抗共谋攻击的多方量子密钥协商协议

Wang等基于四量子比特对称W态提出/了多方量子密钥协商协议(MQKA2018W协议),通过分析和证明MQKA2018W协议的安全性，发现该协议无法抵抗参与者的共谋攻击，即2个不诚实的参与者可以通过共谋的方式窃取到其他诚实参与者的密钥信息.针对MQKA2018W协议中存在的这个安全性问题，可增加一个半可信的第三方服务器改进MQKA2018W协议，并提出一个能抵抗参与者共谋攻击的安全的多方量子密钥协商协议.综合分析表明，改进协议具有正确性、公平性和隐私性，且能安全抵抗内部攻击和外部攻击.     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

对一个多服务器环境下三因子认证协议的分析与改进

对Lwamo等提出的一个多服务环境下具有匿名性的认证协议进行了安全性分析,发现该协议无法抵抗拒绝服务攻击、智能卡被盗攻击和用户伪造攻击等.并且,针对这些安全漏洞分别给出相应改进措施.     

一种基于椭圆曲线自双线性映射的多秘密共享方案

分析了Duo Liu等人提出的基于椭圆曲线自双线性映射的多秘密共享方案,发现该方案易遭受分发者/参与者欺诈攻击和广播窃听攻击,并依赖安全信道;提出了一种基于单向散列函数、密钥协商协议和动态多方Deffie-Hellman协议的改进方案,改进方案能抵抗分发者/参与者欺诈攻击和广播窃听攻击,并使方案摆脱对安全信道的依赖.最后对改进方案的安全性进行了分析.     

改进的三方量子秘密共享协议

针对Tan等人的三方量子秘密共享协议不能抵抗不可见光子特洛伊木马和延迟光子特洛伊木马攻击的缺点,提出了一个改进的三方量子秘密共享协议,该协议利用Bell态和幺正变换实现了三方的秘密共享。安全性分析表明,改进的协议不但能抵抗参与者攻击和一般的外部攻击,而且能抵抗2种特洛伊木马攻击,并有较高的量子比特效率。     

密码协议中重放攻击的研究

首先从协议层次和攻击层次对密码协议中重放攻击进行分类,然后对重放攻击成功时协议存在的缺陷进行分析,能够更清楚地认识到重放攻击的原理和本质,并给出了重放攻击检测一般方法和防范的策略,这既为协议设计者提高密码协议的安全性起借鉴作用,也能够进一步完善一些协议分析工具的设计,具有一定的实际应用价值。     

抵抗基于长度攻击的方法

提出了改进的Thompson群上的密钥交换协议,对字的生成过程进行控制,并设计实验证明了其拥有更强的安全性,可以抵御基于长度的攻击算法.由于基于长度的攻击在其他非交换群上的应用类似,该改进方法对其他非交换群上的密钥交换协议也同样适用.     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

AODV路由协议安全性改进与GloMoSim仿真

AODV(Ad hoc on-dem and d istance vector)路由协议效率高,控制开销小,操作简单,但本身没有任何安全机制,对安全性攻击尤其是黑洞攻击表现脆弱。针对该问题,文中在详细分析了AODV路由协议的运行原理和数据黑洞攻击问题实质的基础上对AODV协议进行了改进。利用G loMoS im仿真工具对改进的AODV路由协议进行了仿真实验,结果表明,该方案可以有效的解决数据黑洞攻击问题,同时不会过多地增加时延和协议开销。     

一种实用的WTLS握手协议

目的为解决目前WTLS协议中缺乏前向安全性、无法抵抗中间人攻击的问题。方法设计了一种实用的XTR体制上的WTLS握手协议,并在MSM6250平台上进行实验。结果有效地解决了几种安全问题并实验验证了该协议在MSM6250平台上的可行性。结论WTLS协议的安全性和实用性大大加强。     

