基于隐私保护技术的DNS通信协议

 域名系统（DNS）是互联网基础服务,是互联网访问的重要入口,域名隐私保护是DNS安全的研究热点。提出了一种基于用户数据报协议（UDP）的DNS传输中用户隐私保护的加密方法：DNSDEA（DNS data encryption algorithm）。该方法采用PKI加密体系与DNS协议相融合,不仅解决了域名隐私保护问题,而且与传统DNS体系相兼容,保持了DNS系统的简单、高效的技术特点。与当前的DNS加密方法相比,DNSDEA提高了任务并行的并行化粒度,降低了加密情况下DNS查询的延时。     

基于安全可靠的DNS系统构建

【目的】研究如何将策略路由技术应用到DNS系统的构建上,提出一种构建安全可靠的DNS系统的方法。【方法】从网络安全构架、系统安全和BIND安全等多方面,系统阐述如何增强DNS的安全可靠性,并将策略路由技术应用到DNS的构建上。【结果】提出一种构建安全可靠DNS系统的方法,在国际互联网双出口的网络环境下,策略路由技术由网络中的路由器和DNS服务器协同完成,可实现出口链路冗余及优化访问路径、DNS解析业务冗余等功能。【结论】该方法可以解决DNS系统面临的安全威胁,提高DNS系统的可靠性,特别是策略路由技术的应用,在保证可靠性的基础上还优化了网络性能。     

DNS实时监控统计系统的设计

分析当前DNS系统安全在服务监控统计方面的进展及问题,设计一种多层次构架的实时监控统计系统DRMSS,其利用BPF机制过滤DNS服务报文数据,通过缓存机制存储和处理监控统计信息,并结合Iptables应用。该系统具有广泛的适应性,能对多种域名服务器服务实现实时监控处理及数据统计整合。实验表明,DRMSS显著提高了域名监控统计的服务性能,增强了域名服务的安全性。     

面向域名解析系统的知识图谱构建与应用方法

为提高网络域名系统(domain name system, DNS)服务器日志分析能力,综合多种技术提出了构建面向域名解析系统的知识图谱。首先,应用域名解析、权威域名服务器、别名解析、自治系统等基本原理设计了基于aiohttp和dig技术相结合的数据采集方案,构建了相应的领域知识库;其次基于该知识库设计和构建了面向域名解析系统的知识图谱,其节点规模达近500万;然后应用该知识图谱解决web日志中异常访问行为识别效果差的实际问题。以某国家网络信息安全科研机构的网络服务器日志为研究对象,对比是否采用知识图谱进行实验：在爬虫行为、域名暴力解析行为、DNS重复解析行为的识别实验中,F₁值分别提高了14.88%、47.23%和91.63%。结果表明,该知识图谱能够有效提高web日志中异常行为识别率。     

DNS解析路由在多链路网络中的应用研究

探讨了在多链路网络结构中,由于多DNS服务器解析结果不一致所导致的传输路径与网络时延差异的问题。提出用一种基于域名判断的多链路多DNS解析路由方法来解决该问题,以便获取具有最优访问路径与最小延时的解析结果,进而提高和改善网络性能与服务质量。     

域名解析研究及服务器配置实践

DNS域名解析是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网.DNS服务器是域名解析体系的重要组件,也是网络管理重要的维护对象.本文通过研究域名解析的技术和工作过程,为DNS服务器维护探索出配置的技术依据和方法.     

基于OpenSwan的动态VPN实现方案

IPsec是实现VPN的技术标准之一,而OpenSwan为Linux下IPsec的最佳实现方式,其最大程度地保证了数据传输中的安全性、完整性问题。OpenSwan不仅功能强大,其突出优点是一个开放源代码的项目,OpenSwan的实施应用不仅解决了无固定IP企业、单位网络的安全防护,也为企业节约资金和投资成果。实验证明,动态DNS方式是实现动态VPN系统的较有效方式。     

园区网智能DNS服务器的构建

互联网规模日益壮大，用户对网络的要求越来越高，而互联网的绝大多数应用都依赖于域名解析服务DNS．随着更多的校园网采用除教育网外的第二和第三出口，对DNS服务提出了更高的要求．因此，构建安全稳定、健壮高效的园区网DNS服务器成为多出口园区网稳定运行的关键．文章基于linux和bind9给出了实现安全高效的智能DNS的关键技术及配置策略。     

