IPv6环境下校园网安全防护技术的研究与应用

为提高IPv6环境下校园网络的安全防护能力,文中针对IPv6网络协议的特点,设计了安全防护算法模型,以此来应对IPv6带来的网络安全挑战。通过网络入侵检测系统(NIDS)选择、IPv6地址分配安全机制、数据加密与验证技术、算法模型优化等技术手段来提升校园网络安全防护能力,验证了该算法模式的功能有效性。结果表明,该模型能提升IPv6环境下校园网的安全级别,降低安全威胁发生率,为校园网安全管理提供技术支持。

A Mobile Accessible Closed Multi-Part Group Communication Scheme in IPv6 Network

To solve the problems of current IP multicast which includes poor inter-domain many-to-many group support, security vulnerabilities and dependency to specific multicast infrastructure, a mobile accessible closed multi-part group （MACMPG） communication protocol in IPv6 network is proposed. By extending the single source multicast protocol, the communication channel for multi-part group communication across domains is established. Based on lPv6 CGA, the secure closed group communication scheme is designed. The access to the multicast traffic only confined to the authorized senders and receivers and only trusted routers are allowed to be the branch points of MACMPG tree. By tunneling mechanism, the MACMPG traffic can be transmitted across non-MACMPG routing area, and the mobile nodes can join the group remotely and roam freely between domains, which eliminates the dependency on specific IP multicast routing.

基于RBAC的IPv6环境网络信息安全访问控制方法

常规的互联网协议第6版(Internet Protocol version 6,IPv6)环境网络信息安全访问控制方法主要使用ReliefF算法获取最优特征集合,易受访问约束限制影响,导致安全访问控制延时过高。针对此问题,利用基于角色的控制访问(Role-Based Access Control,RBAC)方法设计一种全新的IPv6环境网络信息安全访问控制方法。构建了IPv6环境网络信息安全访问控制模型,利用RBAC生成了网络信息安全访问控制关系,实现了网络信息安全访问控制。实验结果表明,所设计的基于RBAC的IPv6环境网络信息安全访问控制方法的访问控制延时相对较低,证明设计的环境网络信息安全访问的控制效果较好,具有可靠性,有一定的应用价值,为降低IPv6环境网络风险做出了一定的贡献。

移动IPv6网络基于身份的层次化接入认证机制

设计了一种基于身份的层次化签名方案,并在该方案基础上提出了一种适用于移动IPv6网络环境的层次化接入认证方法.该方法使用分级NAI(Network Access Identifier)作为公钥,简化了无线移动环境中的密钥管理;利用层次化思想对接入认证和移动注册进行层次化管理,减少了切换认证处理流程;基于签名机制实现了用户与接入网络的双向认证.作者用设计的切换延时分析模型,对该方法和几种传统方法进行了比较,证明当移动节点远离家乡域及在一定范围内频繁微移动时,该方法比传统方法的效率更高.通过安全性分析证明了该方法在一定程度上实现了私钥的保密性、签名的不可伪造性等功能.最后还讨论了该方法的一种可扩展变形,用于实现多级层次化移动IPv6框架下的接入认证.

基于IPv6的多接入智能电网网关设计

针对智能电网网关中本地通信接入方式单一且本地通信IPv6技术应用较少的现状,设计了一种基于IPv6的多接入智能电网新型网关。网关基于STM32F107高速处理器和μC/OS-Ⅱ嵌入式操作系统,采用自主研发的IPv6协议栈,实现了支持IPv6的多种本地通信方式(电力线载波、433 MHz、470 MHz、780 MHz、2.4 GHz)接入以及以太网、GPRS远程输出,支持数据的保存与网关动态参数配置功能。测试结果表明,网关设计方案可行,可实现多种本地通信方式的IPv6接入,能够适应多种通信环境。

基于IPv6的AAA及其在接入路由器上的实现

比较了RADIUS和Diameter两种AAA基本协议。并通过对ICMP6报文进行扩展和Diameter消息定义,在IPv6接入路由器上实现了基于Diameter协议的AAA功能。

