需求装载代码协议的安全缺陷分析

使用SPI演算对主动网络的需求装载代码协议进行分析,发现其存在被重放攻击的安全漏洞.由于主动网络是计算-存储-转发模型,不同于传统网络的存储-转发模型,所以这种被重放攻击的安全缺陷将对主动节点产生难以预测的后果,并减低其性能和效率.为了消除被重放攻击的危险,修改了原有需求装载代码协议,并增加了其阻止重放攻击的能力.     

基于分簇的Ad Hoc网络密钥协商协议

以节点的公钥证书为基础,基于椭圆曲线密码体制提出一种分簇结构的Ad Hoc网络会话密钥协商协议,对协议的安全性和效率进行分析。该协议满足普遍认可的密钥协商安全要求,可抵抗中间人攻击、重放攻击、消息伪造攻击等多种攻击,有效地降低终端的计算、存储能力需求,减少了协商过程的通信开销。     

Otway-Rees协议并行攻击的SG逻辑分析

网络信息安全很大程度上取决于密码协议的安全，重放攻击和并行攻击是对密码协议的常见攻击，能够分析并行攻击的形式化分析方法并不多见。该文介绍了一种分析密码协议并行攻击和重放攻击的逻辑方法——SG逻辑，应用它对改进版的Otway-Rees协议进行了分析，找出了BAN类逻辑所不能分析出来的缺陷，针对该缺陷给出了协议的进一步改进，并推证了改进后的协议对SG逻辑的分析是安全的。     

认证测试对分析重放攻击的缺陷

分析了重放攻击的内因和阻止重放攻击的对策,使用认证测试方法分析了一个更改了的安全协议,分析得出该协议是正确的,但是通过认证测试的前提假设的分析得出该协议存在重放攻击;另外可以通过认证测试方法的缺陷来定位协议的重放攻击。     

基于有限计算端的双向认证密钥交换协议

身份认证和密钥交换技术是保证无线通信安全的重要手段。针对非接触式智能卡的需求,提出一种基于有限计算能力的相互认证密钥交换协议。在随机预言模型下证明该协议的安全性,结果表明,该协议可有效抵抗重放攻击、中间人攻击和交错攻击,计算量较小,实用性较高。     

基于组件的主动网络安全机制研究

在主动网络安全原型的基础上,结合主动网络可动态加载协议的特点,提出了基于组件的主动网络安全机制。该机制能够适应主动网络保密性、完整性和可用性的安全需求,为主动节点和主动信包提供了可扩展加解密、信包验证、代码授权、代码执行监控以及代码撤销等一系列安全措施;同时支持动态加载和用户定制,使得主动网络可以根据具体应用设定不同的安全级别。     

安全协议重放攻击的关联性分析

就安全协议的重放攻击进行了分析,针对重放攻击特点,引入了协议关联的相关理论,揭示了其关联本质,为更好地预防重放攻击提供了新的分析思路和方法.     

基于TePA的无线传感器网络安全方案

针对无线传感器网络的安全需求, 结合TePA技术提出了一种基于TePA的无线传感器网络安全方案。该方案简化了TePA技术的身份认证分组和分组字段, 解决了无线传感器网络在传感器节点接入和密钥协商的问题。采用改进的BSW逻辑验证了协议, 并从协议安全性和网络性能方面分析了方案, 结果表明方案能抵抗中间人攻击和重放攻击, 并适合无线传感器网络。     

网络安全协议SPWMN的安全性分析与改进

本文针对无线移动网络的会话密钥分配协议SPWMN进行安全性分析,发现消息重放攻击和反射攻击对其都是有效攻击。从而指出该协议在身份认证和提供加密预言服务方面有一定的安全缺陷,然后提出一种改进的协议SPWMN-1。改进后的协议并未增加计算开销,并且修正了SPWMN的安全缺陷,比原协议更安全实用。     

基于零知识证明的安全认证方案

为满足无线传感器网络的安全认证需求,针对传统认证方案中可能遭受的重放、中间人攻击的问题,提出了一种基于零知识证明的安全认证方案。网络中的合法节点与请求认证的节点间运行零知识证明协议,根据请求者的回答来验证请求节点的身份。分析表明,敌手无法从认证中获取关于秘密的信息,方案可以抵抗重放,中间人和节点间的合谋攻击,在能耗上也较小,适合资源受限的无线传感器网络。     

