物联网感知层一种基于属性的访问控制机制

为了实现物联网感知层的细粒度访问控制和用户的匿名数据访问,提出了一种基于用户属性的访问控制机制,并利用双线性映射给出了具体的算法实现．该方案中,用户以其属性证书为依据向传感器节点发起数据访问请求,传感器节点根据门限原则决定是否允许用户访问．该方案可以实现灵活的细粒度访问控制和匿名的数据访问,用户和传感器节点的信息交互次数达到了最少,节点运算量少,只需要进行一次公钥加密．与现有的传感器网络访问控制方案相比,该方案传感器节点开销较小,可扩展性良好,可以适应物联网感知层的访问控制需求．     

物联网中基于受控对象的分布式访问控制

提出了一种基于受控对象的分布式访问控制方法,将访问主体的访问权限直接与节点的资源对象相关联,由节点管理用户的权限,简化权限的管理。将对称密码体制与非对称密码体制应用于分布式访问控制中,根据设备对象的能力分别采用不同的加密策略,在保证控制强度的同时减小节点计算能耗。性能分析表明,该方案能够在节点低开销的基础上对用户进行有效的接入控制和权限限制,简化用户的权限管理,并有效减少用户DOS攻击和重放攻击对网络的威胁。     

一种实用的传感器网络广播认证协议

由于Tree-Based μTESLA协议随着网络中广播节点数量的增加产生大量开销,使其适用的网络规模受到限制．通过构造μTESLA参数链(μTESLA Parameters Hash Chain)和μTPC树(μTPC Merkle Hash Tree),对Tree-Based μTESLA协议进行改进,提出基于μTESLA参数链的传感器网络广播认证协议．分析和验证表明,该协议能够抵抗针对μTESLA参数分发过程的DoS攻击,较Tree-Based μTESLA协议的计算、通信和存储开销小,能够立即撤销被俘节点的认证能力,且适用于大规模多广播节点传感器网络．     

基于TinySec协议的DoS攻击的防御实现

广播是WSN中的基本通信方式,TinySec协议可有效保证广播数据包的认证安全,且协议开销小,但易遭受DoS攻击,比如攻击节点不断伪造虚假认证包来消耗网络和节点资源。针对这种情况,提出一种TinySec协议的改进方案,通过引入节点ID验证和信誉等级制来限制DoS攻击范围,并使用单向密钥链进行弱认证来防御攻击。仿真实验表明,改进后的协议比现有的TinySec协议更安全,能有效防御广播认证中的DoS攻击。相比于其他防御方案,本方案的系统开销小,实时性高。     

一种分层无线传感网的匿名双因素用户认证协议

用户认证协议(User Authentication Protocol,UAP)可以确保访问用户的合法性与传感器节点感知信息的接入安全,是保障无线传感网(Wireless Sensor Network,WSN)应用安全的一项重要机制。现有用户认证协议(Fan协议)存在各种安全缺陷,易遭受多种网络安全攻击,尤其是无法有效抵御节点妥协攻击、口令猜测攻击、内部特权攻击等,也不支持用户的匿名性,无法保障用户的隐私。针对这些安全挑战,提出了一种分层无线传感网的匿名双因素用户认证协议(Anonymous Two-factor User Authentication Protocol,AT-UAP),该协议在注册阶段以哈希隐藏方式传输口令,提高了口令传输的安全性；增大网关节点秘密参数与用户的相关性,实现了秘密参数的唯一性；在认证阶段,增大会话密钥与系统时间和用户的关联性,实现会话密钥的唯一性和动态性；引入口令更新机制,用户可以在不联系簇头节点的情况下,自由更新口令,保障了口令的新鲜性。逻辑分析与仿真结果表明,与Fan协议相比,AT-UAP协议在仅增加少量计算开销的基础上,不仅可以防御节点妥协攻击、口令猜测攻击和内部特权攻击,而且实现了用户匿名性；与Nam协议、He-Kumar协议、以及Mir协议相比,AT-UAP协议采用了哈希函数、级联操作和异或操作等轻量级安全操作,减少了传感器节点计算开销,优化了传感器节点向网关节点的注册流程,综合性能优于上面提到的三种用户认证协议。因此,AT-UAP协议不但适用于资源受限的传感器节点,而且显著提高了无线传感网安全性。     