基于思科路由器的IPS实现

随着网络入侵事件的不断增加和黑客攻击水平的不断提高,传统的防火墙或入侵检测系统（IDS）显得力不从心,这就需要能够检测入侵行为并做出保护的系统来实现网络安全。近年来兴起的入侵防御系统（IPS）就能够实现这样的功能,它根据网络攻击的特征行为定义出相应的特征库,当检测到攻击行为时,便采取定义好的动作来保护网络的安全。低版本的思科路由器不具备IPS功能,高版本的思科路由器IOS中增加了这一功能。文中通过配置思科路由器实现入侵保护,维护网络安全。     

基于排队论的SIP DoS攻击防御机制的研究

随着SIP协议的广泛应用,协议自身的安全问题逐渐显露出来,尤其以DoS攻击最为严重。研究了NGN中DoS攻击防御机制,给出了基于排队论的DoS攻击数学分析模型,接着设计出一种SIP DoS攻击防御方案,最后对防御机制的性能进行了仿真分析。     

有效的多协议攻击自动化检测系统

针对当前计算机网络中多个安全协议并行运行时可能出现的多协议攻击问题,提出了一个多协议攻击自动化检测系统(ADMA)。该系统由协议搜索子系统和攻击确认子系统两部分组成,其中协议搜索子系统根据多协议攻击中目标协议与辅助协议加密消息类型一致性条件,自动化搜索可能对目标协议构成威胁的候选辅助协议。攻击确认子系统通过改进的SAT模型检测方法,自动化确认目标协议与候选辅助协议是否存在多协议攻击。试验结果表明,ADMA系统能够实现多协议攻击自动化检测,并且检测中发现了新的多协议攻击。     

An Improved Model of Attack Probability Prediction System

This paper presents a novel probability generation algorithm to predict attacks from an insider who exploits known system vulnerabilities through executing authorized operations. It is different from most intrusion detection systems （IDSs） because these IDSs are inefficient to resolve threat from authorized insiders. To deter cracker activities, this paper introduces an improved structure of augmented attack tree and a notion of ＂minimal attack tree＂, and proposes a new generation algorithm of minimal attack tree. We can provide a quantitative approach to help system administrators make sound decision.     

两个标准模型下签名方案的密码学分析

为了分析和设计标准模型下安全的签名方案, 避免签名方案的设计中出现类似的安全性问题。 通过对标准模型下的无证书签名方案和前向安全的基于证书签名方案的分析, 发现该签名方案容易受到替换公钥攻击和后门攻击, 攻击者可以对任意的消息产生一个有效签名。 对这些攻击给出了具体分析, 同时探讨了克服这类攻击的方法。 研究结果表明, 这些攻击方法对于同类签名的分析与设计有借鉴意义。     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

时空混沌自同步流密码系统的选择密文攻击

密码系统是否保密在于它能否抵御所有已知的攻击方法,如果利用所有的攻击方法获取系统密钥所花的代价都不比穷尽搜索攻击方法所花的代价低,而实际的计算资源和可用来计算的时间又不可能承受穷索密钥的任务,那么这个密码系统是实际保密的.我们用分类中最强的选择密文攻击对时空混沌自同步流密码系统进行了分析,结果表明,即使在最弱密钥条件下,选择系统抵抗力最弱的常数密文驱动攻击所花的计算代价仍然远远高于穷尽搜索攻击的代价,因此,本时空混沌密码系统是一个具有实际保密性的密码系统.     

基于动态密钥的SIP授权认证机制的设计与实现

会话初始化协议（ SIP）广泛应用在嵌入式移动终端设备中,但由于SIP协议本身特点使得其在复杂、开放的网络应用环境中容易被攻击者模仿、篡改。虽然已经提出了很多增强SIP协议安全性的认证机制,但由于认证过程计算性能消耗大,不适合在嵌入式设备中使用。在传统Http认证的基础上,提出了一种基于动态密钥的认证机制,以较低的计算代价改进了SIP协议的安全性,对SIP协议在嵌入式设备中普及有一定的实用价值。