An IP Traceback Protocol using a Compressed Hash Table,a Sinkhole Router and Data Mining based on Network Forensics against Network Attacks

The Source Path Isolation Engine (SPIE) is based on a bloom filter. The SPIE is designed to improve the memory efficiency by storing in a bloom filter the information on packets that are passing through routers, but the bloom filter must be initialized periodically because of its limited memory. Thus, there is a problem that the SPIE cannot trace back the attack packets that passed through the routers earlier. To address this problem, this paper proposes an IP Traceback Protocol (ITP) that uses a Compressed Hash Table, a Sinkhole Router and Data Mining based on network forensics against network attacks. The ITP embeds in routers the Compressed Hash Table Module (CHTM), which compresses the contents of a Hash Table and also stores the result in a database. This protocol can trace an attack back not only in real time using a hash table but also periodically using a Compressed Hash Table (CHT). Moreover, the ITP detects a replay attack by attaching time-stamps to the messages and verifies its integrity by hashing it. This protocol also strengthens the attack packet filtering function of routers for the System Manager to update the attack list in the routers periodically and improves the Attack Detection Rate using the association rule among the attack packets with an Apriori algorithm.     

Demand Priority Protocol simulation and evaluation

A new network protocol (Demand Priority Protocol)environment can provide more satisfying service for different urgent transmission requests.In this paper,in order to provide guidance for the selection of environment of multimedia data transmission in Computer Supported Cooperative Work better,an objectoriented protocol specification language based on C is used to design a virtual environment of multiworkstation of computer cooperative work and to simulate execution of demand priority network protocol and then the performances of various transmission requests are analyzed.Finally,an evaluation of the demand priority LAN is given.     

安全密码认证机制的研究

随着计算机网络的迅速发展和应用系统不断增加,网络安全显得越来越重要。使用密码认证(PasswordAu-thentication)来判断用户的身份是最常使用的方法之一,文章将首先探讨各种密码认证机制的优缺点,并提出一个基于公钥加密体制的密码认证机制,可以有效地阻止重放攻击(replayattack),并且管理简单。     

基于GDOI的IPSec多播抗重放研究与实现

在讨论重放攻击和多播安全性问题的基础上,分析目前已成为Internet Protocol Security(IPSec)等数据安全协议组播密钥管理协议的ISAKMP Domain of Interpretation for Group Key Management(GDOI)工作机制,重点讨论基于GDOI的IPSec多播系统实现抗重放的问题,并在Linux主机上进行实现。     

对安全协议重放攻击的分类研究*

在详细研究攻击实例的基础上,从攻击成功的根本原因出发,提出了一种新的重放攻击分类方法.该分类方法能够更清楚地认识到重放攻击的原理和本质,并针对不同的重放种类给出了避免攻击的原则性方法,对协议的设计和分析起到了借鉴作用.     

基于特征分析的网络入侵检测技术比较

文章论述了基于特征分析的网络入侵检测技术的三种方法:模式匹配、协议分析和状态协议分析,分析了它们的工作原理。并通过包括SYNFlood、拒绝服务攻击、Nimda病毒和FTP缓冲区溢出等攻击实例详细说明他们不同的解决问题能力。     

基于事件逻辑的无线Mesh网络认证协议安全性证明

无线Mesh网络是一种结合无线局域网和移动自组织网络的新型多跳网络,无线网络的开放性和资源受限性使得无线网络容易遭受重放、伪装等攻击。事件逻辑是一种描述并发与分布式系统中状态迁移和算法的形式化方法,可用于证明网络协议的安全性。以事件逻辑为基础提出一系列性质,其中包含多组合信息交互、不叠加、事件匹配、去重复、去未来,以降低协议分析过程中的冗余度以及复杂度,提高协议分析效率。对无线Mesh网络客户端双向认证协议进行分析,证明该协议能够抵抗中间人发起的重放攻击,无线Mesh客户端双向认证协议是安全的。此理论适用于类似复杂无线网络协议形式化分析。     

OCSP协议的改进和实现

对标准在线证书状态协议(OCSP)进行分析,发现该标准协议存在一定的局限性。在此基础上对其进行改进,改进型OCSP响应包括基本类型OCSP回复和A类型OCSP回复。改进型OCSP响应器采用预签名技术,能提高性能且有效抵御重传攻击。对该响应器进行效率和安全性分析。实验结果表明,改进后的响应器的平均响应时间减少27%,提高了响应器的响应速度。