认知认证机制的安全性分析与研究

基于挑战响应协议的认知认证方案仅仅依赖于用户的认知能力,无需任何外界计算设备和加密算法,但存在一些缺陷,使用SAT solver方法构造攻击过程,证明该方案对于窃听攻击是不安全的。     

基于Agent的安全协议对抗Ad Hoc网络下的拒绝服务攻击

拒绝服务攻击是AdHoc网络安全领域中的难题,本文提出一种新型的基于Agent的安全路由协议,Agent可根据其邻节点的可信度定期更新以适应AdHoc分布式路由计算环境,有效提高网络的可信性,降低网络安全计算的复杂度;根据拒绝服务攻击的特征抽取出Agent安全规则与检测算法.采用NS2网络模拟器的仿真结果表明,该方法能有效的检测出拒绝服务攻击并进行及时响应,使网络性能迅速恢复正常.     

IKE协议认证方式分析和改进

IKE协议作为IP Sec协议组的重要组成部分,在保证因特网的安全通信方面起着重要的作用。在分析IKE协议定义认证方式及其改进方案的基础上,我们对基于IKE协议抵御拒绝服务攻击的认证方式改进作了进一步的探讨。     

基于ECC的轻量级射频识别安全认证协议

针对基于椭圆曲线密码体制(ECC)的射频识别安全认证协议无法抵制服务器假冒攻击的的问题,对认证过程进行改进,设置用于实现标签对服务器认证的环节,提出基于ECC的轻量级射频识别安全认证协议.改进后的方案满足抗服务器假冒攻击、抗标签假冒攻击等各项射频识别认证协议的安全特性.计算及通信开销分析表明:该协议在提供更高的安全性的同时能很好地应用于资源受限的射频识别认证.     

IDE协议人证方式分析和改进

IKE协议作为IP Sec协议组的重要组成部分，在保证因特网的安全通信方面起着重要的作用。在 分析IEK协议定义认证方式及其改进方案的基础上，我们对基于IKE协议抵御拒绝服务攻击的认证方式改进作了进一步的探讨。     

一种抗DoS攻击的密钥交换协议

对meCK模型进行了扩展, 增加了抵抗拒绝服务(DoS)攻击的能力。提出了一种抵抗拒绝服务攻击的密钥交换协议并分析了协议的各种安全属性。通过分析发现所给协议不但满足一般的安全需求而且具有抵抗拒绝服务攻击安全性以及抵抗临时密钥泄露安全性, 与同类协议DoS-CMQV 相比较, 在保持相等通信与计算效率的同时具有更强的安全性。     

基于双线性对的域间认证与密钥协商协议

结合代理签名和签密方案的特点,以双线性对为工具,设计了一个域间电子商务的认证与密钥协商协议。该协议能够实现移动用户与服务提供商之间的双向认证和移动用户的匿名性,并且会话密钥保持了新鲜性,做到一次一密钥,保证了协议的公平性和实用性,能够克服重放攻击、拒绝服务攻击、中间人攻击和密钥泄漏假冒攻击。     

对一个多服务器环境下三因子认证协议的分析与改进

对Lwamo等提出的一个多服务环境下具有匿名性的认证协议进行了安全性分析,发现该协议无法抵抗拒绝服务攻击、智能卡被盗攻击和用户伪造攻击等.并且,针对这些安全漏洞分别给出相应改进措施.     

增强型匿名RFID双向认证协议eARAP的设计与分析

对匿名RFID身份认证协议(ARAP)进行了深入分析,指出其存在无法抵抗假冒攻击、多标签冲突和阅读器功能受限等三方面的缺陷,提出相应的改进协议e ARAP,并对e ARAP协议进行了严格的形式化分析和安全性能分析。结果表明:e ARAP协议能够达到预期的认证目标,能够抵抗假冒、拒绝服务等诸多攻击,安全性能有所增强,且协议执行的计算量明显减少,具有较高的可行性。     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

一种融合Cookie和Puzzle抵御DoS攻击的方法

在Cookie机制和Client Puzzle方法的基础上,提出一种身份检查方案,在Cookie中嵌入Puzzle,应用MD5算法,可以在不改变系统结构和运行平台的前提下对网络协议进行安全改进.分析和实验说明,方案能够增强网络协议防御DoS攻击的能力。     

一种增强的极轻量RFID安全认证协议研究

由于低成本的RFID标签运算能力有限,它无法支持复杂的密码算法,因此设计轻量级的安全协议尤为重要.URAP是一种基于简单位运算的极轻量级安全协议,兼有安全与隐私保护.本文详细分析了URAP协议的安全性问题,并对它做出了改进,通过增加标签端的随机数R1与阅读器的识别码RID来保护信息的传送,避免了拒绝服务攻击、完全泄露攻击与追踪攻击,有效地提高了RFID应用的安全性.     

