基于社交关系的DHT网络Sybil攻击防御

Sybil攻击通过恶意伪造大量虚假身份,破坏对等网络(P2P)网络中正常节点的寻路过程,是分布式Hash表网络(distributed Hash table,DHT)中主要的安全威胁。该文利用社交网络中社交关系的高可信度以及伪造难度大等特点,设计了Social-DHT方法以缓解DHT网络中Sybil攻击的影响。该方法采用基于社交关系的随机游走策略以构建相对可信的路由表,继而可以有效抵御Sybil恶意节点的影响,实现安全、高效的寻路过程。此外对该方法建立模型,对路由表的可信性和寻路阶段的成功概率进行了理论分析。仿真实验表明:在有10 000条攻击边的情况下节点路由表中Sybil节点比例不超过3%,搜索成功率则能够达到99%,并且在搜索速度和带宽开销等方面优于已有的算法。     

一种安全的云存储数据确定性删除方法

为解决云存储中的过期数据导致敏感信息泄漏的问题,提出了一种安全的数据确定性删除方法.该方法首先对文件F进行AON(All or Nothing)加密,将数据密文CF存储到云中,而将数据密文的存根C0与AON密钥参数一起进行广播加密,并将广播密文通过秘密共享算法分布式存储到DHT(Distributed Hash Table)网络中.DHT网络的动态更新将定期删除其中的广播密文,实现了AON密钥参数和存根C0的自动清除.在安全性方面,AON加密和广播加密使该方法能抵抗针对DHT网络中密钥信息的跳跃和嗅探攻击,以及针对数据密文CF的暴力攻击.     

嵌套式Chord路由系统研究

在P2P网络中,DHT(Distribute Hash Table,即分布式哈希表)在应用层上把所有的节点组织成一个结构化的重叠网络,文件索引分布其中,查询报文将通过这个重叠网络路由.DHT在节点失效、遭受攻击和突发性高负载面前都能表现出很好的健壮性;但是目前DHT还面临许多问题,其中之一就是DHT在初始设计时忽略了参与节点在物理网络上的邻近性,导致重叠网络和物理网络脱节,即DHT未能充分利用底层物理网络的拓扑信息,从而造成实际的寻路效率低下.因为路由算法是DHT的核心,所以提高DHT寻路效率是当前基于DHT的P2P研究的重点,具有很重要的意义.国际上几个研究小组独立地提出了Chord、CAN、Pastry和Tapestry等基于DHT的结构化P2P系统.本文提出了一种构造嵌套式Chord的方案,既改进了寻路效率又保持了原有DHT系统的负载平衡性质.该方案具有完全分布式的特点.利用这种思想对Chord进行了改进,构造了嵌套式Chord.仿真的结果证明了该方案的有效性.     

MD5的安全性分析

Hash函数可以直接应用于数据的完整性检测,并且是许多密码体制和安全协议的安全保证,本文讨论了MD5的基本设计原理及相关的碰撞攻击,指出了其存在的安全性漏洞。     

OHNN新的分组Hash算法

在Hash函数算法的研究设计过程中,引入混沌系统理论,探索研究基于混沌动力学的Hash函数算法.将分段线性混沌映射和过饱和的Hopfield神经网络(OHNN)进行结合,提出一种基于混沌动力理论的单向Hash函数构造方法.对算法进行仿真和测试,从不同方面分析验证所提新的算法满足Hash算法的性能指标.安全性分析表明:该算法能抵抗多种碰撞和统计分析的攻击,具有很好的安全性能.     

基于Hash链的SIP服务实时支付方案

针对已有SIP(session initiation protocol)服务支付方案的缺陷,提出了一种基于Hash链的SIP服务实时支付方案——SIPCoin。SIPCoin充分利用了Hash链高效、不可逆的良好特性,通过对SIP协议的简单扩展和一个根据标准设计的新的支付消息流程,将基于Hash链的微支付机制和SIP会话的建立、管理流程有机结合起来,可实现安全的SIP服务实时支付。分析表明,相比已有的SIP服务支付方案,SIPCoin不仅具有高效、实时和可扩展的良好性能,而且支持电子货币防伪等安全特性,可抵御SIP服务支付中常见的重放攻击和中间人攻击等。     

