抵御MIX重放攻击的混合结构消息报文机制

对MIX的重放攻击进行研究,并提出一种抵御重放攻击的MIX混合结构消息报文机制.混合报文机制利用通用重加密的概率加密、语义安全特性抵御重放攻击,利用层级加密的认证特性实现消息的完整性保护,同时引入对称加密机制提高效率.分析表明,混合结构消息报文机制可以在保证安全性与效率的前提下有效抵御重放攻击.     

基于104规约的远动网络通信可靠性原理探讨

104规约是应用于网络方式的远动通信协议,但网络层提供的是尽最大努力交付的数据报服务,这种交付是不可靠的。文章分析探讨了为克服网络通信的"不可靠性",104规约应用层采取的保证报文正确收发的控制机制及网络通信链路采用的冗余切换机制,说明了104规约实现远动通信可靠性的原理。     

未来战地网络的安全体制

战地网络容易受到攻击和破坏,如何实现未来战地网络中的安全通信是一个亟待解决的问题。提出了一种支持未来多层无线异构adhoc战地网络安全通信的安全体制,它具有如下性质:(1)可以在有/无基础网络设施模式下工作并无缝切换;(2)采用集中式CA签名和(t,l)门限签名体制相结合的认证方法;(3)对报文和报头分别加密;(4)可以对签名者的身份进行追踪。     

融合DDoS威胁过滤与路由优化的SDN通信质量保障策略

提出了将DDoS威胁识别与路由优化有机结合的软件定义网络(SDN)通信质量保障策略,即在DDoS攻击造成部分网络链路拥塞的情况下,对异常数据分组进行识别过滤,同时生成最优路径,以保障网络通信质量.首先,设计了一种SDN架构下的分布式入侵检测系统,实现了对欺骗报文、异常报文以及破坏报文3类DDoS威胁的检测识别和过滤处理.其次,实现了一种最优路径的生成算法.实验测试结果表明,部署了通信质量保障策略的SDN可有效识别并滤除DDoS攻击数据分组,且处理过程中网络平均传输时延无激增.     

一种用于车载网络通信管理的逻辑环机制研究

车载通信网络管理（NM ）系统的性能直接影响到汽车电子网络通信安全。对OSEK NM中逻辑环机制实际运行状态进行建模,建立各工作状态间转换模型;引入NM诱导报文和逻辑环不稳定时间,定量分析OSEK NM逻辑环不稳定工作状态,推导出度量逻辑环工作性能的计算公式;提出一种支持第二直接后继的逻辑环建环机制,给出该机制下逻辑环的工作性能。实验结果表明：相对于OSEK NM ,支持第二直接后继的建环机制不仅能够提高车载NM的实时性,而且能有效降低NM对用户报文传输的不良影响。     

基于多维异构特征与反馈感知调度的SDN内生安全控制平面

为弥补现有研究在软件定义网络(Software-Defined Networking,SDN)控制平面未知漏洞防御方面的空白,本文提出了一种基于多维异构特征与反馈感知调度的内生安全控制平面的设计方案.该方案以"冗余、异构和动态"为切入点,通过组合执行体冗余集构建策略、多维异构元素着色策略和动态反馈感知调度策略,有效增加SDN控制平面对攻击者所呈现的执行体时空不确定性(逆转攻防不对称性).相关仿真结果表明该方案可以收敛全局执行体数目、增加执行体之间的多维异构度并降低系统全局失效率.     

基于多维异构特征与反馈感知调度的SDN内生安全控制平面

为弥补现有研究在软件定义网络(Software-Defined Networking,SDN)控制平面未知漏洞防御方面的空白,本文提出了一种基于多维异构特征与反馈感知调度的内生安全控制平面的设计方案.该方案以"冗余、异构和动态"为切入点,通过组合执行体冗余集构建策略、多维异构元素着色策略和动态反馈感知调度策略,有效增加SDN控制平面对攻击者所呈现的执行体时空不确定性(逆转攻防不对称性).相关仿真结果表明该方案可以收敛全局执行体数目、增加执行体之间的多维异构度并降低系统全局失效率.     

