独立于二层链路的接入认证

对IETF提出的PANA草案以及EAP标准分析,给出了一种使用独立于二层链路技术的PANA协议承载EAP认证协议来进行接入认证的实现方案,并以PANA承载EAP-TLS认证为例给出了该方案的具体实现过程。     

一种基于Diameter协议的NAS模型

随着日益复杂的路由器和网络接人服务器大量投入使用,使得当前AAA协议在安全性和稳定性上的缺点日益明显.基于Diameter、EAP和PANA协议,设计了-个AAA接人服务器模型.该模型覆盖了Diameter NASREQ应用和EAP应用、PANA协议中PAA和EP的功能,以及EAP协议中认证者的功能.对原型系统进行了系统测试,测试结果表明,原型系统基本实现了Diameter、EAP和PANA协议对网络接入服务器的要求,具有较好的安全性和稳定性.     

一种基于Diameter协议的NAS模型

随着日益复杂的路由器和网络接入服务器大量投入使用,使得当前AAA协议在安全性和稳定性上的缺点日益明显。基于Diameter、EAP和PANA协议,设计了一个础诅接入服务器模型。该模型覆盖了Diameter NASREQ应用和EAP应用、PANA协议中PAA和EP的功能,以及EAP协议中认证者的功能。对原型系统进行了系统测试,测试结果表明,原型系统基本实现了Diameter、EAP和PANA协议对网络接入服务器的要求,具有较好的安全性和稳定性。     

基于PANA的移动互联网匿名认证协议

针对移动互联网络的安全需求,在基于身份公钥系统的基础上,设计一种利用PANA的双向匿名AAA协议,该协议提出移动互联网络通信中基于网络层认证协议PANA的AAA方案,实现了通信双方的相互认证,并使移动互联网络向移动用户提供匿名服务,保护用户身份信息,具有较强的匿名性。试验结果表明,该协议高效可行,满足AAA下移动互联网络PANA协议匿名性的安全需求。     

基于多属性的移动终端安全接入网络认证协议

很多网络安全事件是由恶意用户具有较大访问的权限而引起的。为预防网络恶意行为的发生,首先解决好网络安全接入认证。基于此,提出一个基于多属性的移动终端安全接入网络认证协议。该协议将移动设备属性和用户属性映射为一个网络访问标识符,在移动设备和网络之间建立一个双向认证过程,并支持设备的移动性。另外网络在移动终端的访问过程中采取定期认证检验,避免假冒用户现象发生。仿真实验表明,该协议具有较好的安全性和较短的认证延时。     

新的域间身份认证协议及其形式化验证

Internet上不同的安全域间要实现信息资源的安全访问首先需要认证.目前常用的认证协议是Kerberos协议,但在网络环境下,该协议无法对真实的客户端进行认证.因此,给出了新的域间身份认证协议以及相应的"现时"产生方案,并利用改进的Spi演算对所设计的认证协议进行了分析,证明了该协议的安全性,能够有效地解决网间的信息安全传输.     

一种无线传感器网络用户认证与密钥协商协议

随着无线传感器网络的发展,外部用户可以直接访问传感器内部节点获取信息,因此如何认证外部用户的身份,只允许授权用户获取节点数据,保证传输数据的保密性和完整性,已成为当前无线传感器网络研究的热点问题.本文基于用户口令和智能卡提出一个无线传感器网络用户认证与密钥协商协议,协议中采用哈希和异或运算实现主体的身份认证和密钥协商功能.为了分析协议的安全性,本文扩展了串空间理论,构造了分析无线传感器网络认证与密钥协商协议的形式化方法,证明了协议的安全性.最后,文中分析了协议的执行效率,并与同类协议进行了比较.     

