SONPMSA系统通信平台关键技术的研究

面向业务的网络性能管理系统是以网络中运行的业务为被管理对象的,而传统网络中间节点的封闭性限制了系统的实现。SONPMSA系统通信平台的设计与实现是通过引入主动代码技术、定义基于应用层实现的主动信包的格式、利用Java的平台无关性解决了主动代码分发机制中关键主动代码的解析和加载两大功能的设计与实现问题。从而解决了面向业务的网络性能管理系统通信平台动态地执行网络业务数据的管理问题。     

主动网络安全原型的设计

提出利用可插入模块方式设计主动网络动态可扩展的安全原型,实现了加密与数字签名、授权、验证和代码撤消等方面的安全.加密与数字签名解决了主动代码的完整性和机密性问题;使用解码绑定方式,实现了可扩展的系统加密方法.系统采用基于证书的验证方式,专门设计证书中心,负责颁发X.509格式的证书,使用目录服务器(LDAP)对证书进行管理.用主动权来描述任何可以表示的授权策略,系统既可以使用默认的某种策略,也可以根据用户需要更换策略.代码撤消部分的设计保证主动代码执行的有效性,同时根据数据库对代码的跟踪记录,进行安全预警.     

基于J-sim的主动结点资源访问控制策略实现

在主动节点资源访问控制上,设计了一种新的主动节点资源访问控制机制.提出利用权能对资源访问控制策略进行描述,动态维护.对用户的管理采用基于角色的方法.在主动信包中封装用户角色信息,主动节点解析出用户角色后,依据它在策略库中匹配相应的描述控制访问权限策略的方法,即权能.通过权能实现对节点资源的访问.并通过仿真试验验证了算法的有效性.     

主动网络加密扩展性的研究

文章介绍主动网络安全的研究，主要是针对利用现有的加密方法来实现在主动网传输数据时对数据的加密过程。它主要实现了加密与数字签名安全。加密与数字签名解决了主动代码的完整性、机密性问题，这里使用解码绑定方式，实现了系统加密方法的可扩展。用户可以通过使用各种不同的加密方法来加强网络的安全性。     

移动Ad Hoc网络分布式多跳认证授权方案

提出一个分布式的具有多跳认证授权支持的移动Ad Hoc网络方案。该方案利用门限密钥分享技术把认证授权功能完全分散化,每个节点持有一个密钥份额,只有达到门限值规定数量的节点联合起来才能提供认证服务,而认证服务将不仅仅局限于本地节点,多跳范围内的节点也可以参与这项工作。此外,本文还采用多播来取代广播以减少杂项开销。本文解决了多跳认证授权所遇到的技术难题,并通过仿真验证了方案的可行性和有效性。     

主动节点代码动态下载机制的设计和实现

主动网络是近几年发展起来的新型Internet技术。对主动网络的起因、概念和实现的方式等方面进行了概述,然后对主动网络中主动节点上实现代码的动态下载机制进行了分析,并提出了用面向对象语言Java的动态下载功能实现代码分发下载的机制。     

一种新的主动节点资源访问控制策略

较传统网络而言,主动网络的复杂性引起了更加严峻的资源安全问题,特别在主动节点方面.文章详细分析了主动节点资源访问的研究现状和存在的问题,设计了主动节点资源访问安全体系,提出了一种新的主动节点资源访问控制机制.并提出利用权能对资源访问控制策略进行描述,动态维护.采用基于角色的访问控制方法实现对用户的管理.     

基于密码累加器的区块链中间件身份认证方案

Hyperledger Fabric是目前被大规模应用的企业级联盟链。在联盟链中只有经过身份授权认证的节点才能接入区块链网络。目前Fabric中采用CA管理用户以及授权工作。针对其复杂的配置，认证流程复杂，存在中心化等隐藏问题，本文提出了一种基于RSA密码累加器的身份认证方案，利用RSA密码累加器实现成员验证效率高的特点，实现Fabric中间件完成身份认证，保证中间件的安全，进一步提高系统安全性。本文通过实验，验证了通过RSA密码累加器对Fabric中间件身份认证的效率，表明通过该方案具有较高的身份验证效率和安全性。     

物联网场景下算力网络终端安全接入研究

物联网算力网络中终端节点泛在分布，大规模泛在异构终端面临多种安全威胁。为解决泛在异构终端的安全接入问题并构建物联网算力网络终端安全保障体系，本文基于IPK轻量级标识公钥体系和零信任动态访问控制，提出了一种物联网算力网络终端安全接入方案，实现终端轻量级标识身份认证，通过最小化业务权限动态访问控制，确保只有通过严格认证和授权的终端接入物联网算力网络，保证终端业务安全访问。该方案满足了物联网算力网络终端的安全可信接入需求，可应对海量终端节点泛在分布和业务场景复杂等挑战。     

基于层次移动IPv6接人认证设计与实现

在移动IPv6和层次移动IPv6中，移动节点通过无线接入点（AP）接入网络并且自动配置地址，缺乏必要的安全认证和地址管理机制。针对这一问题，文章结合IPv6的动态主机配置协议（DHCPv6）和认证，授权，计费（AAA，Authentication,Authorization,Accounting）协议设计出一套安全可靠的接入认证机制，并给出了实验结果。结果表明该接入认证方案能够有效实现对移动节点的合法性进行验证，认证成功的同时也为移动节点（MN）配置了合法IP地址，能够满足实际应用的需要。     

AAA authentication for network mobility

Network mobility (NEMO) is a protocol proposed for the mobility management of a whole network.It offers seamless Internet connectivity to the mobile end users.However,the NEMO protocol has not been wid...     

