密码攻击ALT算法

本文提出了密码攻击ＡＬＴ＾＋算法，它可成功地对有限自动机公开钥密码的ＦＡＰＫＣ０方案的加密与签名功能进行攻击且算法的结构比密码攻击Ａ算法简洁。     

公开密钥基础设施(PKI)核心——签证机关(CA)

随着电子商务时代的来临,ＰＫＩ技术正逐渐成为计算机网络安全的主角,本文ＰＫＩ核心ＣＡ出发,总结了国内外ＰＫＩ的发展,并给出了代表性的体系结构。建立ＣＡＤ和ＰＫＩ是一个复杂的系统工程,本文最后探讨了建立ＣＡ必须解决的问题。     

矩阵多项式的几种特殊分解

在对有限自动机公开钥密码（ＦＡＰＫＣ）的分析中也提出了矩阵多项式的分解问题,本文研究几种特殊分解,即线性ＲａＲｂ变换导出的分解、化标准对角形导出的两种分解、线性本原分解和左本原分解。文中讨论了这些分解的关系,讨论了积Ｂ（λ）Ａ（λ）与Ａ（λ）的分解间的关系。最后,论述了这些结果在ＦＡＰＫＣ分析上的应用和意义。     

网络安全与代理技术

Ｉｎｔｅｒｎｅｔ的 ＴＣＰ／ＩＰ协议缺乏有效的安全机制,极易受到各种攻击。中心分别基于公钥基础设施 ＰＫＩ（ＰｕｂｌｉｃＫｅｙ Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ）和Ｋｅｒｂｅｒｏｓ协议为园区网环境设计并开发了两个安全系统平台,该文主要描述这两平台的安全代理,文章将说明使用代理机制可以灵活且透明地实现网络应用的安全化。文章最后还讨论了ＷＷＷ的安全方案。     

对基于TCP/IP协议的几个网络安全问题的分析与讨论

从对ＴＣＰ／ＩＰ协议的分析出发;针对ＴＣＰ／ＩＰ协议本身存在的安全隐患,讨论了几种可能的攻击策略;并给出了针对这些攻击的一些防范措施,为基于ＴＣＰ／ＩＰ协议的网络安全建设提供了建设性的参考．     

数量关联规则发现中的聚类方法研究

应用聚类方法研究了数量关联规则提取过程中的连续属性离散化问题,由于现存的方法倾向于将支持度较高的区域划分为多个区间,对高偏数据效果不理想,针对这一问题,提出聚类算法ＰＫＣＣＡ,与传统快速聚类不同,ＰＫＣＣＡ在迭代过程中动态调整中心个数,避免造成小支持度问题,并继承了传统快速聚类适合大样本的优点。     

构筑可靠、实用的CA系统

电子商务的进行需要公共信任的第三方ＣＡ的参与,以保证网上交易活动的安全性。本文基于公开密 钥基础结构ＰＫＩ标准,探讨了ＣＡ的组成和各部分特点,并结合我国国情,分析了构筑可靠、实用的ＣＡ 系统的基本原则。     

构筑可靠,实用的CA系统

电子商务的进行需要公共信任的第三方ＣＡ的参与，以保证网上交易活动的安全性。本文 基于公共密钥基础结构ＰＫＩ标准，探讨了ＣＡ的组成和各部分特点，并结合我国国情，分析了构筑可靠、实用的ＣＡ系统的基本原则。     

一种基于投影时序逻辑模型检测的入侵检测方法

基于时序逻辑模型检测的入侵检测技术降低了误用检测的漏报率,然而却几乎不能描述并发攻击和分段攻击,因而对这些复杂的攻击模式漏报率仍很高。本文针对该问题,提出了一种基于投影时序逻辑模型检测的入侵检测方法。对若干复杂攻击实例的检测表明,新方法可有效降低对并发攻击和分段攻击的漏报率。     

基于贪心策略的多目标攻击图生成方法

为解决网络脆弱性分析中攻击图生成方法存在的状态组合爆炸问题,使生成的攻击图能用于网络中多个目标主机的脆弱性分析,本文提出了一种基于贪心策略的多目标攻击图生成方法。该方法引入节点关联关系,采用贪心策略精简漏洞集,从所有攻击路径中选取使攻击者以最大概率获取网络节点权限的攻击路径,生成由这些攻击路径所构成的攻击图。算法分析和实验结果表明,该方法的时间和空间复杂度都是网络节点数和节点关联关系数的多项式级别,较好地解决了状态组合爆炸的问题,生成的攻击图覆盖了攻击可达的所有节点,能够用于网络中多个目标主机的脆弱性分析。     

一种集成化的PKI数字证书验证安全增强方案

近年来,PKI数字证书服务出现了多次安全事件：CA机构由于攻击等原因签发虚假的TLS服务器数字证书,将攻击者的公钥绑定在被攻击网站的域名上。因此,研究人员提出了多种PKI数字证书验证安全增强方案,用于消除虚假数字证书的影响,现有各种方案在安全性和效率上各有优劣。提出了一种集成化的PKI数字证书验证安全增强方案,以Pinning方案为基础,利用其他方案来改进Pinning方案的缺陷。当浏览器面临TLS服务器数字证书的三种Pinning方案不同状态（初始化、正常使用、更新）,兼顾安全性和执行效率、分别综合使用不同的安全增强方案,整体上达到了最优的安全性和执行效率。完成的集成化PKI数字证书验证安全增强方案能够有效解决虚假数字证书的攻击威胁。     

