可信环境下的WLAN接入认证方案

在第3版WLAN鉴别基础设施(WAI)协议的基础上,提出了基于预共享密钥模式和基于证书模式的可信环境下的WLAN接入认证方案.实现了站(STA)和接入点(AP)之间的双向用户认证和平台认证,且与第3版WAI协议后向兼容,其中鉴别服务器(AS)负责STA和AP的用户证书验证、平台证明身份密钥(AIK)证书验证和平台完整性评估,STA和AP的存储完整性度量日志(SML)是利用数字信封技术加密传输给AS的,从而有效地解决了可信WAI(TWAI)所存在的问题.此外,利用针对于可信接入认证协议的串空间模型,证明了它们是安全的.     

WLAN与3G融合网络中认证体系研究

认证体系是3G与WLAN融合网络健康发展的关键技术之一.现在研究分析EAP/SIM认证协议基础上,对EAP/SIM认证协议进行了改进,增加了共享密钥加双向认证过程.改进后的EAP/SIM认证协议在安全性上更加可靠.     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议.该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗.在BR扩展模型下,可证明该协议是安全的.通过性能分析得出,协议具有很高的效率.     

3GPP-无线局域网异构互联的认证信令优化

针对3GPP-WLAN互联网络的认证协议EAP-AKA,首先建立了3GPP-WLAN用户通过无线局域网(WLAN)实现接入的认证数学模型.通过分析指出,3GPP AAA服务器每次从认证中心获取认证矢量(AV)的数目K与重认证次数对认证信令开销所带来的影响.在考虑了重认证次数影响后,提出了一个新的自适应K选择机制,该机制利用终端在前一WLAN中总的认证次数、重认证次数和K来预测推断当前WLAN中所需的K值.仿真结果表明,新的机制相比固定的K选择机制能更有效降低由获取AV所带来的信令开销.     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

一种WLAN Mesh网络快速切换认证方法

针对WLAN Mesh网络中Mesh接入点(MAP)移动时快速切换认证过程中存在的安全问题,采用基于邻居图的快速切换方法和基于矩阵的密钥预分配方法,提出一种快速切换认证方案,该方案能够适应具有移动MAP的WLAN Mesh网络场景.利用Canetti-Krawczyk模型对提出的认证方案进行安全性分析,并对方案中所需的计算和存储代价进行估计.结果表明,在伪随机函数和消息认证码函数是安全的前提下,方案中的认证协议在UM中是SK-安全的,且该方案具有较小的计算和存储代价.     

利用P2P技术实现移动终端在WLAN内的漫游认证

针对IEEE 802.11i协议中身份认证和主密钥协商造成认证时延过大的问题,提出了一种利用P2P Chord技术管理无线局域网(WLAN)内认证信息的认证优化机制.站点在首次接入WLAN时将协商生成的认证信息发布至P2P Chord环中.当站点在接入点(AP)间发生切换时,可从P2P Chord环中查找出相应的认证信息以完成后续的协议交互,无需通过认证服务器重新认证,从而显著降低复杂认证引起的时延.理论推导及实验结果表明:该认证信息管理方案能够降低站点在AP间的切换时延,满足实时应用通信质量的需求;同时还可以减轻认证服务器的负担,在一定程度上防止单一故障点的存在.     

基于802.11i的WLAN认证机制分析及其改进策略

介绍了当前主流的WLAN安全协议802.11i,从技术与原理层面分析了其接入控制认证机制安全性能,针对其在认证和密钥协商过程中的缺陷提出了改进策略.     

校际移动漫游的研究与实现

分析研究了高校对校际移动漫游建设的需求,从校际移动漫游的网络安全接入、校际移动漫游的网络认证和校际移动漫游中心的建设等3个方面,提出了使用中国强制性安全标准的WAPI证书,扩展漫游加密鉴权,叠加LDAP/RADIUS漫游认证的方式,结合漫游学校与归属学校的网络实际情况,分别采用返回归属学校认证和漫游中心认证2种漫游系统架构,在校际间实现了安全性能高、运行性能高和投入建设简洁的校际间的移动漫游,通过教育信息资源的共享,创造了更宽广的校际间的学术交流环境.     

无线局域网低时延切换的一种两级认证方法

IEEE 802.11无线局域网已得到了广泛的部署.在无线局域网中,终端移动时经常发生切换,需要进行安全认证,这导致较长的处理时延,降低了服务质量.目前的认证方法,如AAA和IEEE 802.1x,不能支持低时延切换.本文提出了一种两级认证方法,移动终端在快速切换协议中可以执行认证.在漫游到新域之前从目标接入点获取一个临时身份,通过使用该临时身份继续认证快速接入.移动终端在短时间内必须执行再认证,以便完成正常的认证过程,否则,认证接入将被终止.仿真结果表明,本文提出的两级认证方法在切换过程中显著地减少了切换时延和丢包率.     

A new provably-secure key agreement protocol for roaming in mobile networks

Protocols for authentication and key establishment have special requirements in a wireless environment. This paper presents a new key agreement protocol HAKA （home server aided key agreement） for roaming scenario. It is carried out by a mobile user and a foreign server with the aid of a home server, which provides all necessary authentications of the three parties. The session key can be obtained by no one except for the mobile user and the foreign server. HAKA is based on Diffie-Hellman key exchange and a secure hash function without using any asymmetric encryption. The protocol is proved secure in Canetti-Krawczyk （CK） model.     