One-time password-based high performance per-packet authentication for capsule networks

Most traditional security for capsule-type active networks focused on node-level security mechanism that tries to restrict resource consumption of a packet at a node. Network level security mechanism, which restricts resource consumption in the whole network like ttl in ipv4, is also necessary for capsule. We propose high-performance per-packet authentication mechanism for this purpose. The proposed authentication mechanism uses packet-loss-resistant one-time password algorithm to avoid multiple packet exchanges between user terminals and routers. Since the address in a node where a packet’s authentication data is stored can be easily calculated from the information contained in the packet, we can authenticate the packet without searching a database. The overhead in the packet for authentication information is 46 bytes, and a Linuxpc with a 2.8 GHz Intel Pentium 4 processor can authenticate and process a packet in 22 µs, which corresponds to 45,000 authentications per second.     

软件定义网络中基于密码标识的报文转发验证机制

针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。     

Controlling unresponsive connections in an active network architecture

This paper presents the design, implementation and evaluation of Limiting Greedy Connections (LGC), an active mechanism for controlling unresponsive connections and minimizing the degradation in network performance caused by bandwidth‐greedy applications. The primary objectives of the LGC mechanism are to limit the impact of greedy connections on a congested node, to keep a loose upper bound on the packet queue occupancy at the intermediate nodes of the network and to minimize packet loss. The LGC mechanism is evaluated for a variety of network topologies, transmitting sources and node queue parameters, using a Java‐based active network testbed. Copyright © 2003 John Wiley &Sons, Ltd.     

基于 IBE 的移动自组网安全接入机制

文中研究基于IBE的移动自组网安全接入机制,解决移动自组网拓扑动态变化、高时效性、快速切换等条件下的高效认证问题。对比分析各种认证机制的优缺点以及适用的环境,针对移动自组网内部的接入认证、动态组网认证、跨域认证,分别设计相关的认证流程及安全接入实现途径,保证骨干网、接入子网互联互通时的安全可控,为建设移动自组网安全防护体系提供理论依据和技术支撑。     

Split场景下的MIP6认证与授权分离问题研究

针对Split场景下,MIP6认证与授权服务器分离时的授权问题,提出了一种基于diameter协议的方案。授权服务器在授权MIP6服务时,先通过认证服务器对移动节点进行身份认证,然后为移动节点和MIP6服务提供者建立信任关系,完成授权过程。本文还采用BAN逻辑对协议的安全性进行了形式化证明,并比较分析了本协议的性能。分析表明本协议比同类协议更高效。     

Markov Chain Trust Model for Trust-Value Analysis and Key Management in Distributed Multicast MANETs

To increase efficiency in mobile ad hoc networks (MANETs), the multicast MANET is proposed for a sender that sends packets to several receivers through a multicast session. In MANETs, multicast group members frequently change due to node mobility; thus, supporting secure authentication and authorization in a multicast MANET is more critical than that in a wired network with a centralized certificate authentication (CA) server. This paper thus proposes a two-step secure authentication approach for multicast MANETs. First, a Markov chain trust model is proposed to determine the trust value (TV) for each one-hop neighbor. A node's TV is analyzed from its previous trust manner that was performed in this group. The proposed trust model is proven as an ergodic continuous-time Markov chain model. Second, the node with the highest TV in a group will be selected as the CA server. To increase reliability, the node with the second highest TV will be selected as the backup CA server that will take over CA when CA fails. The procedures of the secure authentication for group management are detailed. The security analysis of each procedure is analyzed to guarantee that the proposed approach achieves a secure reliable authentication in multicast MANETs. In addition, several famous attacks have been analyzed and discussed. Numerical results indicate that the analytical TV of each mobile node is very close to that of simulation under various situations. The speed of the convergence of the analytical TV shows that the analyzed result is independent of initial values and trust classes. This is a good feature of analytical models.     

移动互联网安全接入机制研究

文中关注移动互联网网络接入安全性,介绍移动互联网面临的安全威胁,研究移动互联网的网络结构和接口协议,提出跨网系的统一认证与授权管理技术,阐述网络接入安全需求,针对EAPSIM和EAP-AKA两种安全机制,分析网络接入鉴权与密钥协商流程,以及演进分组核心网络各网元设备功能,实现用户和网络之间的认证性、机密性和完整性的安全防护,为移动互联网网络安全体制建设提供理论依据与技术支撑。     

Secure and reliable routing in cognitive radio networks

Due to the mobility of node and different spectrum availability pattern, CR networks are frequently divided into unpredictable partitions. Usually, these partitions are irregularly connected; hence, secure and reliable routing becomes major issue for these types of network. In order to overcome these issues, we propose a secure and reliable routing in CRN based on distributed Boltzmann–Gibbs learning algorithm. This algorithm is implemented for relay node selection phase. In addition, the authentication is done based on secure routing distributed Boltzmann–Gibbs learning algorithm. We consider the metrics such as trust value and total delay for the successful and reliable transmission of the packet. Also, in order to increase the reliability, we implement LDPC code at the time of relay node selection phase. The proposed code helps to cancel any kind of electronic interference and channel noise interference.