基于IPSec隧道区分服务的研究与实现

随着Internet及网络经济的快速发展，企业在网络的安全性等方面提出了更高的要求，虚拟专用网(VPN)以其安全性好、成本低等优势赢得了越来越多企业的青睐。IP层安全协议(IPSec)能很好地实现VPN。但是基于IPsec的VPN的网络服务质量不能满足用户的需求。针对此问题,文章提出了用区分服务(DiffServ)来实现IPSec隧道的服务质量保障的方案，这样IPSec隧道就可以根据不同的需求提供不同的网络性能。文章深入研究了区分服务和IPSec隧道技术，通过实验进一步证明了该方案的可行性和优势。     

基于NDIS的IP安全协议的研究与实现

提出了一种基于网络驱动程序接口规范中间层驱动程序的NDIS-IMD IPSec模型，用于解决Windows 2000操作系统自带的IPSec缺乏源代码支持和灵活性有限的问题。NDIS-IMD IPSec由IPSec中间层驱动模块和应用层模块构成，它们之间通过Windows驱动程序模型机制完成信息交互，为Windows2000操作系统用户的端到端通信提供灵活、个性化的IP安全服务。     

大规模网络协议层协同安全管理模型的研究

文中旨在研究大型复杂网络的安全管理特性，从信息保护、入侵检测、响应、恢复(PDRR)的角度抽象出一个理论上可供深入研究的安全管理模型。该模型可使OSI／RM七个协议层之间层层协同、步步防护，共同提高网络安全管理的整体性能；提出信息流闭环访问机制和事务提交回滚机制，其中后者可对入侵攻击实时检测、响应、恢复，使网络免遭攻击破坏。     

OPC XML数据通信安全模型的研究

在深入分析IPSec和MPLS的体系结构、工作原理和它们各自优点的基础上，提出了一种基于IPSec和MPLSVPN的OPC XML数据通信安全模型。利用IPSec实现数据传输的安全性，应用MPLS来保证数据传输的服务质量，从而实现了OPC XML数据在企业内部网（Intranet）和企业外部网（Extranet）上实时、高效、安全传输。     

网络安全模型下身份验证机制的分析研究

在面向报文信息的网络安全模型基础上，IPSec提供了数据源验证服务以弥补IP协议不足，但仍存在通信实体安全性的问题。因此在面向基础设施的网络模型指导下，结合IPSec在网络层实施安全服务的优点，深入分析并提出一种网络层身份验证机制以预防假冒攻击，最后对两种网络安全模型下的身份验证作了分析比较。     

基于层化IPSec的VPN案

提出了一种基于层化IPSec的VPN方案。该方案采用层化IPSec保护机制。对数据报不同部分进行区分。提供不同的安全服务，满足新出现的诸如流量工程、QoS、流量分析等应用和服务；在此基础上通过模块化方式设计的VPN模型，不但有利软件与嵌入式实现，而且还可以大幅度降低构建VPN的成本和周期。     

基于移动代理和动态拓扑的分布式入侵检测

运行中网络的拓扑结构是动态变化的,因此提出了一种针对WAN环境设计的基于移动代理和动态拓扑的分布式入侵检测模型.该模型使用移动代理来实现入侵证据的收集、分析,通信和同步机制,并通过移动代理来跟踪运行中网络拓扑结构的动态变化以及网络入侵检测,并讨论了该模型的更新机制.     

移动自组网基于簇的分布式入侵检测模型

首先结合移动自组织网络的特点和安全现状,分析了入侵检测技术在移动自组网中面临的挑战。接着,提出了改进的基于簇的分布式入侵检测模型,并将该模型与一般的基于簇的入侵检测模型进行对比,然后给出了簇首入侵检测单元的功能模块设计,最后讨论了协作检测的工作机制。     

一种用于提高802. 15. 4网络性能的区分服务模型

IEEE802. 15. 4作为低速率、低功耗的无线传感器网络标准,其媒体接入控制(MAC)协议的竟争接入时段(CAP)对所有数据帧和节点都采用相同的竞争参数,不能为某些需要服务区分的应用提供很好的服务。针对这一问题,提出了一种基于区分服务的改进IEEE802. 15. 4机制以支持高QoS要求。该机制的主要思想是根据服务质量要求(时延及吞吐量)为不同的数据流分配不同的优先级,对不同优先级数据设置不同的数据帧长度和竟争参数来达到区分服务的目的。与此同时提出一种区分服务的不饱和马尔科夫链模型来分析所提出的机制。该模型评佑了采用此简单但有效的区分服务机制后两种优先级数据的信道接入概率、吞吐量、时延及能耗等性能。分析结果表明,此模型对区分服务起到了很好的效果。     

基于服务特征分析与统计的入侵检测技术

提出一种新颖的基于服务特征分析的入侵检测方法.在处理网络审计数据时,首先针对网络服务进行特征分析,将审计数据按照网络应用进行区分,然后使用统计方差模型对应用区分后的审计数据进行检测;另外,在传统的统计方差模型基础上,提出加权的方法调整可信区间,提高检测率.选用KDDCup 1999 Data网络连接数据集进行实验,基于服务特征分析与统计的入侵检测方法在不增加虚警率的情况下,可以得到更高的检测精度.结果说明,该方法是行之有效的.     