内生安全增益评估指标度量模型研究

基于拟态防御技术的信息通信技术产品通过引入动态异构冗余,实现对未知漏洞、后门、病毒或木马等威胁的非特异性免疫。为有效评估拟态防御产品的内生安全增益,基于现有拟态防御产品的共性特点,通过研究影响拟态防御产品安全增益的关键要素和属性,提出评估拟态防御产品内生安全增益的评估指标度量模型,为拟态产品开展内生安全增益评估提供参考。     

车载移动异构无线网络架构及关键技术

传统的车辆通信网络通常只是针对于公路计费等用途设计的封闭式通信网络,新近的发展使得车辆支持车间自主通信从而互通安全信息。但是由于在网络架构方面的缺陷,现有的系统只能对高速行驶中的车辆提供局部区域内的信息交互,无法实现车辆与智能交通控制中心进行实时数据服务和接入宽带无线网络。文章提出了基于车辆环境下无线接入（WAVE）（IEEE802.11p）和全球微波接入互操作性（WiMAX）（IEEE802.16e）融合的车载移动异构无线网络体系,建立了新型车载异构网络通信架构及体系模型,并分别对WAVE网络中的多信道自适应协调机制和分布式多信道调度算法和基于移动预测的路由及服务质量、WiMAX网络中的群组切换机制和两级资源调度等关键技术进行了研究和探讨。     

车载网中可证安全的无证书聚合签名算法

为了实现车载自组织网络中车辆节点之间信息传输的安全认证,该文设计了一种无证书聚合签名方案。提出的方案采用无证书密码体制,消除了复杂的证书维护成本,同时也解决了密钥托管问题。通过路侧单元生成的假名与周围节点进行通信,实现了车辆用户的条件隐私保护。在随机预言模型下,证明了方案满足自适应选择消息攻击下的存在性不可伪造。然后,分析了方案的实现效率,并模拟实现了车载自组网(VANET)环境中车流密度与消息验证的时间延迟之间的关系。结果表明,该方案满足消息的认证性、匿名性、不可伪造性和可追踪性等性质,并且通信效率高、消息验证的时延短,更适合于动态的车载自组织网络环境。     

面向ZigBee网络节点安全定位的消息签名方案

针对ZigBee网络节点定位中消息的安全性问题,该文提出一种带隐私保护的消息签名方案。方案基于椭圆曲线(ECC)上的无双线性对运算,设计了带身份隐私保护的定位请求消息签名算法和坐标隐私保护的定位参照消息签名算法。理论证明了所提方案可抵御伪造攻击、重放攻击等多种外部攻击,同时具备隐私保护、身份追踪等功能。性能分析结果表明,与同类方案相比,所提方案计算开销和通信开销均具有优势。     

结合双线性对和DLP的无证书两方认证协议

为解决无线通信网络中不同用户之间的通信安全问题,通常会采用身份认证协议来确保通信双方身份的合法性。该认证协议应能抵抗重放攻击、延时攻击等威胁,同时认证过程中的计算量应尽量小。本文针对SEAHA (secure and efficient handover authentication)认证方案存在的计算量大、不能抵抗伪装攻击的问题提出了一种基于双线性对和离散对数难题（DLP）的无证书两方认证协议。该协议中基站和节点共同生成节点密钥对来抵抗伪装攻击,利用离散对数难题生成会话密钥降低认证过程中的计算量。安全分析和性能分析结果表明,提出协议在保证安全性的前提下,有效降低了认证过程计算量。      

一种车载服务的快速深度Q学习网络边云迁移策略

智能网联交通系统中车载用户的高速移动，不可避免地造成了数据在边缘服务器之间频繁迁移，产生了额外的通信回传时延，对边缘服务器的实时计算服务带来了巨大的挑战。为此，该文提出一种基于车辆运动轨迹的快速深度Q学习网络(DQN-TP)边云迁移策略，实现数据迁移的离线评估和在线决策。车载决策神经网络实时获取接入的边缘服务器网络状态和通信回传时延，根据车辆的运动轨迹进行虚拟机或任务迁移的决策，同时将实时的决策信息和获取的边缘服务器网络状态信息发送到云端的经验回放池中；评估神经网络在云端读取经验回放池中的相关信息进行网络参数的优化训练，定时更新车载决策神经网络的权值，实现在线决策的优化。最后仿真验证了所提算法与虚拟机迁移算法和任务迁移算法相比能有效地降低时延。     

基于身份密码的机载自组织网络动态密钥管理

针对现有机载自组织网络密钥管理存在的预分配密钥更新困难、公钥证书传递开销大、分布式身份密钥传递需要安全信道的问题,该文提出一种无需安全信道的基于身份密码体制的动态密钥管理方案。该方案包括系统密钥自组织生成和用户私钥分布式管理两个算法;采取遮蔽密钥的办法,确保私钥在公共信道中全程安全传递,使得密钥管理易于部署、方便扩展;最后分析了方案的正确性与安全性。结果证明方案理论正确,能够抵抗假冒、重放、中间人攻击。     

