主机标识协议(HIP)研究综述

TCP/IP协议一开始就没有考虑主机的移动和多宿主问题,也没有提供对主机的安全性和认证机制.主机标识协议(HIP)成为同时解决主机移动、多宿主及安全问题的有效方案.文本介绍了主机标识协议(HIP)的体系结构及基本交换,详细阐述了HIP对主机移动、多宿主和安全的解决方案以及对现有系统和应用程序的迁移,文中也分析了HIP存在的问题.     

一种基于HIP的移动性管理机制

主机标识协议（Host Identity Protocol,HIP）是一种综合解决主机移动、多宿主及安全问题的有效方案,为了解决现有HIP机制在处理主机移动时存在切换延迟大、丢包率高等问题,提出了一种高效的基于HIP的移动性管理机制。该机制在基于HIP的层次化设计模型基础上,采用FMIPv6中的快速切换思想,引入了链路层触发机制、预先绑定更新机制和分组缓存转发机制。有效解决了移动主机在不同区域范围内的切换问题,降低了切换延迟和丢包率,改善了移动主机的切换性能,实现了透明、平滑、快速的网络切换。     

一种基于HIP的移动性管理机制

主机标识协议（Host Identity Protocol,HIP）是一种综合解决主机移动、多宿主及安全问题的有效方案,为了解决现有HIP机制在处理主机移动时存在切换延迟大、丢包率高等问题,提出了一种高效的基于HIP的移动性管理机制。该机制在基于HIP的层次化设计模型基础上,采用FMIPv6中的快速切换思想,引入了链路层触发机制、预先绑定更新机制和分组缓存转发机制。有效解决了移动主机在不同区域范围内的切换问题,降低了切换延迟和丢包率,改善了移动主机的切换性能,实现了透明、平滑、快速的网络切换。     

基于HIP的网络防火墙系统设计与实现

在Internet所使用的TCP/IP协议中,网络层IP地址同时代表了主机标识符和定位符,使得IP地址无法支持主机移动性与多宿主性,更加无法保障用户之间的可信任性。为了解决这一系列问题,文章深入研究了主机标识协议（HIP）的体系结构。该体系通过主机标志层来标志连接终端,加强了安全性和可移动性,满足了人们对保密通信和移动通信上的要求。文章基于ARM嵌入式系统,提出以透明网桥为载体架设防火墙过滤HIP包,达到对一个网段进行网络安全防范的目的。     

应用安全网关打造集成防线

网络安全中应用最广泛的产品首推部署在网络边界上的安全网关,安全网关通常包括防火墙、VPN、网关、NIDS和安全路由器等模块。一些基于高层网络协议的交换机和内容过滤设备也在一定程度上扮演着安全网关的角色。随着应用数据流量的增长以及针对应用层攻击的日益增多,越来越多的用户需要在网络中部署专用安全设备。这些设备包括保护HTTP和HTTPS数据流的应用防火墙,执行加解密功能的安全套接层加速器,翻译敏感内部URL地址并隐藏平台信息的代理服务器以及管理TCP连接的I/O加速器。由于Web服务容易受到与HTML应用相同的攻击,IT部门…     

Web服务攻击技术研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,使越来越多的企业使用Web服务。Web服务技术在得到快速发展和应用的同时,它的安全问题越来越重要,成为黑客或者攻击者选择的目标,Web服务提供者对于保证Web服务安全要面临着严峻的考验。文中分析了Web服务攻击技术的特点、原理,讨论了用于攻击基于XML的Web服务的各种技术和目前比较流行的防御措施。进一步讨论了Web服务攻击将来的研究方向以及面临的挑战。     

基于Windows Server 2003的安全评估系统研究

在信息技术高速发展的今天,主机安全逐渐成为一个潜在的巨大问题。为有效地保护主机系统安全,避免遭受攻击,因而出现了针对保障主机系统安全的安全评估系统,其目的是在主机遭受恶意攻击之前,对主机的安全状况进行评估,让使用者了解主机的安全状况,以便采取相应的防范措施和设置相应的安全策略。主机安全评估系统是一个安全评估平台,其通过调用各个模块,完成对系统的整体评估。本文首先从系统需求分析着手,其次利用面向对象的设计方法完成模块的设计和实现过程。     

