基于排队论的SIP DoS攻击防御机制的研究

随着SIP协议的广泛应用,协议自身的安全问题逐渐显露出来,尤其以DoS攻击最为严重。研究了NGN中DoS攻击防御机制,给出了基于排队论的DoS攻击数学分析模型,接着设计出一种SIP DoS攻击防御方案,最后对防御机制的性能进行了仿真分析。     

链路洪泛攻击的SDN移动目标防御机制

针对Crossfire分布式拒绝服务(distributed denial of service,DDoS)攻击,该文提出一种基于软件定义网络(software defined network,SDN)的攻击防御机制。在对Crossfire攻击分析基础上,设计一个SDN流量层级的集中监测及分流控制模型并部署到防御机制中,利用SDN的重路由策略疏解被攻击链路的拥塞负载,通过对流量的灵活调度缓解拥塞并避免关键链路中断对网络业务造成严重干扰。利用SDN的移动目标防御(mobile target defense,MTD)机制动态调整网络配置和网络行为并诱使攻击者对攻击流量进行调整,提高诱饵服务器对攻击的检测效率。实验结果表明:该机制可以有效防御Crossfire攻击且SDN的防御机制和重路由策略不会造成显著开销。     

基于不完全信息静态博弈的DDoS防御机制评估方法研究

根据DDoS攻击和防御行为本身所具有的博弈性质,利用不完全信息静态博弈理论对DDoS攻防行为进行建模,提出了一种基于不完全信息静态博弈的DDoS防御机制评估方法,并用该方法对DDoS防御机制进行评估研究,利用仿真软件进行模拟实验,验证了该方法的适用性和有效性。     

基于IB-mRSA的网上银行认证请求方案

为了保证客户在线交易的安全性,增强客户对网上银行交易安全的信任,将基于身份的加密机制和基于部分受信任的RSA算法相结合,提出了一种改进的基于身份部分受信任的RSA公钥加密算法(IBmRSA)的网上银行认证请求方案。该方案提出部分受信任的RSA算法的基本原理是将RSA算法的私钥进行分割,任意一个用户都不能解密信息,主要包括初始化阶段、密钥生成、加密和解密4个算法。通过对改进方案进行安全性分析,发现该方案能够有效抵抗中间人攻击和拒绝服务(DoS)攻击,还能够保护在线交易的机密性、完整性和认证性。     

DDoS客服协同防御机制研究

为了抵御分布式拒绝服务攻击(DDoS),文章提出了从傀儡机和服务器端进行协同防御的机制,对于面向无连接的攻击,主要在傀儡机端进行主动检测防御,对于面向连接的攻击,采用客服协同的SYN Cookie技术,从而主动有效地防御攻击DDoS;仿真测试结果验证了该机制的有效性.     

新的不可否认门限代理签名方案

对文献的门限代理签名方案进行了密码分析,发现该方案不能抵抗内部攻击和公钥替换攻击.提出了一个新的安全高效的不可否认门限代理签名方案,新方案克服了原方案的缺点,不仅能够抵抗内部攻击、公钥替换攻击和合谋攻击,而且满足安全门限代理签名方案的安全要求,可以在公开信道中进行.     

可证安全的无证书代理重签名方案

结合代理重签名体制的特征和无证书公钥密码系统的优点,提出了一种无证书的代理重签名方案,并研究了新方案的一种典型应用场合.该方案采用了无证书公钥密码体制,解决了基于证书方案的证书管理问题和基于身份方案的密钥托管问题.结果表明:该方案具有无证书密码体制和代理重签名体制的双重优点,不仅满足代理重签名所要求的安全性,而且避免了替换公钥攻击和恶意KGC(key generation center)攻击,具有更高的安全性.     

地理位置路由中基于信任的安全模型

针对无线传感器网络中地理位置路由易于受到的虚假路由信息、选择性转发、女巫等多重安全威胁,提出一种基于信任的多重攻击防御安全模型.考虑传感器节点资源受限的特性,通过一定时间内数据报的确认信息代替耗能的监听机制,使用Dirichlet分布函数计算路径上邻居节点的可靠性,并结合地理位置路由中的代价作出路由选择.同时,初始信任被动态决定,按照信任值划分服务等级以限制恶意节点的请求.仿真结果及分析表明,在多重攻击下该模型比已有模型在成功转发率、网络生命周期方面有较大的提高.     

基于StackSF的DDoS攻击和IP欺骗新型防御机制

针对互联网上的主机正面临着IP欺骗和大规模分布式拒绝服务(DDoS)攻击威胁,提出一种新的防御机制——StackSF.该机制不同于以往的方法,它是通过数据包标记和临界过滤器分析每个数据包的信息内容,过滤掉攻击数据包并检测出遭受欺骗的源IP地址.同时,还可以防御各种方式的IP欺骗的攻击.     

