VPN隧道交换体系结构研究

隧道交换技术是VPN技术中的一个新的研究领域,它能够有效提高VPN组网的灵活性、可扩展性,实现不同的网络服务提供商、不同安全域的互联互通,得到了越来越广泛的重视。到目前为止,安全厂商已经推出了一些隧道交换产品,IETF也正在研究基于L2TP的隧道交换草案,可仍然缺乏对隧道交换的体系结构研究,缺乏从整个虚拟专用网络角度考虑隧道交换的应用问题,灵活性和可扩展性有待进一步提高。

临近空间网络安全切换机制研究

近年来随着空间网络应用的快速发展,临近空间网络逐渐成为新的研究热点。高度暴露、动态组网、通信能力受限的临近空间网络要求高实时性、高安全性移动安全接入,具有频繁的入/退网、频繁切换的特点,对切换效率与安全提出了更高的要求。提出了一种临近空间网络安全切换机制,给出了安全切换的定义、内涵,分析了安全切换与传统切换、切换安全的不同之处,并设计了MPHR选择算法与信任传递机制,实现了安全通道的整体切换与安全通信的连续性,在保证安全性的同时有效提高了切换效率,减少了临近空间网络的安全切换延时。

基于CCSDS的空间网络跨层安全接入研究

针对高度开放、拓扑多变的空间网络容易受到各种类型的攻击,仅在某一单独层次实施安全防护不能满足空间网络高等级的安全需求的问题,在深入分析CCSDS尤其是数据链路层AOS协议特点的基础上,提出一种空间网络跨层安全接入机制,在网络层和数据链路层建立一体化防护体系,探讨CCSDS协议体系下的实现方式,当对已认证节点信任发生变化时能进行自动调整和恢复,有效提高空间网络移动接入的安全性、适应性及接入性能。

基于IPsec的隧道动态交换机制研究

随着虚拟专用网的发展,隧道交换技术成了近年来网络安全界研究的热点。但是,目前还没有形成一个统一的标准,且更多的局限于L2TP协议及静态交换。就此研究了VPN隧道交换技术,在此基础上提出了基于IPsec的VPN隧道动态交换机制,并设计了一种VPN隧道交换路由的动态查询算法,使得采用不同安全机制的安全域间“透明”的互联成了可能,实现了隧道的汇聚,能够有效的提高了虚拟网络的安全性、灵活性和可扩展性。

无线多跳空间网络间歇连通性问题研究

链路的间歇连通性破坏了传统网络存在的基石——端到端原理,而具有长延时、低带宽、高噪音、路径不对称等特点的空间链路进一步为网络连通性提出了严峻挑战。分析了间歇连通性的本质和内涵,给出了多跳间歇连通性的定义,并回到以最基本的end-to-end和hop-by-hop原理探讨基本的存储-转发机制在间歇连通性环境下的性能,以期能够为克服链路的间歇、实现高效的空间网络传输提供有益的帮助。分析与仿真结果表明,无线多跳空间网络中hop-by-hop方式的性能通常要高于end-to-end,但也同样伴随着高协议复杂度和额外的内存、处理器需求等不利因素。

两种VPN隧道交换模式的一体化设计

随着虚拟专用网的发展,隧道交换技术成了近年来网络安全界研究的热点,但是,目前还没有形成一个统一的标准,本文对当前的VPN隧道交换技术进行了分类归纳总结,分析比较了两种不同功能的隧道交换模式各自的优缺点,并以IPsec隧道为例提出了一体化的设计思路。

基于自证明公钥和零知识证明的身份认证协议

在分析几种典型零知识身份认证协议的基础上,利用Girault自证明公钥原理、结合椭圆曲线公钥密码的优点提出一种基于自证明公钥和零知识证明的身份认证协议,并为协议增加了密钥协商功能。分析表明该方案具有较高的安全性,与同类方案相比,该方案对存储空间、网络通信量和计算开销的要求较低,有较高的效率。