节点证书与身份相结合的HMIPv6网络接入认证机制

接入认证是层次型移动IPv6(HMIPv6)网络安全的基本需求.构建了适于HMIPv6的分层认证框架,设计了一种节点证书与身份相结合的签名方案,并以此为基础提出了HMIPv6网络双向接入认证机制.该机制利用基于身份密码技术简化了公钥基础设施的复杂密钥管理过程;以节点证书为接入认证的主要依据,消除了接入网络与家乡网络间的消息交互;采用提出的层次化签名方案,实现了用户与接入网络的双向认证.机制经过简单扩展,能够支持多层HMIPv6网络的接入认证.性能与安全性分析表明,与传统的及其他基于身份的认证方案比较,所提出的机制拥有更高的认证效率和安全性.

推动IPv4/IPv6过渡策略分析

IPv4地址即将耗尽,推动IPv6的部署已经势在必行。实现IPv4/IPv6的互通和转换对保证用户愿意尝试IPv6起着至关重要的作用,只有做到IPv4和IPv6网络的共存、互通,解决IPv4网络与IPv6网络内主机和资源互访的问题,才能推动当前的试商用,使试商用的规模达到理想的状态。对互通技术进行了分析与总结,提出了一些过渡的策略,给出了鼓励引导大家使用IPv6的思路并分析了可能存在的问题,以期推动IPv4向IPv6的过渡,加速IPv4/v6的过渡进程。

一种基于地址、协议转换方式的高性能IPv6/IPv4安全网关

在IPv4/IPv6并存过渡时期提供强有力的网络安全保障,是实现下一代互联网络(NGI)技术成功应用的关键。在NAT-PT协议转换和流量负载均衡等技术分析的基础之上,提出了一种具备IPv4/IPv6混合网络边界访问控制功能的高性能安全网关模型NAPTSG,并详细论述了其系统设计思路,最后给出了其原型的实现及测试情况。

基于池的PMIPv6移动接入网关容错方案

代理移动IPv6(PMIPv6)是IETF提出的基于网络的区域移动管理协议,依赖于区域移动锚点(local mobility anchor,简称LMA)和移动接入网关(mobile access gateway,简称MAG)两类移动管理实体实现系统功能.针对PMIPv6网络中的MAG可靠性问题,提出一种基于池的移动接入网关容错方案(MAG fault-tolerant method basedon pool,简称MAGFT).方案引入MAG池解决PMIPv6系统中MAG服务不可替代问题,实现对移动节点(mobile node,简称MN)透明的MAG容错.针对PMIPv6系统所部署下层网络的不同,MAGFT分别采用无重叠区部署和有重叠区部署两种模式在PMIPv6域内构建多个MAG池,使得域内各MAG至少归属于一个池.当某MAG失效时,它所在池内的某一有效MAG将快速接管其服务.理论分析和仿真实验结果表明,MAGFT可将容错时间控制在35ms～340ms.当容错时间在120ms以下时,MAGFT可完全避免MAG失效对MN的TCP应用造成的影响;最差情况下,对分别处于WLAN、3G和卫星网络中的MN而言,MAGFT也可在MAG失效发生后的1.1s,1.6s或2.8s内恢复其TCP应用吞吐量.对于UDP应用,MAGFT可在MAG失效发生后2s内将MN的收包率恢复至其稳定值.同时,方案引入的容错开销小,当系统处于较饱和的稳定服务状态时,容错信令开销相比系统基本信令是可忽略的.MAGFT的引入对MN接入延时略有增加,但增值控制在10ms以下.

移动IPv6网络安全接入认证方案

对于移动IPv6网络,身份认证是网络安全的关键问题之一。针对移动IPv6网络的接入认证,提出了一种基于移动互联网双向认证方案。在移动切换过程中的接入认证和家乡注册,采用对家乡注册消息进行基于双私钥签名的方式,实现了家乡代理和移动节点分别对注册消息的签名,实现了接入认证与家乡注册的并发执行,移动用户和接入网络的一次交互实现了用户和接入域的有效双向认证。理论分析和数据结果表明,方案的认证总延时和切换延时要优于传统方法,有效地降低了系统认证的延时。安全性分析表明,框架中的基于双私钥的CPK方案满足双向接入认证安全,有效地解决了密钥托管问题。

