和安全性。     

远程在线实验平台的安全性分析与改进

为了促进远程教育的发展,推动远程在线实验平台的建设,分析了现有远程在线实验平台的安全性问题,将一次性登录密码策略和动态访问控制策略与认证、授权、记帐安全框架相结合,提出了一种远程在线实验平台的改进方案．改进后的方案有效地解决了Telnet协议引起的通信中用户密码被监听和攻击者占用全部 VTY端口导致合法用户无法连接访问控制服务器的问题,从而提高了远程在线实验平台的安全性．     

身份与位置分离网络中的可证明三元认证接入协议

针对身份与位置分离网络中接入协议的安全问题,提出一种可证明的三元认证接入协议,实现了所有通信实体(终端、接入交换路由器和认证服务器)的双向认证,有效地防止了未授权终端的接入,防止了伪造的认证服务器和非法的接入交换路由器.通过对Ballare-Rogaway模型的扩展和性能分析可知,该协议基于BR扩展模型是可证明安全的.     

基于路由器的校园网双出口的实现方法

近年来,随着Internet的普及、应用范围的拓宽,网络已成为人们日常学习、生活不可缺少的一部分.网络技术也有了飞速的发展,路由器作为网络互联的重要设备,其性能有了显著的提高,原来由软件来实现的技术如NAT(网络地址转换),现在可用硬件来实现,其工作效率大大提高.本文对使用路由器实现校园网双出口的方法进行了研究,提出了具体的实现方案.该方案涉及了NAT、策略路由、访问控制列表等与路由器有关的网络技术,解决了目前许多高校校园网因采用双出口方式带来的一系列问题诸如:公网、IP地址短缺、校内服务器采用NAT技术后无法被外部访问、CERNET定义的国际流量使用费无法控制等,并已在高校进行了实际应用.     

在企业基础信息平台中实现基于角色的访问控制

介绍了个人权限、角色权限和临时权限的构成特点,提出了三种不同权限的访问控制方法,并采用server-pull系统架构,针对角色权限对LDAP模式进行扩展,实现了基于RBAC模型在企业基础信息平台中的访问控制应用.系统以LDAP目录服务器当作角色服务器,使用户在某种安全模式下(如在SSL上)得到需要的角色信息,从而实施相关的RBAC策略以达到访问控制目的,具有简单灵活的特点.     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

cdma2000分组数据网的AAA机制研究

cdma2000分组数据网提供简单IP和移动IP两种接入方式，引入AAA(认证、授权、计费)机制实现对移动用户的接入控制，目前规范采用Radius协议实现AAA。研究两种接入方式下的AAA实现机制，借鉴移动IP的AAA信任模型分析分组网中各实体之间的信任关系，分析cdma2000的移动IP和传统移动IP的区别，指出移动环境下实施AAA的优缺点。     

基于令牌的单点登录协议及其形式化分析

提出一种新的适用于分布式网络的单点登录协议，利用令牌将身份认证和服务授权结合起来由一个验证服务器实现，授权校验的同时进行密钥分配，实现了用户和应用服务器的双向认证，令牌使用户只需在登录网络时进行一次身份认证即可接入各应用服务器。从而提高了网络认证效率，同时使验证服务器不需要保存用户的状态，有效提高验证服务器的性能，采用BAN逻辑对该协议进行形式化分析表明，协议达到了认证和密钥分配的目标，具有较强的安全性。     

云计算环境下支持高效撤销的新型属性基加密方案

为了解决开放云计算环境下用户属性变化导致的用户权限撤销及变更问题,提出一种基于代理重加密和密钥分割技术的属性基代理重加密方案,该方案支持用户权限的即时撤销,当发生用户撤销时,只需要更新云存储服务器中的密文组件以及代理服务器中未撤销用户的属性无关私钥组件.当发生用户属性撤销时,只需更新用户属性撤销列表,解密时根据用户属性撤销列表控制撤销属性用户的访问,可减少密文更新和用户私钥更新的计算量,提高系统撤销用户权限的执行效率,保护用户属性的隐私信息.     

关于应用系统安全的研究

为中国证券监督管理委员会建立一个安全可靠的基于Internet/Intranet的应用系统框架;采用多方面的、多层次的、多种技术结合的安全机制,包括身份认证、数据加密、数字签名、Domino和WWW服务器、存取控制表、目录服务、认证服务器、IC卡等技术;构造的基于CA服务器的认证系统是一个高效、便利且可靠性高的系统,采用的加密技术和安全机制也被实践证明是值得信赖的.基于CA服务器的认证系统安全性高、保密性好,值得在对系统安全有特殊要求的地方推广.多层技术可增强数据库的安全性,双钥密码体制是一种有效的数据加密方法.     

定价机制下认知无线电网络频谱接入算法

为了研究认知无线电网络中认知用户频谱接入的决策问题,将认知用户的频谱接入过程视为非合作博弈过程,并考虑到授权用户享有频谱的优先使用权,基于带有服务台故障的M/G/1排队理论建立了系统模型,分析了认知用户个体最优接入策略和社会最优接入策略,并在此基础上提出定价机制使认知用户追求个体利益最大化的目标与社会目标一致,实现社会福利最大化.实验结果表明,基于定价机制的频谱接入策略可以使频谱资源得到相对的优化配置,满足社会整体利益需求.     

高效的基于口令的三方密钥交换协议

基于口令的三方密钥交换协议,通过一个保存了客户的口令或是关于口令的验证值的可信第三方服务器,实现了两个需要相互通信的客户的身份认证和密钥协商。但由于口令的低熵性,使得现有的很多基于口令的三方密钥交换协议容易遭受字典攻击。在现有协议的基础上,利用对称加密算法和Diffie-Hellman两方密钥交换方法,提出了一个高效的基于口令的三方密钥交换协议。该协议能抵御各种现有的攻击,并提供完美的前向安全性。     

基于Packet Tracer的OSPF特殊区域网络设计研究

OSPF路由协议根据LSA类型划分为四种特殊区域:Stub Area、Totally Stubby Area、NSSA和Totally NSSA。通过Packet Tracer进行OSPF特殊区域网络设计,用多台路由器组建Stub Area、Totally Stubby Area、NSSA和Totally NSSA,对路由器进行OSPF协议配置。分析实验结果,不同区域的边界路由器实现了对各类型LSA的控制,达到控制路由、减轻网络负载目的。