PANA与Diameter协议结合的体系结构

通过分析Diameter协议和PANA在工作模式及协议结构方面的结合性,提出一套将两者结合使用的完整方案,包括两者结合点关键设备的体系结构和基于Open Diameter开源软件包的实现方法。实验结果证明,该方案可以满足网络系统对认证、授权、计费的复杂要求。     

WINDOWS 2000的分布式安全认证

Microsoft Windows 2000为用户帐号管理和企业网络认证提供了出色的安全服务，系统能够方便得识别网络用户，以控制用户对资源的访问。Windows2000安全性基于简单的身份证和授权访问的模型。本篇文章主要探讨Windows 2000使用的分布式安全认证及其核心协议Kerberos第五版的实现机制。     

WINDOWS 2000的分布式安全认证

Ｍｉｃｒｏｓｏｆｔ　Ｗｉｎｄｏｗｓ　２０００为用户账号管理和企业级网络认证提供了出色的安全服务，系统能够方便地识　　别网络用户，以控制用户对资源的访问。ｗｉｎｄｏｗｓ　２０００安全性基于简单的身份认证和授权访问的模型。本篇文　　章主要探讨　Ｗｉｎｄｏｗｓ２０００使用的分布式安全认证及其核心协议　Ｋｅｒｂｅｒｏｓ第五版的实现机制。     

基于802.1x协议的用户认证研究

校园网大量用户的接入带来了对接入用户的认证问题.IEEE 802.1x协议是一种基于端口的网络接入控制协议,能够对所接入的设备进行认证和控制.锐捷SAM系统运用基于802.1x协议,采用“入网即认证”的用户管理模式,实行用户访问任何资源（包括校园网资源）之前都需要认证的用户身份认证机制,从而确保满足对信息安全管理的需要,成功地实现了建造安全可靠的校园网的目的.     

实用的移动网络匿名认证协议

基于票据(Ticket)提出一个实用的移动网络匿名认证协议.协议分为两个阶段:票据产生阶段与漫游认证阶段.协议在票据产生阶段不需要访问服务器参与,且在漫游认证阶段不需要归属服务器参与,因此交互轮数少;协议使用椭圆曲线Diffie-Hellman(ECDH)协议进行密钥协商、使用椭圆曲线公钥加密(ECC)对认证消息进行加密并使用椭圆曲线数字签名算法(ECD-SA)来产生及认证票据,因此具有较高的效率;同时协议利用CK模型进行形式化设计,具有会话密钥安全性(SK-secure).分析表明,该协议能够为移动网络提供用户匿名性的同时,终端计算时间仅是基于群签名的协议的三分之一左右,且满足票据可多次使用,因此适用于大规模的实际应用.     

Diameter在视频监控系统中的应用

随着视频监控系统的广泛应用,日渐复杂的网络环境使得视频监控系统中的认证、授权和计费服务面临了新的挑战.通过对Diameter协议与RADIUS协议的比较,基于Diameter协议设计了电信级视频监控系统中的AAA服务子系统,实现了支持移动终端访问、支持IPv4/IPv6双栈、安全可靠的认证、授权和计费服务,提供了CNGI上的示范应用.     

一种面向网络信息系统的TCP应用架构设计

针对可信计算平台在网络信息系统中的应用需求,提出了一种面向网络信息系统的TCP应用架构TCPAA。将该架构主要分为访问认证子系统和信息交互子系统两部分来进行设计。在访问认证子系统中,为了增强可信计算应用的灵活性,提出一种基于证明代理的可信验证机制PATAM,并对改进的访问认证模式进行了协议设计和流程说明。在信息交互子系统中,设计了内外网之间数据的可信传输流程,并提出了一种改进的金字塔可信评估模型PTAM。最后通过测试实验验证了该架构的良好性能。研究结果表明,该方案对于网络信息系统环境内可信计算平台的应用开发具有良好的通用性。     

基于轻量目录访问协议和SOAP的统一认证框架设计

首先分析现有的统一认证系统的特点并指出其在应用集成上存在的不足,由此提出一个基于轻量目录访问协议和SOAP的统一认证实现框架,利用目录技术实现了对网络用户和网络应用的统一管理,利用SOAP将认证服务封装为一个Web服务,提供对Web Service实现框架的支持,使网络管理更加简单有效.     