域名系统安全问题综述

域名系统(DNS)服务在Internet服务中占据着非常重要的地位，但在最初设计DNS时却没有考虑它的安全问题，导致系统存在很多安全漏洞，针对它的安全脆弱性。对当前DNS遭受的网络攻击进行了深入分析，提出并剖析了一系列当前采用的安全防范措施；文中重点探讨了DNS安全扩展(DNSSEC)的安全防范思想、工作原理，然后对DNSSEC做了性能评价，提出相关建议．最后在总结全文的基础上对DNS安全研究提出展望。     

基于真实IPv6地址环境下的安全DNS系统设计

网络的安全保证变得日趋重要,在下一代互联网上这种要求更为迫切.以真实IPv6地址接入技术为平台,结合PK I的证书分发机制对密钥的分发实现安全便捷的管理,利用密钥机制对DNS全程数据通信进行签名加密保护进而可以实现下一代互联网络体系结构中DNS系统的安全,包括安全的域名更新、安全的域名查询以及抵御常见的DNS攻击.     

IPv6中实现Anycast服务的一种通信模型

为解决IPv6提供任播(Anycast)服务时存在的扩展性等问题,该文提出了一种新的Anycast通信模型,该模型采用DNS域名分层技术以及以Anycast组成员提供网络服务的TRT以及RTT等参数做为度量单位的Anycast通讯方式,不仅解决了Anycast的扩展局限性问题,同时也实现了Anycast组成员的动态加入与注销,以及Anycast组成员信息的分布式维护与处理,从而实现了均衡负载功能,最重要的是此模型可以支持大规模的Anycast组的建设.该模型在IPv6模拟环境下的实验数据充分论证了其可行性以及有效性.     

基于透明代理的域名系统隐患分析与防御策略

域名系统现有机制无法对域名解析请求和应答的信息来源进行有效确认,使得攻击者能够伪造数据对域名系统进行攻击,该文在对域名系统安全隐患分析的基础上,提出了一种透明代理的安全组件,不需改变现有域名系统的架构与通信机制,实现了对域名解析请求和应答信息的鉴别与过滤。该透明代理运行在2种工作模式即选择性重查询模式和安全标签查询模式,能够根据安全要求和风险水平在2种模式之间进行动态切换。仿真分析表明:这种架构使得攻击域名系统的成功率大为降低,明显提高了系统安全性,同时对系统平均查询时间和网络吞吐率影响较小。     

基于主动测量的CN权威镜像选址效果评估

 域名服务器(DNS)镜像技术是提升DNS 系统安全性、稳定性和解析性能的重要方法。以CN 镜像服务器的实测数据为例, 采用主动测量法, 主动向被探测的网络或者对象发送特定的数据包, 根据响应时间和应答数据包分析研究对象的网络特征, 以此评估CN 权威服务器的选址效果。结果显示, 镜像技术使全球各地都能提供较好的CN 解析服务, 虽然服务效果存在地理上的差异性, 但与CN 节点的部署实际情况相符。该效果评估方法能够为节点部署提供可靠的决策依据, 有助于DNS 节点高效有序的规划建设。     

OLAP安全访问的层次化设计与实现

由于任何浏览Web站点的访问者都可以通过HTTPS使用联机分析处理(OLAP)数据源,因此,访问者的安全凭据是必需的.针对OLAP的安全访问,提出层次化设计方案,通过给出分组实例程序,阐述运用网上办公组件(Office Web Component,OWC)中的自行定制分组功能,使各个级别的分析用户只能访问与自己相关的数据,屏蔽与分析用户不相关的数据源.对OWC组件的安全漏洞的威胁提出预防措施,从而提高基于Web的OLAP访问的安全性.     