主动节点资源访问控制策略

主动网络的灵活性使主动网络面临更加严峻的资源安全问题,尤其是主动节点方面.分析了主动节点资源访问的研究现状和存在的问题,设计了一种主动节点资源访问控制机制.提出利用权能对资源访问控制策略进行描述,动态维护.对用户的管理采用基于角色的方法.在主动信包中封装用户角色信息,主动节点解析出用户角色后,依据它在策略库中匹配相应的描述控制访问权限策略的方法,即权能.通过权能实现对节点资源的访问.     

一种高效的无线传感器网络认证方案

提出了一种基于单向密钥链的传感器网络认证方案,该方案能够提供实时认证,较好地满足了时延和存储量要求,且能有效地防止重放、假冒和拒绝服务等各种攻击,并具有低开销和可扩展性强等特点。同时,考虑到节点计算速度、电源能量、通信能力和存储空间非常有限的特点,相关的协议和算法都设计得比较简单,并避开了代价昂贵的公钥运算,因而方案的计算、存储和通信开销都较小,执行效率大大提高。此外,本方案在不排除网内处理和节点被动加入的情况下,支持数据源认证。     

基于身份的Ad Hoc网络门限密钥发送协议

目前已提出的多个基于身份的密钥发送协议,由于Ad Hoc网络的特性现有协议都不适用.针对这一问题,提出了一个基于身份的Ad Hoc网络门限密钥发送协议,采用门限秘密共享技术实现系统私钥的分布式生成,并且利用盲签名机制有效地实现了通过公开信道进行密钥的安全发送.本协议中任何网络节点不能假冒用户去获得用户私钥,而且能够抵抗重放攻击、中间人攻击和内部攻击,适宜在Ad Hoc网络中使用.     

适用于商用系统环境的低开销确定性重放技术

针对现有确定性重放技术中存在运行时开销大和安全隐患等问题,提出了一种低开销的确定性重放技术。该技术在已有的硬件平台和系统环境下,利用页保护捕获并记录并行程序对共享内存的访问顺序。深入研究了该技术引入的性能开销,针对性地提出了私有锁、私有堆、主动抢占等优化策略。采用PARSEC测试集进行性能评估,实验结果显示该系统引入的开销较小。     

雾计算中用户和属性可撤销的访问控制方案

雾计算中的属性基加密技术在解决数据细粒度访问控制问题的同时也带来了用户和属性的撤销问题,对此,提出一种用户和属性可撤销的访问控制方案.改进了现有的基于属性组撤销属性的访问控制方案,使其适用于雾计算,同时提高了密钥更新效率.另外,利用雾节点实现了用户的撤销,同时为了降低用户端的负担,将部分计算和存储开销从用户端转移到了临近的雾节点.基于判定双线性diffie-hellman （DBDH）假设的安全性分析结果表明,所提方案可以抵抗选择明文攻击.对方案进行了理论和实验,分析结果表明,所提方案具有较高的撤销效率和实用价值.     