上海广电应确信SVA Networks通用网络安全解决方案

SC8000是业内唯一可以与CISCO路由器、CHECK POINT防火墙和ISS安全模块等多厂家设备集成的单一网络安全解决方案。出于投资的考虑,整个工程将分两期完成。 一期工程,在中心架设一台防火墙,并安装入侵侦测软件,对所有外来的访问中心网络和主机的数据进行过滤和扫描。在本方案中选用了广电应确信公司的SecureCom8500一体化网络安全平台,选配了一个SUN360U模块(FireWall),一个Intel 600I模块(IDS),一个12口交换机模块和5端口背板连接模块以及冗余电源模     

基于Mainframe的银行Web系统多层安全管理机制的研究

随着SOA及Web Service的普及和应用,基于Mainframe（主机）的银行传统交易已逐步被Web Service取代,由于主机及其交易服务器CICS具有独立于开放平台的安全访问控制机制,Web Service的引入势必带来新的安全隐患。本文基于主机平台的特点并结合SSL,WS-Security,身份断言提出了一个基于主机平台的Web系统多层安全管理机制,并针对具体的银行业务设计实现了一个高性能的多层安全管理模型,为银行传统交易向基于SOA架构的Web服务的迁移中存在的安全问题提出了一个很好的解决方案。     

恶意主机对移动代理的攻击分类及其安全措施

移动代理凭借其移动性和自治性的优点在网络计算中得到了广泛的应用。然而,由于网络的开放性和不可信任性,移动代理面临着严重的攻击威胁,一般可分为两类：一是其它恶意代理对移动代理的攻击：二是恶意的执行主机对代理的攻击。后者的攻击问题更为突显也更难解决。主要表现在：移动代理与执行主机之间的安全要求应当是对称的,但对各     

基于R—PEM的Web数据库安全机制研究

针对目前关系型Web数据库出现的多重系统安全问题,在可信机制的整体框架基础之上,设计一种基于关系安全策略机制（R—PEM）数据库结构体系模型。利用可信机制与主机标识协议体系的安全验证接口,保证Web数据库安全有效地运行。实验分析可知,此安全机制不仅能够抵抗多种暴力网络入侵与攻击行为,例如计算机病毒入侵、DoS攻击等,同时也能在复杂的移动网络条件下,生成Web数据库系统防护安全策略,形成高效的防御体系。     

基于平台可信链的可信边界扩展模型

以可信终端、可信连接、可信网络为代表的可信计算技术立足于终端和网络的自身免疫,开辟了以信任促安全的新思路,成为众多安全公司解决安全问题的热选技术。该文以可信终端技术中的可信链模型为对象,系统研究了可信链的概念模型,给出建模过程、模型的原型实现并指出该模型较之传统安全模型的优点。     

云WAF技术系统研究

如今云WAF已经开始正式商业化,它既是Web应用防火墙的云模式,也是一种全新的信息安全产品模式,已经具备了完善的功能定义和成熟的技术平台。云WAF服务提高了云计算的安全性,增强了应用的可用性和安全性,也提升了网络的总体安全性。云WAF正处于高速应用发展阶段,文章结合实际情况,针对云WAF平台的整体架构和具体技术策略进行了分析和探讨。     

基于可信计算的区域边界防护模型研究与应用

依据信息系统等级保护安全设计技术要求的框架,提出一种基于可信计算的安全区域边界防护模型。在模型中,运用可信平台三元对等鉴别技术,解决了区域边界防护网关自身完整性鉴别问题;采用可信网络连接建立与传递技术,实现了跨区域边界网络访问的全程可信;采用区域边界代理和控制策略分布执行的方式,实现了基于主客体的区域边界自主访问控制策略。     

Design and analysis of secure host-based mobility protocol for wireless heterogeneous networks