分层框架下教育网智能权威域名管理系统的设计与实现

针对CERNET用户对于权威域名解析的需求,基于开源域名解析软件BIND及其DLZ（Dynamically Loadable Zones）拓展,结合Web服务、数据库,设计并开发了一套基于分层框架的智能权威域名管理系统（China Education and Research Network Intelligent Authoritative Domain Management System,简称eIDM）,实现了基于源地址的智能解析。使用Python语言和Django框架开发eIDM的Web管理平台,极大的降低了权威域名的管理和维护难度。该系统持续稳定运行多年、操作便捷,为数百个CERNET用户提供便捷的服务,帮助其实现流量调度、负载均衡、安全防护、IPv6升级改造等需求。 关键词：权威DNS;分层框架;在线管理平台;智能解析     

一种具有安全特性的压缩全息成像方法

本文提出一种具有安全特性的压缩全息成像技术来解决当下存在于全息成像方面的安全问题.该方法可以在全息成像场景过程中实现光学加密、光学隐藏和光学压缩功能,能够在保护图像信息安全的同时,实现对数据的压缩.该方法将主对象引入经典Mach-Zehnder干涉仪的参考路径中,实现参考波的空间调制,形成参考光场的二维空间分布.之后,对象信息被加密并隐藏到菲涅耳域中目标光束和参考光束的相干成像过程中的主目标信息中,实现对图像的安全保护;同时,安全物体全息图被进一步压缩采样,单像素检测器只需记录较少数据,就可表示原始成像对象.该技术大大减少了对象的数据采集量,可以在纯光系统下安全地获得压缩对象,这是全息成像方法的一大突破,也有望突破全息影像在3DTV、医学诊断、实时全息TV等领域中,影像数据量受限的瓶颈.凭借全光学手段实现光学安全的可行性,本文提出的方法对实现全光网络、近地和星际激光通信链路等方面也有重要参考意义.     

基于域名共现行为的僵尸网络行为追踪

针对局部行为特征信息偏少而使得僵尸网络行为难以全面追踪的问题,提出了一种基于域名共现行为的僵尸网络行为追踪方法.该方法通过域名共现评分算法计算待测域名与已知僵尸域名的域名共现行为来追踪其他僵尸域名,进而发现更多的僵尸主机;为提高域名评分准确性,还提出了过滤基于网络地址转换的主机域名访问、空间区分单个僵尸网络,以及基于观测时长共现行为统计3项改进措施.采集西安交通大学网络域名服务器的域名查询流量作为数据源进行了实验和测试,结果表明:基于改进的域名评分措施不仅将待测域名数量降为原来的1/4,且计算出的前10名域名共现评分更加合理,提高了追踪僵尸主机的准确性.     

可扩展的社交多媒体安全分享方法研究

社交多媒体在社交网络中的分享面临安全与隐私威胁,多媒体加密可以解决保密性问题,数字指纹技术可以实现叛逆者追踪,但现有数字指纹技术还不能应用于大规模社交网络。现有指纹码不能容纳社交网络中数以亿计的海量用户,为每位用户单独生成指纹拷贝,对数亿计的用户而言,会造成巨额的空间和时间开销,此类问题的产生源于现有的安全分享算法缺乏可扩展性。面向社交多媒体安全分享在确保保密性、可追踪性的同时,更需要保证可扩展性,以适应社交网络的动态变化。基于混沌加密和社交网络指纹技术,提出一种面向社交多媒体安全分享的树结构 Haar（tree structure Haar,TSH）变换域的联合多媒体指纹与加密技术,实验结果与理论分析证明了该方法不仅可以保证社交多媒体的安全分享,而且可以实现可扩展性。     

网络安全课程实验教学平台设计与实现

通过网络安全课程P+T+E教学模式的研究,在网络安全课程实验教学中,使用网络安全实验教学平台进行网上教学。在实验平台设计方案中,重点分析安全性问题,提出了数据加密方案,并在注册和登录模块中引入RSA加密算法。该平台为学生完成网络安全实验、师生交流等提供了一个很好的网上平台,从而改善了教学效果。     

基于数字证书和透明加密的桌面虚拟化系统

在虚拟化桌面技术应用日益增加、功能愈发强大的情况下,其安全问题已然成为阻碍虚拟化桌面发展的一大瓶颈..如何确保虚拟化桌面的安全性、让用户可以放心的使用虚拟化桌面就显得尤为重要.本文在研究了虚拟化及虚拟化桌面技术的基础上,提出一种基于数字证书实名认证与透明加密相结合的方法,该方法首先在客户端登录时对用户进行实名认证,确保登录者真实身份的可信性.其次,本文对数据中心的数据进行透明加密,防止由于虚拟化技术的资源共享问题造成重要数据的外泄.通过实验分析,证明在系统中增加网络实名证书模块和透明加密模块,能够在一定程度上保护虚拟桌面用户的账户安全和数据安全.