拒绝服务攻击分析与解决方案研究

随着网络技术和网络应用的发展,网络安全问题显得越来越重要。拒绝服务攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。从原理、产生的原因等方面对拒绝服务攻击进行了分析,提出了预防攻击、加固操作系统、配置正确路由器和防火墙等多重防范措施。     

无线Mesh网络中多服务器的门限认证系统构建

 在无线Mesh网络中,传统的集中式AAA认证模式很容易由于遭受DOS攻击或者被恶意者的破坏而导致服务瘫痪,为了解决该问题,基于Asmuth-Bloom门限机制,提出了多服务器的无线Mesh网络门限认证系统模型,设计了具体的无线接入和认证流程。在该系统中,只有认证服务器组中的成员才可以执行有效的认证过程,同时,只有当认证服务器组中的n个服务器中有不少于t个服务器才能恢复共享密钥K,这样可以避免假冒攻击和防止单个服务器被攻陷。分析结果表明,通过所计设的门限认证系统,保证了接入认证过程的有效性,提高了系统的安全性能,为无线Mesh网络的接入认证提供了一条有效解决思路,具有较高的实际应用和参考价值。     

基于Cookie的单点登录认证机制实现

为解决企业内各系统登录方式的问题,分析对比了单点登录技术各方案的优缺点,提出了基于Cookie的单点登录认证机制,并通过对Cookie机制的认证方式、跨域的解决、安全性等方面的研究,实现了单点登录.     

DDoS客服协同防御机制研究

为了抵御分布式拒绝服务攻击(DDoS),文章提出了从傀儡机和服务器端进行协同防御的机制,对于面向无连接的攻击,主要在傀儡机端进行主动检测防御,对于面向连接的攻击,采用客服协同的SYN Cookie技术,从而主动有效地防御攻击DDoS;仿真测试结果验证了该机制的有效性.     

网络化系统安全态势评估的研究

针对当前网络安全评估系统不能提供有用态势信息的缺陷,利用入侵检测系统的日志库,结合服务、主机自身的重要性及网络系统的组织结构,提出了采用自下而上、先局部后整体评估策略的层次化安全态势定量评估模型及其相应计算方法.该方法在攻击频率及攻击严重性的统计分析基础之上,利用服务和主机自身的重要性因子进行加权,计算网络系统内服务、主机以及整个网络系统的风险指数,进而评估分析安全态势.通过使用HoneyNet数据进行实验测试表明,该模型能够准确评估服务、主机和网络系统3个层次的安全态势,给管理员提供直观的安全态势曲线.     

Smurf攻击及其对策研究

Smurf攻击为DDoS攻击中较为常见的一种。该攻击方式利用TCP／IP协议自身的缺陷，结合使用IP欺骗和ICMP回复方法，使网络因响应ICMP回复请求而产生大量的数据流量，导致网络严重的拥塞或资源消耗，引起目标系统拒绝为合法用户提供服务，从而对网络安全构成重大威胁。该文在分析了这种攻击实施的原理的基础上，提出这种攻击的检测方法和防范技术。     

抵御无线传感器网络中的重放攻击

分析当前无线传感器网络中抵御拒绝服务攻击的各种方案,分别存在安全性不强、误差较大、能耗较高,以及内存需求较大等问题。这些方案不适合安全性要求较高但资源严格受限的传感器节点。提出一种轻量注册认证算法,该算法采用移位加密技术,通过＂注册-查询＂机制,抵御重放攻击,确保网络的基本安全。通过仿真实验,证实该算法在存在较多恶意节点情况下,仍具有较高的认证率和数据新鲜性,并与其它方案在网络能耗方面进行对比,也显示出明显的优势。