抵御MIX重放攻击的混合结构消息报文机制

对MIX的重放攻击进行研究,并提出一种抵御重放攻击的MIX混合结构消息报文机制.混合报文机制利用通用重加密的概率加密、语义安全特性抵御重放攻击,利用层级加密的认证特性实现消息的完整性保护,同时引入对称加密机制提高效率.分析表明,混合结构消息报文机制可以在保证安全性与效率的前提下有效抵御重放攻击.     

新颖的移动代理动态数据完整性保护协议

通过引入攻击者能力来对完整性的强弱进行划分和定义，在此基础上，分析了合谋情况下对动态数据进行截断攻击的问题，并给出了一个新颖的移动代理数据保护协议，该协议通过引入反向签名机制，形成一条从源节点到当前节点的信任链，实现对漫游路径的完整性保护，很好地解决了合谋情况下对动态数据的截断攻击，为自由漫游移动代理提供了更强的完整性保护。还使用形式化方法对协议的安全属性进行了分析验证。     

基于访问控制的Hypervisor非控制数据完整性保护

在虚拟化技术广泛应用的同时虚拟层的安全问题引起了国内外研究人员的密切关注。现有的虚拟机管理器(Hypervisor)完整性保护方法主要针对代码和控制数据的完整性保护,无法抵御非控制数据攻击;采用周期性监控无法提供实时的非控制数据完整性保护。针对现有方法的不足,该文提出了基于UCON的Hypervisor非控制数据完整性保护模型UCONhi。该模型在非控制数据完整性保护需求的基础上简化了UCON模型,继承了UCON模型的连续性和易变性实现非控制数据的实时访问控制。根据攻击样例分析攻击者和攻击对象确定主客体减少安全策略,提高了决策效率;并基于ECA描述UCONhi安全策略,能够有效地决策非控制数据访问合法性。在Xen系统中设计并实现了相应的原型系统Xen-UCONhi,通过实验评测Xen-UCONhi的有效性和性能。结果表明,Xen-UCONhi能够有效阻止针对虚拟机管理器的攻击,且性能开销在10%以内。     

签密的仲裁安全与仲裁安全的签密方案

签密能高效地同时完成数据加密与认证,可用于设计紧凑的安全通信协议.签密中的仲裁机制用于保护签密的不可抵赖性,但同时用于仲裁的信息可能危及协议安全.本文指出签密仲裁中存在仲裁者解密攻击和仲裁机制无法保护明文完整性两种安全隐患,归纳其原因并指出解决方法.提出一个可安全仲裁的安全混合签密方案SASC,并在随机预言机模型下证明SASC方案具有IND-CCA2和UF-CMA安全性;SASC基于明文仲裁,不仅能维护明完整性而且能抵抗仲裁者解密攻击.SASC方案不增加计算量和通信量,且对明文的长度没有限制.     

七号信令网MTP3层安全机制分析

七号信令网络由于缺乏安全机制而存在诸多安全漏洞。通过分析攻击者如何利用MTP3层的网络管理消息对七号信令网实施攻击,提出用密钥交换协议和认证头协议对MTP3层进行安全保护,从而实现了信令节点间的相互认证和对消息的完整性保护,增强了七号信令网络的安全性。     

UMTS接入的安全性研究

根据3GPP提出的3G安全结构中所重点描述的网络接入安全技术规范,介绍了包括双向鉴权、使用临时标识符、UTRAN加密和信令的完整性保护在内的UMTS接入的各种安全机制,提出在UMTS中应用因特网监控入侵的检测技术来防范非法用户的攻击。     

VPN技术综述(下)

4.7ESP协议ESP为IP报文以无连接的方式（以包为单位）提供完整性校验、身份认证和加密，同时还可能提供防重放攻击保护。在建立SA时可选择所期望得到的安全服务，但必须遵守以下约定：·完整性校验和身份认证必须同时使用。·使用防重放攻击时必须同时使用完整性校验和身份认证     

Analysis and Realization of Message Integrity Services in SSL Recording Layer

SSL记录层协议建立在可靠连接TCP之上,为上层提供机密性和消息完整性服务.介绍了SSL记录层协议的工作原理,分析描述消息完整性服务的整体机制,并利用散列算法实现.利用在MD5的基础上构造的MAC算法,防止消息被篡改,利用MAC中的序列号防止消息遭受到重放攻击和再排序攻击.全面阐述了消息完整性服务在SSL记录层上的实现.     

消息完整性服务在SSL记录层的实现分析

SSL记录层协议建立在可靠连接TCP之上,为上层提供机密性和消息完整性服务。介绍了SSL记录层协议的工作原理,分析描述消息完整性服务的整体机制,并利用散列算法实现。利用在MD5的基础上构造的MAC算法,防止消息被篡改,利用MAC中的序列号防止消息遭受到重放攻击和再排序攻击。全面阐述了消息完整性服务在SSL记录层上的实现。     

3GPP2无线链路域完整性保护和UIM卡认证机制研究

剖析了在3GPP2中完整性保护认证编码的产生过程以及在完整性保护机制中的使用原理。分析了3GPP2设计可选UIM卡认证机制，并与3GPP的完整性保护算法从算法结构设置、鉴权机制诸算法的相关程度和认证编码信息冗余度等角度进行对比分析。     