电子商务环境下的物流系统建设

随着经济的发展和计算机技术、网络技术的进步，电子商务得到了迅猛发展。电子商务可以让供货商、商家、客户更加紧密的结合到一起，可以更好的实现互动，更好的满足客户的需求。尽管电子商务在我国已经取得了一定的成就，但是在发展过程中也存在着一些问题，物流系统是制约我国电子商务发展的主要瓶颈之一。为此本文深入分析电子商务物流系统的基本概念、现状，指出存在的主要问题，并探讨合理的建设方案，以期能够更好的促进我国电子商务的发展。

适用于Ad Hoc网络的混合认证机制

分析了Ad Hoc网络的特点及其对身份认证机制的安全需求,采用椭圆曲线和对称密钥两种认证体制并结合自证明公钥原理,提出了一种适用于Ad Hoc网络的混合认证机制。该机制中门限方案增强了系统的健壮性,基于自证明公钥的双向认证协议确保了交互节点身份的真实性,刷新认证协议保证了节点身份的持续可信,分布式自证明公钥撤销方案可将恶意节点快速从系统中分离出去。分析结果表明,该认证机制具有较高的安全性,同时对系统存储空间、网络通信量和计算开销的要求都很少,有着较高的效率。

网络处理器平台下VPN系统的一体化设计

本文介绍了Intel IXP425的软件体系结构,分析了Linux下防火墙的netfilter框架,给出了防火墙策略和vpn策略在linux下的一体化表示方法,最后,对集防火墙、VPN、NAT功能为一体的vpn系统在IXP425下进行了一体化的设计。

基于CGA技术的移动IPv6绑定更新安全机制

为解决移动IPv6路由优化过程当中绑定更新消息的安全问题,结合返回路径可达协议和CAM协议的优点,提出一种基于加密生成地址(CGA)技术的绑定更新安全机制。该机制在没有部署PKI的环境下,利用CGA技术实现了跨信任域的2个节点基于地址的身份认证,可有效防止攻击者伪造、篡改绑定更新消息,解决路由优化过程中存在的反射式攻击问题。

基于防火墙钩子的IPSec VPN研究与实现

针对采用网络驱动接口规范(NDIS)实现IPSec VPN系统过程中存在的问题,提出一种基于防火墙钩子的IPSec VPN系统,研究了Windows网络层防火墙钩子数据包过滤技术,将IPSec封包处理提升到网络层中加以实现。该系统能有效解决由NDIS实现方式引起的MTU处理、路由和数据包分片、重组等问题,提高了系统处理效率,且具有较好的应用特性。

改进的空间网络密钥交换协议

针对空间网络的特点及空间网络对密钥交换的特殊需求,提出一种适用于空间网络的密钥交换协议。该协议以Internet密钥交换协议为基础,通过增加DH循环队列、提高Cookie计算强度的方法增强其抗拒绝服务攻击的能力,给出抵御中间人攻击、选项攻击及反射攻击的修正方法。理论分析表明,该协议具有更高的安全性和较少的交换次数,更适用于空间网络通信环境。

NAT-PT和6to4协同工作机制研究

本文研究了IPv4/IPv6网络环境下NAT-PT和6to4协同工作机制,并且在分析边界路由器对IPv4和IPv6数据包处理流程的基础上,提出了一种基于地址分析和NAT-PT地址映射匹配的数据包调度算法,从而实现了NAT-PT和6t04的协同工作。通过实验测试和分析可知,该算法提高了边界路由器的透明性和适应性,并且具有较好的可扩展性。

增强的NAT-PT和IPSec兼容解决方案

分析IPv4/IPv6过渡时期NAT-PT和IPSec协议的兼容性解决方案,并基于此提出一种增强的IPSec分段保护方案,通过对IKE协议的适当改进增加了发起方对NAT-PT转换网关的发现和自动处理机制,提高了NAT-PT转换网关的透明性。性能分析显示该方案具有较好的安全性和适应性,便于过渡网络安全策略的实施。