DiffServ体系带宽代理消息机制的安全性研究

探讨了使用DiffServ QoS架构的IP网络内资源管理的带宽代理BB(Bandwidth Broker)机制以及BB使用的消息机制的安全性问题，提出了两种可用于实现消息机制安全性的方案，并给出了具体实现方法的建议。     

基于网络编码的无线传感器网络QoS性能分析

针对无线传感器网络中实时网络应用严格的服务质量（QoS）保证要求,本文提出基于网络编码的支持QoS的无线传感器网络模型。该模型将网络编码的特性应用到区分服务(Differented Service,DiffServ)机制中,编码节点将DiffServ分类得到的同类数据流进行编码组合再发送,减少需要转发的数据量,从而提升了网络的性能。利用随机网络演算理论工具分析得到模型的QoS性能,通过数值分析,所提出的模型能够有效提升基于区分服务的无线传感器网络的延时、积压等性能。     

一种区分服务网络的设计与实现

给出了DiffServ网络的一种设计与实现，提出了一种有效的资源管理模型。在该模型中，存在一个带宽代理(Bandwidth Broker)同步多个边界节点的接纳控制，负责区分服务网络之间的SLA(Server Level Agreement)协商，进行路由器配置；边界节点使用RSVP协议为集聚流预留资源；RSVP使用预计算QoS路由寻找路径。整个模型不仅综合了已有资源管理方案的优点，而且保持了区分服务网络的可扩展性。     

DiffServ模型中主动队列管理研究

区分服务模型是现代大规模网络保证IP QoS的主要模型,该模型是当前互联网通讯性能方面研究的热点问题。在改进RIO-C算法的基础上,提出了一种适合于区分服务模型的主动队列管理算法-PFRIO（RIO based on Priority and Fair）。该算法提高了带宽分配的公平性,增强了网络对突发数据流的处理能力,有效改善了区分服务模型的总体性能。     

一种支持DiffServ模型的全分布式调度算法

调度算法设计对于网络路由设备实现区分服务(DiffServ)模型的单跳行为(per hop behavior,简称PHB)至关重要.现有支持DiffServ模型的调度算法普遍基于输出排队(output queued,简称OQ)或是输入排队(input queued,简称IQ)交换结构进行设计,均无法在高速环境下提供高性能的调度.基于联合输入/交叉节点排队(combinedinput-crosspoint-queued,简称CICQ)交换结构提出一种支持DiffServ模型的全分布式调度算法DDSS (distributed DiffServ supporting scheduling),并通过理论分析对其公平性进行了验证.DDSS算法采用基于预约带宽的逐级流量控制机制实现所有预约带宽在快速转发(expedited forwarding,简称EF)业务与确保转发(assured forwarding,简称AF)业务之间的分配,采用优先级调度机制为EF业务提供低延迟服务,算法复杂度为O(log N).仿真结果表明,DDSS算法具有良好的时延性能和公平特性,与现有算法相比,能够更好地支持DiffServ模型.     

Quality-of-service mapping mechanism for packet video indifferentiated services network

This paper presents a futuristic framework for quality-of-service (QoS) mapping between practically categorized packet video and relative differentiated service (DiffServ or DS) network employing unified priority index and adaptive packet forwarding mechanism under a given pricing model (e.g., DiffServ level differentiated price/packet). Video categorization is based on the relative priority index (RPI), which represents the relative preference per each packet in terms of loss and delay. We propose an adaptive packet forwarding mechanism for a DiffServ network to provide persistent service differentiation. Effective QoS mapping is then performed by mapping video packets onto different DiffServ levels based on RPI. To verify the efficiency of proposed strategy, the end-to-end performance is evaluated through an error resilient packet video transmission using ITU-T H.263+ codec over a simulated DiffServ network. Results show that the proposed QoS mapping mechanism can exploit the relative DiffServ advantage and result in the persistent service differentiation among DiffServ levels and the enhanced end-to-end video quality with the same pricing constraint     

区分服务网络中的动态资源管理

为提离区分服务网络资源的管理效率,提出一种动态的资源管理算法,通过测量网络实际流量判断是否接纳资源预留请求,采用带宽代理实现网络数据的接纳控制,并用NS2工具对网络模型进行仿真。仿真实验结果表明,该算法能够使区分服务网络的数据处理能力得到有效提升。     

比例区分服务模型下的绝对时延保证

区分服务是在IP网络中实现QoS(Quality of Service)保证的一种体系结构，它在保持网络可扩展性的同时，为用户业务提供了有差别的服务，而比例区分服务提供了更加精细的区分控制，讨论了当前利用比例区分保证业务QoS一些方法和思想，它们大多致力于单个网络节点资源的合理分配。基于用户更加关心其端到端上的QoS特性，提出在保障关键业务包时延特性的基础上，网络各中间结点协作保证完成用户端到端上的包时延要求，在整个网络上合理分配资源。仿真结果表明，在相同的网络负载下，网络满足用户端到端上的包时延要求的能力大为提高。     

Quantitative adaptive RED in differentiated service networks

This paper derives a quantitative model between RED (Random Early Detection ) maxp and committed traffic rate for token-based marking schemes in DiffServ IP networks.Then, a DiffServ Quantitative RED( DQRED) is presented ,which can adapt its dropping probability to marking probability of the edge router to reflect not only the sharing bandwidth but also the requirement of performance of these services,Hence,DQRED can cooperate with marking schemes to guarantee fairness between different DiffServ AF class services,A new marking probability metering algorithm is also proposed to cooperate with DQRED ,Simulation results verify that DQRED mechanism can not only control congestion of DiffServ network very well,but also satisfy different quality requirements of AF class service.The performance of DQRED is better than that of WRED.     

基于DiffServ模型的调度算法

区分服务(DiffServ)模型中不同队列调度算法对网络性能有不同的影响。该文介绍了DiffServ实现模型,分析比较了目前4种典型队列调度算法的基本原理及性能特点。基于OPNET Modeler构建了采用不同调度算法的DiffServ仿真实现模型,通过对各仿真结果的比较研究,进一步验证了几种算法各自的优劣特性。