基于网络神经系统的网络安全机制仿真方法

为了防范计算机网络基础设施攻击，提出一种仿生网络神经系统方法。该方法保护机制包括信息收集和处理的分布式过程，可协调计算机网络主要设备活动，识别攻击类型，并确定必要的对策；利用集合论方法将攻击和保护机制定义为结构模型和保护机制的模拟环境。实验证明了保护机制的有效性，为计算机网络安全防护机制研究提供借鉴。     

基于入侵容忍技术的数据库安全策略研究

随着计算机网络技术的不断发展,处于网络环境中的数据库系统成为极具诱惑力的攻击目标,如何保证数据的保密性、完整性和有效性是个复杂问题。目前数据库管理系统所提供的安全保护措施虽然能够对其安全起一定的保护作用,但仍然存在漏洞。通过分析系统部件出现故障的原因及相关安全技术,基于入侵容忍技术抽象了一种多层数据库安全模型,能够在遭受攻击的情况下保证用户数据库的可用性、完整性和机密性。     

无线局域网协议802.11安全性分析

本文从身份认证、通信的机密性、完整性和不可否认性方面对IEEE无线局域网协议802.11的安全机制进行分析,证明了该协议的安全机存在着严重的安全漏洞,实际上该协议的安全机制无法保障无线局域网的安全通信.本文还指出了实际中可能存在的攻击,针对文中提到的漏洞和可能受到的攻击,提出了相应的解决方案.     

基于增强响应信任链的SIP安全机制

SIP因自身缺少有力的安全机制而面临很多安全威胁,其中最为突出的威胁是利用响应消息进行的攻击。文中通过扩展SIP协议,提出了一种基于增强响应信任链的SIP安全机制。该安全机制通过请求消息和响应消息提供逐跳实体之间安全认证,有效地阻止了利用响应消息进行的攻击,保证了SIP会话参与者身份的真实性以及通信数据的完整性。     

蓝牙位置隐私保护方案的研究与设计

通过对蓝牙位置隐私攻击机制和现有保护方案不足的分析,建立了蓝牙地址分级模型,依据此模型设计了蓝牙位置隐私保护方案,与现有方案相比,该协议不仅可以抵抗针对蓝牙位置隐私的窃听攻击、重放攻击、跳频序列攻击、会话地址跟踪攻击、字典攻击和中间人攻击,同时具有较小的计算量和存储需求.     

基于RSSI的传感器网络节点安全定位机制

针对RSSI测距存在的脆弱性问题,提出了一种基于完整性编码和不间断占用信道的安全RSSI测距协议,该协议不仅可以抵抗伪造插入、重放/虫洞等常规攻击,而且可以防止信标信号被恶意干扰而削弱,即可抵抗虚增测距的外部攻击。在此基础上,设计了一种基于RSSI的传感器网络节点安全定位机制,该机制采用可校验的多边测量法来过滤虚减测距的外部攻击,实现安全定位,并对测距协议和定位机制的安全性进行了理论分析。     

无线局域网安全的关键问题

本文对无线局域网协议802.11的安全机制进行了介绍,同时对现有无线局域网的安全隐患和威胁到无线局网安全的攻击方法给出了详细的分析,进一步介绍了对无线局域网安全进行补救的临时密钥完整性协议的安全机制。     

基于身份签名的北斗二代民用D2导航电文认证协议

北斗二代民用D2导航电文(BeiDou-Civil Navigation Message-D2,B-CNAV-D2)信息在开放的信道中传输,缺乏完整性保护机制,面临信息被伪造和篡改的威胁,容易遭受欺骗攻击.为了保障B-CNAV-D2信息的完整、真实和可用,本文在分析B-CNAV-D2信息组成结构的基础上,设计了基于身份签名体制的北斗二代民用D2导航电文信息认证协议.该协议提供信息源认证和信息完整性保护,实现B-CNAV-D2信息防篡改和防伪冒的功能.B-CNAV-D2信息认证协议可以有效地减少传统签名认证方案中数字证书分发和更新等处理环节,提高认证协议的整体效率和认证效率,拥有较好的认证时效性与较低的计算成本和通信成本.     

内核完整性保护模型的设计与实现

非可信内核扩展模块是对操作系统内核完整性安全的重要威胁之一,因为它们一旦被加载到内核空间,将可能任意破坏操作系统内核数据和代码完整性。针对这一问题,提出了一种基于强制访问控制对操作系统内核完整性保护的模型—MOKIP。该模型的基本思想是为内核空间中的不同实体设置不同的完整性标签,然后保证具有低完整性标签的实体不能破坏具有高完整性标签的实体。基于硬件辅助的虚拟化技术实现了原型系统,实验结果表明,本系统能够抵御各种恶意内核扩展模块的攻击,其性能开销被控制在13%以内。     

祖冲之算法的国际标准化进展和终端一致性测试

ZUC作为我国自主设计的密码算法,于2011年被3GPP采用为LTE系统安全机制中的密码算法标准之一。LTE系统安全机制包含对AS层和NAS层的鉴权,数据加密,信令的完整性保护,这些安全机制依赖于严密的算法。本文对ZUC算法的终端一致性测试涵盖在PDCP层和NAS层的数据加密和信令完整性保护的测试进行了分析和研究。