GPRS漫游信控系统异常处理机制

分析GPRS漫游信控跨省互联的网络结构,梳理漫游信控流程及接口定义,通过处理DCC Proxy失败、CCR请求失败、IGW/OCS失败、接受CCA超时4种情况,建立GPRS漫游信控系统异常处理机制。通过支撑网网状网,协议适配单元接收来自业务控制网元、DCC汇接代理、总部DCC Proxy的在线计费请求消息,将其转换为内部消息提供给融合计费,可以及时地传回给归属地。归属地的IGW/OCS可以及时地获取信息,同时将反馈信息通过网状网反馈到漫游地GGSN ,实现了漫游用户GPRS业务实时信控。     

LTE网络S1接口流量监测技术的研究与实现

为了实现对长期演进(long term evolution,LTE)网络的流量监测,对S1接口用户面协议栈和应用层协议进行了分析,利用模块化设计思想实现了对S1接口应用层协议的全面监测。针对传统信令监测系统数据业务识别度低、统计能力不强的问题,在传统的监测系统基础上,应用深度包检测（deep packet inspection,DPI）技术对应用层业务进行精细化识别, 并设计了基于传输流的业务呼叫/事务详细记录(call/transaction detail record,xDR)合成方法,实现了对业务流量的精确监测。经现网测试验证,所设计的基于深度包检测技术的业务识别方案和基于传输流的呼叫/事务详细记录合成方案达到了预期的效果,在移动通信网络业务流量监测领域具有推广意义。     

Linux平台下移动IP穿越NAPT设备的实现

为实现移动IP穿越NAPT设备,根据RFC3519标准,修改现有的移动IP协议,并在Linux环境下进行UDP类型隧道穿越私有网络的NAPT设备的实验。实验中移动节点采用配置转交地址方式穿过外地网络的NAPT设备与其本地网络中的其他节点通信。数据分析结果表明,采用修改后的IP协议的移动节点漫游到外地网络后,仍可与本地网络节点通信,达到穿越NAPT设备的目的,但通信网络延迟明显增加,传输速度显著下降。该方案可为移动IP穿越实现提供参考。     

面向移动社交网络的动态信任评估

数百万用户每天在参与移动社交网络互动及相关资源获取,在没有直接联系的2个用户之间建立信任关系,对于提高移动社交网络服务质量和增强用户安全感方面具有重要的作用.在分析移动社交网络体系架构的基础上,设计了一种综合考虑直接信任、推荐信任、信任风险函数、激励机制等多个影响因子的动态信任评估模型,并对信任值计算方法、信任决策和信任更新等进行分析.基于真实社交网络数据集Epinions.com的实验表明,本模型的信任值计算准确可信,且能够有效抵御恶意节点的攻击.     

基于VPN的移动多媒体城域网建设

为解决VPN(Virtual Private Network)在移动多媒体城域网应用中的安全性问题,提出一种VPN链路建立和认证的方法。该方法通过使用临时IP地址,实现了匿名通信,从而有效隐藏了用户的私人信息,避免将信息泄露给其他的专用局域网,进一步加强了VPN组网模式的安全性。同时,通过采用单钥加密体制的加密方法,对数据信息进行加密封装处理,确保了用户数据信息在传输过程中的保密性和完整性。     

基于用户关系网络表征学习的服务推荐方法

网络嵌入学习是深度学习的一个热门分支,它将网络节点映射到一个拓展的低维向量空间。针对用户共用标签网络和社交网络,利用表征学习方法得到用户标签标注关系和社交关系的向量表征,并提出一种新的服务推荐方法。该方法利用用户的向量表征得到相似用户集,由最终得到的用户特征信息返回Top-k个相似用户,并根据相似用户的偏好情况向目标用户推荐合适的服务。为验证方法的可行性,在公开数据集Delicious和Last.FM上进行了实验,结果表明:相比4种基准方法,文中方法准确率可提升13%,召回率提升18.6%,F-measure值可提升13.1%;在学习用户表征向量时,用户之间共用标签关系与社交关系同样重要;推荐过程中,为目标用户返回的相似用户值在[25,30]区间更为适宜。     

Linux环境下Ad hoc网络的实现及性能分析

主要提出在Linux操作系统下实现Ad hoc网络的方案.在现有的可以用于Ad hoc网络的路由协议中选择动态源路由（DSR）作为实现协议,建成了由多个节点组成的运行DSR路由协议的试验网,在试验网上对Ad hoc网中的数据传输和语音会议进行了测试.最后对测得的数据进行了分析,并提出了改进方案.     

一种让上网计算机无缝漫游的方案——移动IP

讨论了一个由IETE（互连网工程任务组）所建议的、在目前的IPv4架构之下实现计算机移动通信的路由选择协议－移动IP（Mobile IP),分析了利用它实现计算机无缝漫游的原理,并探讨了移动IP和未来新一代互联网协议IPv6的结合问题。