车载通讯安全技术浅析

车载通讯系统可运用在车用网络上，利用无线通讯交换信息数据，以达成改善行车安全及其它附加值应用服务的目的。本文介绍目前车载通讯系统相关应用服务可能面对的安全议题，并讨论相关的信息安全需求，以达成车栽通讯上的通讯安全目标。针对车用公钥基础建设，我们引进身份导向密码系统，并讨论其应用于车用网络上的可行性及未来研究的方向。     

基于PKI的网络边界安全监控方法

针对网络边界安全防御的需求和特点,提出一种基于PKI技术的网络边界安全监控方法。该方法结合基于PKI的身份认证机制、入侵检测技术与VPN技术,通过对网络流量和系统日志的关联分析,能够在实时发现入侵行为的同时,准确定位入侵来源并实时阻断攻击,相比通用的特征检测和异常检测方法具有更强的准确性和可用性。     

一种基于PKI的移动IP安全认证协议

就重放、DoS等攻击对移动IPv4协议带来的安全威胁作了详细的分析,提出一种基于PKI的安全认证协议,该协议采用安全密钥结合最小公钥和会话密钥的技术来确保注册过程中身份的认证、信息的完整性、机密性,最后对协议的安全性进行详细的分析.     

一种对中间人攻击的防范策略的研究

本文针对目前出现的对PKI的中间人攻击，分析了PKI中的两种安全隐患：如果客户端不能提供身份认证或者不能获得服务器证书的有效性检验，攻击者利用中间人攻击方法就 可以完全偷听会话内容。文章还讨论了防范中间人攻击的策略，运用这种防范策略可以达到有效地防止中间人攻击的目的；最后对防范策略作了安全性分析。     

基于PKI的IPv6安全邻居发现协议

介绍邻居发现协议(NDP)存在的安全威胁,分析其中的安全邻居发现算法(SEND)的工作机制,在NDP报文中加入CGA和RSA签名等选项,以抵御一些欺骗性攻击,针对SEND中未解决的公钥管理问题引入公钥基础设施,建立依靠证书的安全通信,进一步提高NDP的安全。     

一种基于完全分布式系统的密码安全体制研究

提出了一个基于有限域上离散对数的身份认证和密钥协商体制，该体制不仅克服了传统的基于PKI/CA密码体制的公钥管理复杂性，也消除了CA认证中心带来的通信瓶颈问题。同时，该体制能很好地适用于AdHoc和DPLinux等完全分布式系统环境。对该密码安全体制进行安全分析后表明：该体制能有效地抵御网络中的消息重放攻击和中间人攻击，并在实际应用中有较高的可行性。     

基于区块链的高透明度PKI认证协议

公钥基础设施（PKI）作为互联网空间安全基础设施的重要组成部分,为互联网的信息传输提供必要的真实性、完整性、机密性和不可否认性。现有的公钥基础设施存在证书颁发机构权力过大、吊销查询困难等问题。随着区块链技术的发展,可以利用区块链技术去中心化、透明度高、结构扁平等优点来解决上述公钥基础设施存在的问题,提高整个互联网建立信任关系的能力和效率。因此,提出基于区块链的高透明度PKI认证协议。该协议通过加入门限签名技术提出了改进的实用拜占庭容错共识算法（TS-PBFT）。TS-PBFT算法降低了原有实用拜占庭容错（PBFT,practical Byzantine fault tolerance）共识算法的通信复杂度,减少了通信开销;TS-PBFT 算法在视图切换协议的主节点选举引入了外界监督机制,增加了可监管性;TS-PBFT 算法在快速一致性协议中引入了批处理机制,提升了共识过程的性能。该协议一方面在提出的PBFT 算法的基础上引入了区块链技术,提升了证书吊销查询的安全性,并引入了计数布隆过滤器,提升了证书查询的效率;另一方面,该协议在证书的生命周期管理中增加了证书审计流程,对证书颁发机构的行为做出监管,促使其提高安全标准,达到限制其权力的目的。安全性分析和效率实验分析表明,所提协议系统具有抵抗伪装申请证书攻击等安全属性,与已有PKI协议相比在TLS/SSL握手耗时上具有优势。     

一种基于USB—KEY的身份认证协议

对常用的身份认证协议和方法进行了简单的综述,针对生物身份认证的局限性和PKI体系结构认证成本较高的情况,从密码学、网络安全技术等方面提出了一种基于USB-KEY的身份认证协议。该协议利用USB-KEY硬件可生成伪随机数、可进行数据计算与存储的特点,综合地运用伪随机数、异步时间戳、会话密钥、DES加密、MD5算列算法,完成数据安全性加密、数据完整性校验等操作,该协议既简单易行,又十分安全。文中从密码攻击、中间人攻击、重放攻击3个方面进行了安全性分析,证明了协议是安全可行的。     

基于VPN实现PKI系统安全远程通信

PKI作为密码基础设施之一,越来越广泛地用于信息网络安全中,它自身的安全直接关系着上层各类证书应用系统的安全,PKI系统各组成部分之间的通信所包含的用户身份信息、密钥信息都是敏感的,需要安全保护。本文提出了一种利用VPN技术在PKI系统的CA、RA之间搭建经验证的安全通道的方法,可以有效地保护公钥系统内部的通信安全。