面向多网关的无线传感器网络多因素认证协议

无线传感器网络作为物联网的重要组成部分,广泛应用于环境监测、医疗健康、智能家居等领域.身份认证为用户安全地访问传感器节点中的实时数据提供了基本安全保障,是保障无线传感器网络安全的第一道防线;前向安全性属于系统安全的最后一道防线,能够极大程度地降低系统被攻破后的损失,因此一直被学术及工业界视为重要的安全属性.设计面向多网关的可实现前向安全性的无线传感器网络多因素身份认证协议是近年来安全协议领域的研究热点.由于多网关无线传感器网络身份认证协议往往应用于高安全需求场景,一方面需要面临强大的攻击者,另一方面传感器节点的计算和存储资源却十分有限,这给如何设计一个安全的多网关无线传感器网络身份认证协议带来了挑战.近年来,大量的多网关身份认证协议被提出,但大部分都随后被指出存在各种安全问题.2018年,Ali等人提出了一个适用于农业监测的多因素认证协议,该协议通过一个可信的中心(基站)来实现用户与外部的传感器节点的认证;Srinivas等人提出了一个通用的面向多网关的多因素身份认证协议,该协议不需要一个可信的中心,而是通过在网关之间存储共享秘密参数来完成用户与外部传感器节点的认证.这两个协议是多网关无线传感器网络身份认证协议的典型代表,分别代表了两类实现不同网关间认证的方式:1)基于可信基站,2)基于共享秘密参数.分析指出这两个协议对离线字典猜测攻击、内部攻击是脆弱的,且无法实现匿名性和前向安全性.鉴于此,本文提出一个安全增强的可实现前向安全性的面向多网关的无线传感器网络多因素认证协议.该协议采用Srinivas等协议的认证方式,即通过网关之间的共享秘密参数完成用户与外部传感器节点的认证,包含两种典型的认证场景.对新协议进行了BAN逻辑分析及启发式分析,分析结果表明该协议实现了双向认证,且能够安全地协商会话密钥以及抵抗各类已知的攻击.与相关协议的对比结果显示,新协议在提高安全性的同时,保持了较高的效率,适于资源受限的无线传感器网络环境.     

Internet TV中受控组播的设计与实现

在Internet TV中,为解决现有的组播协议不支持用户认证,缺乏对数据访问的控制,在流量扩散安全性,频道切换延时等方面上存在的问题,通过扩展现有的组播协议,提出了完整的网络接入认证流程,加入组播组流程,退出组播组流程,异常／强制退出组播组流程,断网流程,实现了受控组播协议,使得对数据的访问得到控制,整个服务完全受控于服务方,减少了频道切换的响应时间,并通过SR仿真试验,验证了受控组播协议在Internet TV中的可实用性。     

现代网络安全：SIP网络中的DIAMETER鉴定

作为整个现代网络安全的基础，该文提出了验证的概念，它是会话初始化协议（SIP）网络中合并了可扩展认证协议(EAP)验证体系的一种机制。研究表明，SIP验证可以由EAP验证体系进行扩展而现有的AAA基础结构可以为SIP用户再次用于验证。实施验证的过程中使用了DIAMETER基础协议。这个基本协议工具使用低权目录访问协议（LDAP）而且必须使用接口，DIAMETER网络访问服务器请求（NASREQ）应用命令码的一个子集和AVP以在运行中实现扩展验证协议（EAP）传输。     

普适环境中的隐私保护认证协议设计

针对普适环境中的认证和隐私保护问题,运用哈希链和部分盲签名技术,提出一种新的隐私保护认证协议。该协议运用哈希链构造信任书,保证每个信任书只能使用一次,利用部分盲签名在信任书中嵌入用户访问次数,对用户的访问次数进行控制。在实现用户匿名访问和双向认证的同时,解决服务滥用和非授权访问问题。仿真结果表明,与同类协议相比,该协议具有更好的安全特性和较高的执行效率。     

基于802.1X/EAP-PEAP的个性化接入认证机制研究

研究了在人们对网络依赖程度越来越高、网络安全问题不断涌现以及用户多台移动终端需要同时访问网络的情况下建立便捷高效的个性化接入认证机制的问题.基于 IEEE802.1X 标准,使用请求者系统、认证系统和认证服务器系统的三方架构,分析了EAP协议,对EAP-MD5、EAP-TLS、EAP-SIM、EAP-PEAP四类认证方法做了比较,并根据需要选择EAP-PEAP认证方法.然后在了EAP-PEAP标准的基础上设计了详细的认证流程,从系统和用户两个角度实现了个性化的接入认证机制.