Mobility protocols allow hosts to change their location or network interface while maintaining ongoing sessions. While such protocols can facilitate vertical mobility in a cost-efficient and access agnostic manner, they are not sufficient to address all security issues when used in scenarios requiring local mobility management. In this paper, we propose a new scheme that makes Host Identity Protocol (HIP) able to serve as an efficient and secure mobility protocol for wireless heterogeneous networks while preserving all the advantages of the base HIP functions as well. Our proposal, called Heterogeneous Mobility HIP (HMHIP), is based on hierarchical topology of rendezvous Servers (RVSs), signaling delegation, and inter-RVS communication to enable secure and efficient network mobility support in the HIP layer. Formal security analysis using the AVISPA tool and performance evaluation of this method are provided; they confirm the safety and efficiency of the proposed solution. HMHIP reduces handover latency and packet overhead during handovers by achieving registration locally.     

可信计算的研究与发展

可信计算(Trusted Computing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。文章通过分析可信计算的发展过程和相关基本概念以及可信计算在我国的发展现状,指出了我国可信计算发展中存在的一些问题,最后提出了通过制定我国标准、提高企业、用户意识和结合网络技术发展的建议来发展我国的可信计算。     

可信计算系统及其研究现状

可信计算是信息安全研究的一个新阶段，它通过在计算设备硬件平台上引入安全芯片架构，通过其提供的安全特性来提高整个系统的安全性。该文简要介绍了可信计算的起源和发展，重点分析了可信计算系统的体系结构和可信平台模块、可信根等关键技术，并对目前的研究现状作了总结。     

一种柔性可信计算机模型与实现方法

基于可信计算组织提出的可信计算原理和安全技术规范，设计了一种柔性可信计算机模型(FTPC)，阐述了该模型的信任机制和实现方法。FTPC通过增强传统BIOS的安全功能，以BIOS核心代码为可信根核，将可信计算模块(TPM)封装成块设备，并通过计算机USB接口实现TPM与BIOS和操作系统的交互。FTPC采用实体的身份认证、完整性度量和密封存储等技术，无需改变现有计算机硬件体系结构即可支持可信计算，FTPC具有易实施和应用灵活的特点。     

基于区块链的网络安全体系结构与关键技术研究进展

随着互联网技术的不断演进与用户数量的“爆炸式”增长,网络作为一项基础设施渗透于人们生存、生活的各个方面,其安全问题也逐渐成为人们日益关注的重点.然而,随着网络规模的扩大以及攻击者恶意行为的多样化、复杂化,传统网络安全体系架构及其关键技术已经暴露出单点信任、部署困难等诸多问题,而具备去中心化、不可篡改等特性的区块链技术为网络安全所面临的挑战提供了新的解决思路.本文从网络层安全、应用层安全以及PKI安全三方面对近几年基于区块链的网络安全体系结构与关键技术研究进行梳理,并将区块链的作用归类为真实存储、真实计算、真实激励三种情形.针对区块链的具体应用领域,本文首先介绍了该领域的安全现状,然后对区块链的具体应用研究进行了介绍,并分析了区块链技术在该领域所存在的优势.本文最后结合现有的解决思路对未来区块链应用中所需要注意的隐私问题、可扩展性问题、安全问题以及区块链结构演进的方向进行了分析,并对未来基于区块链的网络安全体系结构与关键技术研究进行了展望.     

一种基于可信计算平台的无线传感器网络标识密钥更新方法

针对无线传感器网络使用标识密码的密钥更新问题,设计了一种以可信计算平台为密钥生成中心,利用单向函数构造随机数池的高效密钥更新方案,使得传感器节点既能对密钥更新消息进行验证,又不至于引起过多的网络通信。为保证通信密钥的安全性,使用可信计算平台作为密钥生成中心,保证了密钥源头的安全。密钥更新时,利用可信计算平台的特性对其平台配置情况进行验证,来判断其所发出的消息和密钥的真实性与完整性。利用单向函数产生随机数池,一方面使得传感器节点可以验证消息的真实性,另一方面可以抵抗重放攻击。