基于802.1X和DHCP控制网关的无线网络访问控制

针对当前无线局域网所面临的安全和访问控制问题,文章介绍了在IEEE 802.1x认证的基础上,通过一个可认证的DHCP控制网关(DHCP Access Control Gateway),实现在无线网络下的安全认证和网络访问控制的方案.该方案在实现无线网络认证的同时解决了DHCP环境下的访问控制问题.     

校园网动态IP地址管理的研究

针对动态IP地址配置方式下出现的伪DHCP对园区网用户的影响问题,剖析伪DHCP影响园区网用户的原因,提出通过调整网络结构并利用访问控制列表和PVLAN等技术联合解决问题的方案.     

基于DH加密算法的DHCP协议设计

动态主机配置协议(DHCP协议)很好地解决了网络地址的管理和现有网络地址的紧缺问题。但由于DHCP协议本身缺乏安全控制功能，使得地址分配过程具有安全隐患。该文提出一种基于用户访问控制机制和DH加密算法的DHCP协议改进方案，论述了改进协议在地址请求、密钥协商、地址分配、地址释放4个阶段的具体实施方案，分析了改进协议的安全性能。为安全性要求高的业务应用提供了参考依据。     

集中式无线局域网分离介质访问控制的CCMP设计

针对临时密钥完整性协议(TKIP)潜在的安全缺陷,提出了一种新的可有效提高无线网络安全性的现场可编程门阵列(FPGA)的计数器模式和密码分组链接消息认证模式协议(CCMP)的设计方案。研究了CCMP的机密性原理,分析表明CCMP比TKIP提供了更为安全的保障。在已有的集中式无线局域网(WLAN)分离介质访问控制(MAC)架构下,给出了CCMP模块的实现方法和电路结构。分析比较了现有的4种高级加密标准(AES)实现方案的运行性能,测试结果表明该实现方案能提供更高的加密性能,提高了无线网络的机密性。     

宽带接入系统中认证方式的研究

宽带业务的蓬勃发展,使接入用户的访问控制显得越来越重要,接入认证方式的选择对整个网络的搭建起着重要的作用。主要分析了目前广泛应用的PPPoE认证、DHCP+Web Portal认证以及802.1x认证,并探讨了各种认证方式的优劣和应用情况。     

大型园区网络用户安全管理计费策略

分析了目前园区网络用户认证管理费用的统计策略,提出了一套基于Web+DHCP和NT+DHCP的用户认证、地址分配方案及DHCP集群和分布式用户管理策略。     

Portal下的WLAN无感知认证优化研究

以DHCP结合Portal的认证方案可以实现用户随时接入WLAN，但随着园区网络规模增大，需要漫游用户反复在Portal页面输入用户名和密码进行认证，使用户体验大打折扣。研究了基于终端MAC结合Portal认证方案，设计大二层网络改进了用户在三层网络之间漫游或切换时认证延迟的问题，同时对攻击者篡改IP和MAC等安全问题结合DHCP-snooping技术进行了改进，也针对广播风暴、用户隔离和AP二层漫游必须通讯等问题进行解决，实践表明，此方法在有效提升用户无感知认证体验的同时，能提高网络安全性，有一定的推广价值。     

一种简单跨域单点登录系统的实现

分布式体系架构下多站点协作网络的应用需要统一身份认证和资源访问控制机制，单点登录系统是完成这项功能的必备模块。采用一种应用于Web环境下轻量级的单点登录解决方案，它是一种基于HTTP重定向和票据，并以跨域Cookie的共享为核心的集中式认证系统。本方案在分布式数据资源共享网络建设中实现了多个站点的跨域全局登录、用户认证和用户授权等功能。通过建立规范的登录控制模块，简单地修改配置文件，就可方便地将分散网络节点加入认证体系，完成网络节点单点登录和资源访问控制问题。     

校园网以太宽带接入方案研究

本文提出了校园网以太宽带接入的一种解决方案。文中详细分析了采用IEEE 802.1x标准实现基于端口访问控制的原理和方法，采用Radius协议实现基于用户/帐号身份认证，流量/时长计费功能的具体步骤，有效解决了校园网多用户接入时认证计费的瓶颈问题和用户信息传递安全性问题，同时给出了方案的具体架构和方案优点。     

校园无线网络Portal二次身份认证的设计与实现

随着高校校园网规模的扩大及WLAN建设,无线网络已成为校园网的一个重要组成部分。本文根据我校实际需求,结合无线AC控制器与ABMS Bras,简化了用户端操作过程,并对无线网络用户的接入与访问控制采用Web Portal二次身份认证一次通过的体系结构、工作原理和认证实现流程等进行了阐述。     