时控性加密的匿名查询机制构造

现实世界中,很多问题都具有在特定时间开展相关业务的需求。时控性加密(Timed-Release Encryption,TRE)是一种由发送方指定接收方解密时间的密码原语,可满足该需求。针对目前TRE方案中,基于非交互时间服务器周期性广播时间陷门的方式无法满足用户任意指定解密时间,而能够满足任意解密时间的交互式时间服务器方式无法保障用户身份隐私的问题,提出一种使用洋葱路由网络的TRE方案。在该方案中,接收方在临近解密时间时,将时间陷门请求作为最内层洋葱,构造层层加密的洋葱传递给时间服务器,时间服务器生成对应的时间陷门按照原路由返回给接收者,使得用户可以在进行任意时间的陷门查询时隐藏其身份信息。同时,针对洋葱路由传递过程中的节点失效问题,提出一种基于广播加密技术构造每层洋葱的方法,使得每层洋葱节点均可以解密该层洋葱。该方案在保证用户身份匿名的前提下,实现向时间服务器成功查询任意时间的陷门。安全性分析表明,该方案对于可能遇到的单点推测、监听攻击、重放攻击以及共谋攻击是安全的并具有较强的鲁棒性。效率分析表明,与基于配对的洋葱路由方案相比,该方案解决节点失效问题的耗时减少约34.8%,从而实现了高效的匿名查询。     

车联网中可抵抗DoS攻击的RFID安全认证协议

针对车联网中射频识别技术存在的安全问题,提出了一种基于密钥分配中心的安全认证协议.通过密钥分配中心储存的可更新私钥先过滤没有合法密钥的标签,再经过后台服务器进行身份认证.在解决传统协议中的假冒攻击、重放攻击、跟踪攻击等安全问题的同时,还解决了车联网中存在的拒绝服务攻击.BAN逻辑证明以及安全和性能分析对比结果显示,本协议在车联网中能提供有效的安全保护,极大地降低后台服务器面对多标签时的计算负担.     

基于轮询的总线式ATM接入网及其性能研究

提出了一种基于总线结构,采用轮询方式的ＡＴＭ接入网方案,进行了该方案的性能研究,并在实验室环境下进行了模拟仿真,结果表明该ＡＴＭ接入网能满足ＡＴＭ接入基本要求,方案是可行的。     

无缓冲服务的DoS攻击

拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)是目前严重影响网络安全和戚胁网站服务质量的一种攻击手段．本文通过对无缓冲服务的DoS攻击进行讨论，并从攻击者的角度研究了如何到达最好的攻击效果，最后对DoS／DDoS攻击的防范提出了一些建议。     

基于随机哈希锁的射频识别门禁系统安全方案

提出了一种基于Hash函数和一卡一密相结合的安全认证协议。在该协议中,阅读器通过返回标签密钥和随机数的哈希值取代标签ID的明文传递,避免了一张标签被破解所有标签都不能使用的问题,能够有效地抵御常见的假冒攻击、重传攻击和追踪。此外,通过分析协议的计算量,提出了采用设置不同的门禁数据更新时间来降低后台服务器计算量的建议。     

无线传感器网络重编程中DoS攻击初探

无线重编程技术是解决无线传感器网络管理和维护的有效途径.文章介绍了无线重编程协议Deluge的原理和存在的缺陷;详细分析了各种针对无线重编程的DoS攻击并对攻击产生的危害进行了评价和建模;在TinyOS平台上用TOSSIM对各种DoS攻击进行了仿真实验,并对实验结果进行了客观评价.理论分析和实验数据一致表明,在资源受限的无线传感器网络中,DoS攻击给无线重编程带来了极大的威胁.文中给无线重编程安全性的进一步研究提供了理论基础和实验参考数据.     

一种新的基于Client-puzzle的WAPI认证协议抗拒绝服务攻击方案

针对WAPI协议的资源消耗攻击能够耗尽接入点(AP)的资源,提出一种新的基于Client-puzzle的WAPI 认证协议抗拒绝服务攻击方案.分析了WAPI协议中的关联和认证过程存在的关键问题;利用subset sum构造puzzle以及将Subset sum puzzle应用于WAPI协议中;从计算最、Granularity特性、Non-parallelization特性和抗DoS攻击能力等方面分析所提出方案的效果.该方案能够很好地保证客户端和无线接入点之间资源的平衡,降低了资源消耗型无线网络攻击和潜在的拒绝服务攻击,增强了WAPI无线网络的抗拒绝服务攻击的能力.