一种新的前向安全无证书签名方案的设计

针对无证书签名的密钥泄露问题研究出一种新的前向安全无证书签名方案。本方案主要通过定期更新用户的秘密值来提高前向安全性,与此同时保留了 KGC 文件生成用户公开公钥的特点来避免不诚实 KGC 文件中公钥与攻击替换的可能。在安全性分析中可见,该技术具备了较好的前向安全性,可有效辨别 KGC 文件的不诚实性行为,并防御不诚实 KGC 文件下的公钥替换攻击。     

ePUF: A Lightweight Double Identity Verification in IoT

Remote authentication is a safe and verifiable mechanism.In the Internet of Things (loT),remote hosts need to verify the legitimacy of identity of terminal devices.However,embedded devices can hardly afford sufficient resources for the necessary trusted hardware components.Software authentication with no hardware guarantee is generally vulnerable to various network attacks.In this paper,we propose a lightweight remote verification protocol.The protocol utilizes the unique response returned by Physical Unclonable Function (PUF) as legitimate identity basis of the terminal devices and uses quadratic residues to encrypt the PUF authentication process to perform a double identity verification scheme.Our scheme is secure against middleman attacks on the attestation response by preventing conspiracy attacks from forgery authentication.     

基于Agent的安全协议对抗Ad Hoc网络下的拒绝服务攻击

拒绝服务攻击是AdHoc网络安全领域中的难题,本文提出一种新型的基于Agent的安全路由协议,Agent可根据其邻节点的可信度定期更新以适应AdHoc分布式路由计算环境,有效提高网络的可信性,降低网络安全计算的复杂度;根据拒绝服务攻击的特征抽取出Agent安全规则与检测算法.采用NS2网络模拟器的仿真结果表明,该方法能有效的检测出拒绝服务攻击并进行及时响应,使网络性能迅速恢复正常.     

Ad Hoc中基于双线性对和证书的组密钥管理协议

针对当前多数分布式组密钥管理协议不能提供密钥认证及不能抵御主动攻击的安全问题,设计了满足认证性的CBPSTR(certificate- owned and bilinear pairing- based STR)协议.该协议采用特殊的三叉密钥树结构,结合STR和TGDH协议并引入证书和双线性对密码体制.CBPSTR协议包括6个子协议:建立多播组、成员加入、成员离开、合并多播组、拆分多播组和更新组密钥.安全性分析表明CBPSTR协议在计算上是安全的.与STR协议进行比较,CBPSTR协议具有较低计算和通信代价.由于具有成员间的认证性,CBPSTR能抵抗中间人攻击、密钥泄漏假冒攻击和未知密钥共享攻...     

多点协作复制攻击检测研究

在实际应用中,许多无线传感器网络是一个多功能的异构网络,同时存在静态网络和移动网络,这对节点复制攻击检测是一个极大的挑战。利用静态网络和移动网络相互协作实施检测,提出一种协作式检测方案,实现了节点复制攻击的检测与防御。通过实验对方案中的静态网络检测的密钥对预分配方案(PTPP)和移动节点复制攻击检测的协作式检测方案(CCD)进行了验证。分析表明,该方案具有较好的安全性和可以接受的成本和开销,是一种实用的异构无线传感器网络的节点复制攻击检测方案。     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

一种提高Kerberos协议安全性能的策略

本文研究Kerberos协议,分析了Kerberos认证机制的利弊,ECC算法的优点,提出了改进的Kerberos安全身份认证机制,将ECC算法嵌入到Kerberos认证过程中,解决了Kerberos协议中存在的口令猜测攻击和重放攻击问题,使Kerberos认证机制安全性能有很大的提高。     

An Improved vTPM-VM Live Migration Protocol

To prevent malicious virtual machine from harming the security of vTPM-VM live migration process, we propose an improved vTPM-VM live migration protocol which uses a TPM-based integrity verification policy and a specific encryption scheme to enhance security. The TPM-based integrity verification policy is presented to ensure that all participating entities in this process are trustworthy. In data transfer phase, the specific encryption scheme is designed to associate the decipher process with one certain platform status so that only the destination platform can gain the key data of the migrated VM and vTPM instance. The security of this new protocol is analyzed. The results show that this protocol can effectively resist most of the attacks in the process of vTPM-VM live migration.     

构建基于Snort的入侵检测系统

Snort是一个强大的轻量级的网络入侵检测系统。它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配。它能够检测各种不同的攻击方式,对攻击进行实时报警。介绍了一个使用Snort,PostgreSQL数据库,Apache,PHP,ACID和Razorback搭建入侵检测系统的解决方案。     

基于口令的高效语义安全的密钥交换

仅借助Hash函数和异或运算,构造了一种高效、可证明安全的基于口令的密钥交换协议.在随机预言模型下,该协议的安全性可紧致归约到计算Diffie-Hellman难题上,从而证明该协议是语义安全的,并能对抗离线字典攻击.最后,与同类协议相比,该协议显示出更高的执行效率与通信效率.