DHCP协议优化方案研究

在深入研究动态主机配置协议基础上,针对协议中DHCP服务器无法获得非DHCP客户机IP地址,而造成DHCP客户机二次或多次启动协议过程和非DHCP客户机地址不能高效回收分配的缺陷,提出了改进的DHCP服务器端地址分配方案和改进的非DHCP客户机地址重用机制。利用DHCP服务器对预分配的地址进行预先冲突检测,解决了多次无效DHCP协议过程的问题;利用优先分配退出网络内非DHCP客户机的地址,提高了网络内IP地址利用效率;并在Linux平台下实现和测试了协议优化方案。     

一种分布式系统的用户认证授权机制及其应用

针对用户认证和授权问题提出了一种对用户集中认证、分散授权的解决方案。通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。     

基于PMI访问控制系统的设计

为了解决网络应用系统的安全问题，需要对应用系统进行一定的改造，文章所出的访问控制方案是基于PKI和PMI的技术体系使用公钥证书实现对用户的身份认证，使用属性证书实现对用户的授权访问，可以方便灵活地实现网络资源的安全访问访问控制．     

企业级PMI系统的设计与实现

提出了一种采用基于角色访问控制(RBAC)的企业级PMI实现方案。使用公钥证书实现对用户的身份认证，使用属性证书实现对用户的授权访问，使用策略证书定制企业的安全策略，可以方便灵活地实现企业网络资源的安全访问控制。     

真实源地址框架下的特定源组播接收者认证*

为了解决特定源组播接收者认证问题,在研究真实IPv6源地址验证体系结构的基础上,提出了一种该体系结构下的特定源组播接收者认证方案。该方案在与主机直连的路由器上加载了认证功能,能够对组播接收者的组播认证码进行认证,以此实现组播接收者的合法性验证,防止网络中组播服务盗用;设计了一种存储于三层交换机的组播端口列表,解决了同一局域网内组播接收者访问控制问题。通过仿真实验证明,该方案能够实现对组播接收者的认证功能,而且对组播效率影响不大。     

基于等级的电子政务云跨域访问控制技术

针对电子政务云跨域访问中用户资源共享访问控制细粒度不足的安全问题,提出一种基于用户等级的跨域访问控制方案。该方案采用了云计算典型访问控制机制——身份和访问控制管理(IAM),实现了基于用户等级的断言属性认证,消除了用户在资源共享中由于异构环境带来的阻碍,提供一种细粒度的跨域访问控制机制。基于Shibboleth和OpenStack的keystone安全组件,搭建了云计算跨域访问系统,通过测试对比用户的域外和域内token,证明了方案的可行性。     

论DHCP网络协议的安全性问题与解决

DHCP技术可以有效地解决目前IP地址资源不足和无线网络用户的移动性,并极大地减轻大型网络管理员的工作量,有利于快速地搭建一个大型网络或修改其网络配置。但由于DHCP协议在设计时未考虑安全的因素,在使用DHCP服务器为主机配置网络地址和参数的网络中面临着很多DHCP威胁,所以对DHCP安全性的研究具有重大意义。该文笔者即围绕DHCP网络协议的安全性问题展开集中讨论研究,包括归纳DHCP网络安全的主要威胁、提出了消除威胁的策略建议、用对比的方式挖掘减少威胁的方法以及安全实现。     

基于IBE的无线网络身份认证模型研究

传统的基于PKI无线网络身份认证方案效率较低、适用性较差。基于IBE的身份认证方案无需通过颁发数字证书来绑定用户身份和公钥,可以提高认证效率。针对IBE的这个特点,就IBE在无线网络身份认证中的应用问题开展研究,在此基础上设计了基于IBE的无线网络认证模型和相关协议,并分析协议的效率和安全性。     

无线宽带路由器尽在掌握——Gigabyte GN-B48G

无线网络的安全性是一个永远不会过时的话题．尤其对于企业用户来说，除了无线信号的加密外，网络用户的认证，权限管理也是非常重要的。WEP、WPA无线加密技术使得外来用户无法轻易连接进你的无线网络．而用户认证、访问控制等技术则是合理规划网络资源所必备的功能。     

IPsec中密钥交换协议认证过程的研究及协议的改进

文章深入地分析了IKE协议在IPsec中的作用、交换机制、认证过程及其应用的局限性,结合移动用户及DHCP用户的特点和需求,对使用预共享密钥认证的主模式IKE协议作了进一步的改进,从而给出了一个将预共享密钥认证方式应用于移动用户及DHCP用户的可行方案。