基于Linux的UPnP协议栈结构分析及其在嵌入式通信系统中的应用研究

首先介绍了UPnP网络构架和协议模型,然后对基于Linux的UPnP协议栈结构进行了分析,并根据分析结果提出在嵌入式通信系统中实现UPnP的方法.     

协同防御网络入侵

从协同防御的角度论述了入侵防御技术,提出了入侵防御系统的构筑设想,设计了将入侵检测系统(IDS)与路由器通过利用入侵防御协议(IPP)相互协同的框架模型.     

基于UPnP智能传感器网络接口与优选服务设计

实现智能传感器网络接口即插即用是现代传感技术发展迫切需要。基于通用即插即用协议UPnP(Universal Plug and Play)和IEEE 1451系列标准,建立了智能传感器网络接口即插即用系统,设计一种IEEE 1451/UPnP网桥,解决两种协议在消息格式、自标识描述、设备发现方面的差异,采用基于信息公理的UPnP设备优选与传感服务发现方法,将参数信息量计算分布在满足服务要求的网络适配器NCAP(Network Capable Application Processor)。实验表明该方法减少了网络接口数据流量开销,使UPnP设备服务效率得到有效提高。     

通用UPnP AV播放器设备的实现方案

设计出功能完善的UPnPAV媒体播放器方案,快捷方便地生成AV媒体播放器是目前的一个热点问题,具有很高的研究价值。介绍了UPnP协议的相关技术以及UPnP AV应用框架的基本架构,对框架中媒体播放器的功能模块以及各功能模块的实现流程进行了详细的分析,提出了一种通用的UPnP AV媒体播放器设备的实现方案。     

关联规则挖掘结合简化粒子群优化的哈希回溯追踪协议

针对源路径隔离引擎(source path isolation engine,SPIE)不能回溯追踪早期经过路由器的攻击数据包问题,提出了一种IP回溯追踪协议(IP trace-back protocol,ITP),该协议根据压缩哈希表、Sinkhole路由算法和基于网络取证的数据挖掘技术抵抗网络攻击.其中包含简化粒子群优化(simplified particle swarm optimization,SPSO)关联算法的分析管理器(attack analysis manager,AAM)通过分析来自Sinkhole路由器和入侵检测系统(intrusion detection systems,IDS)的攻击包的关联性生成攻击模式和攻击包规则,并将该结果通知系统管理器,Sinkhole路由器和IDS通过数据挖掘技术分析攻击包之间的关联性.通过比较SPIE,概率包标记(probabilistic packet marking,PPM)和iTrace的性能可以看出,ITP不仅能实时追踪后向攻击,而且能定期使用压缩哈希表(compressed hash table,CHT)完成追踪任务.因此,在抵抗DoS攻击方面,ITP性能优于SPIE,PPM和iTrace,此外,在回溯执行时间方面,相同跳跃数下,ITP比iTrace低2-3 s.     

一种新的基于协议分析的网络入侵系统实现研究

入侵检测系统是当前网络安全的一个研究热点,对传统的基于模式匹配的方法进行了较深入的分析,认为其满足不了新一代IDS发展的要求,进而分析了基于协议分析的网络入侵系统的设计与实现,讨论了相应的步骤.最终得出:基于协议分析的IDS将是将来的技术发展主流,同时能够满足千兆位检测要求.     

利用UPnP进行NAT穿越

本文简要介绍了网络穿越NAT技术，详细介绍了UPnP技术，包括UPnP的工作过程以及网络组成，UPnP的协议栈。详细分析了STUN网络穿越技术和UPNP网络穿越技术的区别，最后以SIP协议为实例，把UPnP穿遮NAT实例化。     

一种面向SON的单播路由协议

提出了一种面向自组织网络SON(self-organizing networks)的单播路由协议,支持应用服务质量QoS(quality of service)需求和路由器生物行为.基于OSPFv3/BGP4+,设计了自治域内和自治域间路由协议,包括报文格式与功能、链路状态描述结构、邻居信息表、单播路由表和协议工作流程等.基于Quagga软件路由器实现了提出的协议,并且在网络实验平台基于Iperf工具对其进行了性能评测.结果表明,该协议是有效的,具有较好的性能.     