一种IPv6穿越CDMA网络的方法

为了使IPv6客户端能够通过CDMA无线接入方式访问远程的IPv6服务器,介绍了已有的隧道技术并分析其不足,如不能适用于CDMA网络,提出并实现了一种基于NetFilter框架、Libnet和Libipq使得IPv6可以穿越CDMA网络的方法。实际应用表明,运用这种方法,IPv6主机可以有效地通过CDMA方式接入网络,并访问远程的IPv6服务器。

IPv6接入网拓扑结构自动发现方法研究

针对IPv6网络的特点,进行网络拓扑结构自动发现,是对IPv6网络实施有效管理的基础。目前,国内外相关的研究工作主要集中在IPv6骨干网络拓扑发现方法领域,对IPv6接入网的拓扑结构自动发现方法的研究工作相对较少。该文提出了一种IPv6接入网拓扑结构自动发现方法,在此基础上给出一个在IPv6接入网中实施拓扑发现的解决方案,通过实际测试,对这种方法的正确性和有效性进行了分析。

一种新颖的宽带IPv6接入路由器的研究

论文提出了一种基于“业务流”的宽带IPv6接入路由器的设计。为了克服传统接入技术用户管理难、认证计费不准确、综合业务提供能力差的缺点,提出了以业务流为管理对象的接入路由器的设计,实现用户认证和授权、双向流量统计、双向速率限制、预付费流量限制、访问控制列表和断线检测等功能,集接入汇聚、边缘路由和业务策略功能于一体,并提供QoS保证。

IPv6/IPv4双协议栈以太网接入认证和移动技术

介绍了IPv6/IPv4双协议栈以太网接入路由器及其接入方案具有用户认证、用户管理和详细的数据统计功能,能够同时提供IPv6和IPv4接入,与移动家乡代理服务器配合,可支持移动IP用户,能够满足未来商业化的、有线无线一体化的以太网接入的需求。

基于不同接入技术的IPv6

为了彻底解决目前IPv4遇到的问题并对未来的应用提供更好的支持,Internet工程组的IPng工作组提出了修改IP协议的建议———IPv6。文章描述了在不同的接入技术上整套的IPv6实施,介绍了IPv6存在时这些网络的本质特性最后给出了结论和,IPv6的发展建议。

基于层次化管理的移动IPv6网络接入认证研究

移动IPv6网络为用户随时随地接入网络提供了可能性,也给用户的接入控制和管理提出新的挑战。为改善此情况,提出了一种适用于移动IPv6网络环境的层次化接入认证方法,利用层次化思想对接入认证和移动注册进行层次化管理,减少了切换认证处理流程;基于矢量的双向认证机制实现了用户和移动网络的双向认证;当移动节点远离家乡域及在一定范围内频繁移动时,将层次化移动切换过程和认证过程进行了有机整合,减少了延迟和开销,提高了认证切换性能。

基于SAVI的IPv6接入认证系统设计

为了提高用户接入互联网的安全性,文中设计一款基于SAVI技术的IPv6接入认证系统。该系统基于充分的用户调研和技术分析,在Web认证方法的基础上,引入SAVI源地址验证技术。经实验测试表明,该系统可以抵抗分布式拒绝服务攻击,屏蔽无合法权限和伪造源地址的非法用户访问,进一步提高了新一代移动互联网的安全性防护水平。

快速层次移动IPv6的域间移动管理

为了提升移动IPv6域间切换的性能,在FHMIPv6的机制上提出了一种基于边缘接入路由器的域间移动管理方案。在这种方式下,移动主机在移动到边缘接入路由器上时,进行域内切换并把链路转交地址在前移动锚点和新移动锚点上同时进行重复地址检测;完成切换后,在边缘接入路由器域内对新区域转交地址进行配置并在新MAP中与链路转交地址绑定。通过NS-2实验仿真验证能够有效减少域间切换带来的延迟,同时也降低了分组的丢失率。

接入网IPv6地址的规划与分配方法

讨论了接入网中IPv6地址的规划原则,以及SLAAC,DHCP和PPP3种IPv6地址的分配方法及其优缺点。