基于零信任架构的集团级AAA系统设计与实现

为了解决目前集团信息系统中普遍存在的用户账号管理与安全防护的问题,提出了一种基于零信任架构的集账号、认证和审计于一体的AAA系统。首先,对AAA系统的用户管理、身份认证授权、用户审计等模块进行功能描述;然后,针对传统网络边界防护问题,采用基于零信任架构的认证授权方式对业务场景进行身份鉴别,以保障业务系统环境的可靠性;最后,对AAA子系统的逻辑及集团级系统开发平台配置进行说明。提出的AAA系统可有效提高集团级企业信息系统的业务安全,弥补零信任环境下用户登录账号的安全问题,也进一步提高了集团级企业内网络设备、应用设备、系统和应用管理的安全防护能力。

基于DIAMETER的AAA技术及其在MobileIP中的应用

首先介绍了AAA的基本概念和体系结构,简要描述了当前主流的AAA协议RADIUS和TACACS+,然后分析了RADIUS的不足,并针对这些缺点详细介绍了下一代AAA协议DIAMETER的协议框架、基本协议和两个重要的扩展,描述了DIAMETER在MobileIP中的应用,最后对AAA的发展趋势进行了展望。

基于Diameter的AAA服务器的设计与实现

研究Diameter协议,为构建AAA系统提供参考模型和思路。简单地介绍了由IETF开发的下一代AAA协议即Diameter协议,分析了基于Diameter的AAA系统。给出了一个基于Diameter的AAA服务器的软件架构,并详述了其实现原理。使用该服务器架构,可扩充更多的AAA应用。

一种高效的AAA下无对的无证书移动IP注册协议

为了实现移动IP的商业部署,需要将认证、授权和计费(Authentication,Authorization,Accounting,AAA)引入移动IP注册过程.针对该注册过程安全与效率兼顾的问题,提出了AAA下基于无对的无证书移动IP注册协议.采用强安全高效的无对的无证书签名方案来实现外地AAA服务器与家乡AAA服务器之间的相互认证;采用消息认证码来实现家乡AAA服务器对移动节点以及移动节点对家乡代理的认证.首次采用动态更新的临时身份来代替网络服务标识中的用户信息,实现了用户匿名性.分析结果表明,该协议达到了预期的安全目标.与Cao等人提出的协议相比,该协议具有更高的安全性,注册时延减少了约20%.

下一代网络中AAA服务器关键技术研究

研究在下一代网络中用于实现认证、授权、计费功能的AAA(Authentication,AuthorizationandAccounting)服务器所涉及的关键技术。在实现了AAA服务器的基础上讨论了AAA服务器的体系结构、前后台自适应负荷均衡机制、前台服务器中请求队列的入队和出队操作,以及在后台服务器中基于队列优先级的分时片调度机制。

AAA协议实现的体系结构分析与扩展

Diameter是最新的鉴别、授权和记账(AAA)协议,它的规范统一性以及跨域能力使它更加适用于移动通信环境,它将成为未来AAA基础设施的主流协议。Opendiameter是由IETF管理的开放软件项目,用来提供Diameter协议的实现原型和C++API。本文分析了Opendiameter的体系结构和需要改进的地方,并对其体系结构进行了扩展。实际的移动通信项目证明,扩展后的体系结构具有实用性、高效性和稳定性。

基于PKI的AAA服务器认证模块的实现

详细论述了基于PKI的认证技术的原理,针对当前电子政务和电子商务中出现的安全威胁,提出一种基于PKI数字证书作为AAA服务器主要认证方式的身份认证系统。在理论分析的基础上,给出了软件实现的流程,实际测试表明,该AAA服务器的认证模块可以提供安全、高效的身份认证服务。

cdma2000分组数据网的AAA机制研究

cdma2000分组数据网提供简单IP和移动IP两种接入方式,引入AAA(认证、授权、计费)机制实现对移动用户的接入控制,目前规范采用Radius协议实现AAA。研究两种接入方式下的AAA实现机制,借鉴移动IP的AAA信任模型分析分组网中各实体之间的信任关系,分析cdma2000的移动IP和传统移动IP的区别,指出移动环境下实施AAA的优缺点。

安全RADIUS认证、授权、计费系统的构建

构建了基于远程访问拨号接入用户服务(RADIUS)的认证、授权和计费系统。试运行表明RADIUS原有实现方式的大运算量和频繁的文件读写操作降低了用户认证效率,且存在系统管理员盗用用户账号的风险。改进了RADIUS实现方式,降低了认证程序实现复杂度,提高了用户认证效率,同时降低了密码泄漏风险。对于广泛采用RADIUS的安全应用是很好的借鉴。