车联网环境下基于Cuckoo过滤器的轻量V2I认证算法

基于假名认证机制是保护车与路边设施间通信(V2I)隐私的有效方法,传统的基于证书撤销清单(CRL)方法存在通信和计算开销大的问题。为此,提出基于布谷鸟(Cuckoo)过滤器的轻量V2I认证算法(CFLA)。CFLA算法通过局部信任中心(LTA)给其覆盖内的车辆分配假名,并利用Merkle散列树(MHT)存储车辆假名,每辆车维持一棵独立MHT。同时,采用布谷鸟过滤器(CF)数据结构,降低存储、计算和通信开销。安全性能分析表明,提出的CFLA算法能够具有防御中间攻击、重放攻击的能力。相比于相关的同类算法,CFLA算法降低了认证开销。     

Traffic Shaping for Resource-Efficient In-Vehicle Communication

In-vehicle communication has become complex and costly due to the growing number of automotive network systems applied for different data types. In this work, our previously proposed in-vehicle network architecture that is based on Internet Protocol (IP) and full-duplex switched Ethernet (IP/Ethernet) is further investigated for real-time audio and video streaming. Quality-of-service (QoS) and resource usage are analyzed for selected IP/Ethernet-based network topologies. Traffic shaping is used to reduce the required network resources and consequently the cost. A novel traffic shaping algorithm is presented that outperforms other traffic shapers in terms of resource usage when applied to variable bit rate video sources in the proposed double star topology. In addition, a new architecture design is introduced for traffic shaper implementation in switches which operates on a per stream basis. Analytical and simulation results confirm that the proposed network architecture with traffic shaping is well-adapted for in-vehicle communication.      

Moving target defense against network eavesdropping attack using POF

Eavesdropping attack hereby was the major attack for traditional network communication.As this kind of attacks was stealthy and untraceable,it was barely detectable for those feature detection or static configuration based passive defense approaches.Since existing encryption or dynamic address methods could only confuse part of fields of network protocols,they couldn’t form a comprehensive protection.Therefore a moving target defense method by utilizing the protocol customization ability of protocol-oblivious forwarding (POF) was proposed,through private protocol packet randomization strategy and randomly drop deception-packets on dynamic paths strategy.It could greatly increase the difficulty of implementing network eavesdropping attack and protect the privacy of the network communication process.Experiments and compare studies show its efficiency.     

LVAP: Lightweight V2I authentication protocol using group communication in VANETs

The authentication protocol is vital for the security of the wireless sensor network to resist the known threats, such as eavesdropping, replay attack, man‐in‐the‐middle attack, etc. In this paper, a lightweight authentication protocol for vehicular ad hoc networks is proposed using the symmetric encryption, the group communication method, and the proactive authentication technique, which not only achieves the desired security goals but also guarantees the practical anonymity and the accountability. The analysis demonstrates that the proposed protocol works properly in the high‐density and the low‐density traffic environment.     

异构无线网络中基于标识的匿名认证协议

针对异构无线网络中的认证协议的安全问题,提出一种基于CPK算法和改进的ECDH算法的双向认证和密钥协商协议,引入用户的临时认证身份和临时通信身份实现用户的身份匿名;提出采用临时通信身份有序对防止重认证过程中的重放攻击,并且在协议设计中规避了密钥泄漏带来的风险。分析表明该协议具有身份认证、会话密钥安全、匿名性等安全属性。     

Web plug-in paradigm for anti-DoS attack based on end hopping

The end hopping technology is a proactive network defense technology proposed to mitigate the network attack.By changing the IP address,port and other information in the communication pseudo-randomly to achieve the purpose of confusing the attacker.The plug-in mechanism based on the end hopping technology was introduced,and it was applied to the field of Web protection.This plug-in was designed to confuse and interfere with attackers.The plug-in model was divided into two working modes,which are non-end-hopping mode and end hopping mode.The plug-in according to the instructions of the UDP spokesman to switch its own work mode and when the communication link is safe and reliable,it choose the fist mode which can reduce the cost of services.Another,when the network is attacked,the plug-in switches to the end hopping mode to ensure the safety of communications.The experimental results show that the plug-in mechanism based on end hopping has high service and security performance under SYN Flood attack and UDP Flood attack.