一种改进的基于Arnold映射的Hash加密算法

Arnold映射Hash加密算法是一种二维混沌系统与hash函数相结合的加密方法,一般以Arnold映射的初值、迭代次数、Hash值的编成方法、Hash值的位数等作为加密密钥。由于该算法的不可逆性,使由密文到明文的逆向攻击失效,但明文和选择性明文攻击仍对该算法有一定的攻击效果。为更加有效地抵御各类明文、选择性明文的攻击,本文对该加密算法的Arnold映射初值、迭代次数等2个关键密钥进行改进,通过增加Arnold映射初值的个数,以及将迭代次数从常量拓展到变量的方法,构造出一个增强的Arnold映射Hash加密算法,从而进一步增加保密强度,提高Arnold映射Hash加密算法对明文、选择性明文攻击的抵抗能力。通过对实验数据的混乱与散布性质分析,改进后的Arnold映射Hash加密算法的平均变化位数和每位平均变化概率更加接近理想状况下的64位和50%的变化概率,算法的保密性能更加良好。     

基于AES的双倍长度Hash函数

MD5和SHA1相继被攻击后,Hash函数常用的MD设计方法已经不能满足现实的安全性需求,人们纷纷转而研究基于分组密码的Hash函数,Whirlpool就是其中一个很好的代表.这里参照Whirlpool,在分析近来提出的新的攻击方法的基础上构建了一个基于AES的双倍长度Hash函数DH,它产生512位散列值,安全性为Ω(2220).     

一种改进的基于Arnold映射的Hash加密算法

Arnold映射Hash加密算法是一种二维混沌系统与hash函数相结合的加密方法,一般以Arnold映射的初值、迭代次数、Hash值的编成方法、Hash值的位数等作为加密密钥.由于该算法的不可逆性,使由密文到明文的逆向攻击失效,但明文和选择性明文攻击仍对该算法有一定的攻击效果.为更加有效地抵御各类明文、选择性明文的攻击,本文对该加密算法的Arnold映射初值、迭代次数等2个关键密钥进行改进,通过增加Arnold映射初值的个数,以及将迭代次数从常量拓展到变量的方法,构造出一个增强的Arnold映射Hash加密算法,从而进一步增加保密强度,提高Arnold映射Hash加密算法对明文、选择性明文攻击的抵抗能力.通过对实验数据的混乱与散布性质分析,改进后的Arnold映射Hash加密算法的平均变化位数和每位平均变化概率更加接近理想状况下的64位和50％的变化概率,算法的保密性能更加良好.     

完整轮数的SHA－1差分路径寻找算法研究

基于LFSR消息编排的Hash函数目前应用广泛,典型的例子就是SHA－1．SHA－1是由美国国家标准技术研究所在1995年发布的Hash函数标准,该算法采用了Merkle－Damagard结构．笔者研究了王小云对SHA－1的攻击思想,详细分析了该攻击思想的原理、方法和实现思路,对其进行了改进和补充,给出了较多的候选干扰向量,为基于线性反馈移位寄存器进行消息编排的Hash函数的碰撞攻击提供了科学的理论依据．     

基于信任向量的P2P网络信任管理模型

为了解决由于P2P开放、匿名和高度动态的特性而容易受到攻击并被攻击者用来散布恶意信息的问题,需要建立P2P节点间的信任关系,提出一种TPP(trust in peer to peer)方案。该方案中每个节点通过计算被查询节点信任值的方式,使用信任向量建立本地信任表,并提交对另外节点的评价以建立全局可信表,最终建立一个信任网络。模拟结果表明TPP比其他模型的交易成功率高,而通信和计算资源开销小,且能够很好地解决冒名、协同作弊以及"搭车行为"等安全问题。通过建立TPP模型,P2P网络有更强的健壮性和可扩展性,安全性提高,易于建立更加可信的网络。     

基于信任向量的P2P网络信任管理模型

为了解决由于P2P开放、匿名和高度动态的特性而容易受到攻击并被攻击者用来散布恶意信息的问题,需要建立P2P节点间的信任关系,提出一种TPP(trust in peer topeer)方案。该方案中每个节点通过计算被查询节点信任值的方式,使用信任向量建立本地信任表,并提交对另外节点的评价以建立全局可信表,最终建立一个信任网络。模拟结果表明,TPP比其他模型的交易成功率高,而通信和计算资源开销小,且能够很好地解决冒名、协同作弊以及"搭车行为"等安全问题。通过建立TPP模型,P2P网络有更强的健壮性和可扩展性,安全性提高,易于建立更加可信的网络。     

基于主题划分的搜索策略设计与研究

在P2P网络结构中,提出一种基于主题划分的搜索策略(TONS),该策略基于主题将网络中的节点层次化、形成叠加网络.具体查询算法包括基于DHT的非结构化P2P网络和基于主题划分的叠加网络搜索索引结构.实验结果表明:包含相似主题的节点联系在一起,这样就能够确保将搜索局限在仅与查询主题相关的节点子集中.该策略为基于分布式哈希表的P2P系统提供了一种可满足复杂查询条件、部分匹配搜索数据要求的有效途径.     