通用即插即用及其软件开发

介绍了一种新颖的网络协议通用即插即用(UPnP),阐述了UPnP的体系结构以及寻址、发现、描述、控制、事件处理和演示等工作过程.以Intel公司提供的开放源码的UPnP软件开发环境Linux SDK for UPnP Devices为例,说明了UPnP软件开发环境的特点,并给出了一个符合UPnP标准的基于Linux的TV设备程序的开发实例.     

基于SNMP和SYSLOG的校园网安全管理系统的探讨

通过SNMP、Syslog标准协议从不同厂家防火墙、IDS以及路由器、交换机等网络设备搜集相关信息,根据预设规则触发管理行为,由策略中心通过SNMP下发给相关设备,执行关闭端口、下发ACL等操作,使校园网中网络设备联动起来,构建具有自动告警、处理能力的统一安全防御体系,应对校园网中日益繁多的网络威胁,避危于无形.     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议.该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗.在BR扩展模型下,可证明该协议是安全的.通过性能分析得出,协议具有很高的效率.     

基于思科路由器的IPS实现

随着网络入侵事件的不断增加和黑客攻击水平的不断提高,传统的防火墙或入侵检测系统（IDS）显得力不从心,这就需要能够检测入侵行为并做出保护的系统来实现网络安全。近年来兴起的入侵防御系统（IPS）就能够实现这样的功能,它根据网络攻击的特征行为定义出相应的特征库,当检测到攻击行为时,便采取定义好的动作来保护网络的安全。低版本的思科路由器不具备IPS功能,高版本的思科路由器IOS中增加了这一功能。文中通过配置思科路由器实现入侵保护,维护网络安全。     

Ad Hoc网络的一种入侵检测模型

对Ad Hoc网络的路由安全性问题进行了研究,提出了一种分布式网络协作入侵检测模型,该模型建立在路由协议之上,针对不同的路由协议,分析其安全漏洞,总结攻击行为的判定规则,进行本地入侵检测;在此基础上,以多点协作的联合检测机制提高检测的正确率;并从节省网络资源的角度对入侵检测模型进行优化配置.以AODV路由协议为例介绍了该模型的工作机制,利用仿真软件NS2搭建网络仿真平台进行仿真实验,结果表明,该检测模型能更好地保障网络安全.     

一种面向MILS的多级安全文件系统的架构设计

提出一种基于MILS(Multiple Independent Levels of Security,多级独立安全)高可靠架构的多级安全文件系统架构。文件系统应用分区与其他分区间的通信采用严格的两级消息处理机制,MMR组件进行消息路由,Guard组件执行安全策略检查。并提出目录视图的概念确保文件对不同等级用户的透明性。     

基于DSA和RSA的证实数字签名方案安全性的实现

一个基于DSA和RSA的证实数字签名方案(WWZ)存在“非零知识性”、“弱不可见性”和“可转移性”安全性缺陷,该方案中作为证实数字签名核心部分的确认与否认协议是不安全的.为此,提出了一种改进的确认与否认协议,改进的协议实现了“零知识证明”和“不可见性”,实现了WWZ方案的安全和有效.     

基于多播技术的分层移动IPv6实现和仿真

通过对分层移动IPv6机制的分析,发现在切换时延和分组丢失率性能方面:当发生微观移动时得到了很大的改善;当发生宏观移动时,性能并没有改变. 针对以上问题研究了一种基于多播技术的分层移动IPv6模型. 在分层移动IPv6的基础上,扩展了路由器周期性通告的包头格式,给出了切换过程的具体操作过程,实现了移动节点的平滑切换,减小了宏观切换过程中的时延. 最后应用网络仿真软件NS-2对扩展的方案进行模拟分析,仿真的结果比较令人满意.     

基于插件技术的网络安全管理架构研究

针对网络安全技术的发展，阐述了构筑网络安全管理平台的重要性，并结合SNMP协议的插件技术的发展现状，给出了一种可伸缩的网络安全管理架构。在该架构中，各种需要管理的安全技术都拥有各自的管理模块对，并且该模块对是易于安装和卸载的。同时，以入侵检测模块对为例，描述了该架构的工作机制和相关技术要点，指出了该架构对SNMP的要求，最后分析了该架构和现有的网络管理体系结构之间的适应性及待解决的问题。