一种基于Linux的Radius客户端的设计与实现

提出了一种基于Linux操作系统的Radius客户端的设计，具有良好的可扩展性并通过并行处理解决了现有的客户端数目增加导致阻塞的问题。基于Red Hat Linux6.2系统加以实现并通过测试达到了良好的效果。

Diameter在视频监控系统中的应用

随着视频监控系统的广泛应用,日渐复杂的网络环境使得视频监控系统中的认证、授权和计费服务面临了新的挑战。通过对Diameter协议与RADIUS协议的比较,基于Diameter协议设计了电信级视频监控系统中的AAA服务子系统,实现了支持移动终端访问、支持IPv4/IPv6双栈、安全可靠的认证、授权和计费服务,提供了CNGI上的示范应用。

移动IPv6下认证、授权和计费的实现方案

提出了移动IPv6下与现有的IPsec共存的AAA实现方案,解决了移动IPv6使用中出现的问题。该实现方案采用增加的移动选项结合AAA服务器实现移动节点的认证授权。

网吧认证计费管理系统的设计与实现

对宽带IP网建设与发展过程中产生的多种认证与计费的前沿技术进行分析、比较和研究,提出了基于PPPoE等协议对网吧授权、认证、计费、监控管理系统的开发方案。该系统在数据链路层采用PPPoE协议,通过PPPoE拨号对用户身份进行认证;在网络层使用路由器实时采集数据,对用户按规定进行计费;并与服务器上的AAA(Authorize-Authenticate-Account)软件技术相结合,解决了上网用户授权、身份认证、时长/内容计费、营业状态管理等宽带IP网络应用过程中面临的核心问题。本系统由四个子系统组成,分别是:管理端代理端子系统、认证计费子系统、网吧前台子系统、网吧客户端子系统。

网络信任体系发展趋势研究

文章介绍了网络信任体系的相关概念,对网络信任技术发展趋势进行了归纳总结。文章将网络信任体系发展划分为三个阶段,包括PKI研究建设阶段、跨域鉴别授权中间件研究阶段、云安全服务阶段,并对云安全服务阶段网络空间信任体系架构进行了描述。

认证计费技术在校园网中的应用

为了更好的解决校园网的安全和管理问题,简要介绍了AAA认证技术、RAD IUS及802.1x协议,结合这三种技术提出了校园网的认证计费解决方案。并采用神州数码DCB I-3000认证计费管理系统在校园网中实现了认证计费管理。提出了合理应用认证计费技术会在校园网管理中取得很好的效果。

RADIUS服务器的模块化及多线程实现

介绍了远程认证拨号使用服务的服务器的功能和应用,并且提出了一种运用面向对象和多线程的技术,对远程认证拨号使用服务的服务器功能进行实现的方法。

基于4A信息安全管理系统的设计与实现

针对目前多个子系统和安全设备由于没有独立认证、权限、审计和帐号而导致系统无法有效整合提出了解决方案.利用当前成熟的Portal技术和加密算法,实现了多个系统和4A管理平台的信息有机关联和功能交互两者的一致性及多个系统间的安全有效访问控制,为客户提供了功能完善的、高安全级别的4A管理.

下一代网络智能认证、授权和计费问题研究

用户在接入网络和使用网络服务时,过多的账号对身份认证、授权和计费(AAA)带来不便,并且许多网络服务提供商因没有合适的AAA手段而发展受限。针对上述问题,提出智能AAA的方案,设计了智能AAA的结构,并采用了基于SOAP的安全断言(SAML)来解决智能AAA与其它服务提供商信息交互的问题,最后给出了完整的身份认证流程。分析表明,智能AAA可以对用户的认证、授权和计费做到统一智能管理,为用户和网络服务商带来很大的便利。

区块链中的自适应广播路由分配算法

针对区块链中单播消息导致的数据包重复传输问题,提出一种区块链同步服务的自适应广播路由分配算法,该算法用于区块链的认证、授权和计费(authentication,authorization,and accounting,AAA)服务。将网络拓扑的问题特征和区块链的数据库验证概念进行数学模型描述。根据覆盖网络拓扑中的分散处理,提出一种应用层广播方法,实现自适应路径设计和链路分配,用于分析密码信息在消息中传播到共享网络池中的所有主机的过程。构造广播树作为覆盖网络拓扑,以最小延迟改善信息验证能力,包括通过适当的传输路径选择来限制传输和计算延迟。实验结果表明,自适应动态AAA架构和路径选择使区块链运营商能够有效地做出决策并实现更安全的服务。

RADIUS服务器的应用与管理

本文在介绍了ＲＡＤＩＵＳ服务器的基本功能与配置基础上，结合作者的实际工作经验，提出了配置和管理拨号用户时应注意的问题及解决办法。