基于DHT的结构化P2P覆盖网络算法分析

目前P2P覆盖网络应用十分广连,关于覆盖网的研究已成为当前网络技术研究领域的热点。关于覆盖网络相应的路由算法在不断发展和完善,先后提出了集中目录式的算法和分布式查找算法。针对基于DHT的覆盖网络算法进行介绍和分析,并指出该领城的最近研究趋势。     

基于遗传神经网络的入侵检测方法研究

入侵检测作为一种动态的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。作者提出了一个基于遗传神经网络的入侵检测方法,采用遗传算法和BP神经网络相结合的方法遗传神经网络应用于入侵检测系统中,解决了传统的BP算法的收敛速度慢、易陷入局部最小点的问题。研究表明,该方法效果良好,学习速度快,分类准确率高。     

DPSK和NRZ调制信号对透明光网络中的大功率串扰攻击容忍度研究

透明光网络受到越来越多的关注,已成为未来网络发展的一大趋势。然而,网络的透明性也带来了光层攻击的隐患,例如大功率的攻击信号可以利用带内串扰效应对网络实施攻击行为。由于差分移相键控(differential phase-shift-keying,DPSK)对带内串扰具有较好的容忍度,因此对它能否抵抗大功率带内串扰攻击进行了探讨。通过在VPI仿真软件上搭建光通信系统,并检测信号的BER,发现DPSK对带内串扰攻击的容忍度比不归零码（non-return-zero,NRZ）高9 dB,可见其具有更强的抗攻击能力。     

一种基于bot优先抽样的P2P botnet 在线检测技术

僵尸网络利用高效灵活的一对多控制机制,为攻击者提供了储备、管理和使用网络攻击能力的基础架构和平台,已成为当前Internet最严重且持续增长的安全威胁之一。为满足在高速网络实时检测P2P僵尸网络的需求,提出了一种基于bot优先抽样的在线检测技术。该方法利用bot优先的分级算法和基于优先级的包抽样算法,使得检测系统能够高效利用计算资源,在整体抽样率有限条件下,优先对疑似P2P僵尸通信数据包进行抽样,并使用流信息重构技术和流簇分析技术对抽样包进行统计分析来发现P2P僵尸主机。实验结果表明,所提出的在线检测技术能够有效提高对疑似P2P僵尸网络流量亚群的包抽样率,具有良好的在线检测效率和P2P僵尸检测命中率。     

DSA数字签名的安全性分析

针对目前已知的主要安全攻击直接求取私钥攻击、穷搜索攻击、生日攻击、已知消息的伪造攻击等,对DSA(Digital Signature Algorithm)的安全性进行分析,给出了各种攻击方法需完成的计算。结果表明,其计算量等价或难于求解离散对数问题,一定程度地呈现了DSA的安全强度。指出了DSA可能的弱点存在于随机数 k、与消息无关的签名r、公共模数p与q、Hash函数等处,并给出了相应的解决方案。设计好的随机数生成器选择适宜的随机数,避免低指数和相同随机数攻击;合理选择模p的长度可抵抗共r攻击;在对安全强度要求高而运算速度要求相对较低时,使用DSA素数作为共享模数;使用消息摘要足够长的SHA(Secure Hash Algorithm),以保证内嵌Hash函数的安全。     

A P2P load balancing-supported ID management algorithm

Load balancing is a critical issue in peer-to-peer networks. DHT (distributed hash tables) do not evenly partition the hash-function range, and some nodes get a larger portion of it. The loads of some nodes are as much as O(log n) times the average. In this paper, a low-cost, decentralized algorithm for ID allocation with complete knowledge in DHT-based system is proposed. It can adjust system load on nodes’ departure. It is proved that the ratio of longest arc to shortest arc is no more than 4 with high probability when network scale increases non-strictly. When network scale decreases from one stable state to another, algorithm can repair the unevenness of nodes distribution. The performance is analyzed in simulation. Simulating results show that updating messages only occupy a little of network bandwidth.     

以黑白名单建构P2P SIP网络电话的语音广告防堵系统

随着Internet的发展,未来的电信网络将是基于IP技术的网络,而SIP是现代网络标准组织所建议的语音、视频多媒体控制协议的首选.近来发生的SIP攻击事件,使SIP安全性议题浮上台面.将P2P的观念套用到传统的SIP架构上,以期减少传统的SIP架构被攻击之风险.但网络电话的弱点还是会出现在新一代P2P SIP的架构上,如:垃圾广告语音(Spaminternet telephony,SPIT)的插入,由于SPIT问题与通信架构无关,可能会形成垃圾短信泛滥的问题.为此本研究透过P2P SIP架构,建置适合此模式下的网络语音广告防堵系统,可在P2P动态环境下,进行黑白名单同步更新与维护管理.