改进的基于认证的DDoS源追踪方案

利用基于双钥序列的消息认证码理论,以自适应概率包标记和高级包标记Ⅱ为基础,针对当前危害甚大的拒绝服务攻击,提出了一种改进的基于认证的DDoS源IP追踪方案.以自适应概率为基础,既达到了较高的追踪收敛率,又能最大限度地降低攻击者伪造数据包的余地.采用基于双钥序列的HMAC算法,对标记信息进行认证,防止攻击者修改已有的标记信息,达到较高的安全性和抗干扰性.     

基于追踪部署的动态概率包标记算法的研究

基于追踪部署的相关理论和动态概率包标记算法,针对当前危害甚大的分布式拒绝服务攻击,提出一种基于追踪部署的IP回溯算法。该算法是以贪心算法为基础利用K-剪枝算法在网络拓扑图中找出一些关键的路由器,利用这些路由器也就是只让tracers对过往的数据包按照动态概率包标记算法进行标记,这样大大减少了重构路径所需的数据包数,提高了追踪到攻击者的速度,而且大大减轻了路由器标记的负担,从而能够迅速而准确的找到攻击源。     

基于AS协同的分布式拒绝服务攻击追踪机制研究

提出一种基于自治系统协同的分布式拒绝服务攻击的追踪算法.在该算法中,自治系统边界路由器把所在的AS信息以一定的概率对经过的数据包进行标记,受害者可通过数据包中所标记的路径信息重构出攻击路径,从而追踪到攻击源.带认证的标记方法有效地防止了攻击者伪造和篡改数据包中的路径信息.与其它追踪算法相比,该算法实现了快速实时追踪攻击源,有效地抑制了攻击流进入其它的网络,及时缓减了攻击带来的影响.     

一种可认证密钥分配方案

给出一种新的可认证密钥分配方案，该方案基于差错控制编码理论中的系统线性分组码，而不使用任何加算法，它不仅对于抵御内外攻击者的攻击具有较高的安全性，而且还可以提高通信的可靠性。     

物联网中的隐私保护问题研究

在物联网中的认证和密钥协商过程中,如果用户的身份信息以明文的形式传输,攻击者可能追踪用户的行动轨迹,从而造成信息泄漏。针对大多数基于身份的认证和密钥协商协议不能保护用户隐私的问题,提出一个基于身份的匿名认证和密钥协商协议。在设计的认证和密钥协商方案中,用户的身份信息以密文的形式传输,解决了用户的隐私问题。     

基于动态概率包标记的IP追踪技术研究

IP追踪和攻击源定位技术在DDoS攻击防御研究中有重要意义。概率包标记（Probabilistic packet marking,PPM）是一种可行的IP追踪方法,但是PPM潜在缺点是标记可能被攻击者伪造,以混淆或阻止追踪。文中提出一种新的方法：动态概率包标记（dynamic probabilistic packet marking,DPPM）来改进PPM。DPPM通过选择一个动态的标记概率,而不是使用一个固定的标记概率,或许能完全移除不确定性,从而使受害者能精确确定攻击源。对比分析表明DPPM在很多方面要优于PPM。     

基于动态概率包标记的IP追踪技术研究

IP追踪和攻击源定位技术在DDoS攻击防御研究中有重要意义.概率包标记(Probabilistic packet marking,PPM)是一种可行的IP追踪方法,但是PPM潜在缺点是标记可能被攻击者伪造,以混淆或阻止追踪.文中提出一种新的方法:动态概率包标记(dynarnic prohabilistic packet marking,DPPM)来改进PPM.DPPM通过选择一个动态的标记概率,而不是使用一个固定的标记概率,或许能完全移除不确定性,从而使受害者能精确确定攻击源.对比分析表明DPPM在很多方面要优于PPM.     

一种无线网络量子密钥分配协议

论文在BB84协议基础上提出了一个无线网络量子密钥协议,该协议利用一条具有回路的量子信道传送信息并设计一种新的编码方式,使光子利用效率达到100％,密钥分配效率是BB84量子密钥分配协议的两倍或更高,并且该协议不需要容易被攻击的经典信道,更适用于无线网络.该协议通过预共享密钥方法进行身份认证,避免了攻击者跳过身份认证直接发送密钥的弊端,采用消息摘要的方法验证消息是否被篡改或窃听,由于消息摘要使用了预共享密钥进行一次一密加密,攻击者无法篡改,从而保证安全.     

基于IPv6的概率包标记路径溯源方案

针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。     

基于神经网络的电力调度信息加密传输方法研究

电力传输网络中攻击者常采用多种手段监听电力调度信息,而传统的信息加密方法保持密钥新鲜性的能力较弱,导致电力传输网络的安全性和自愈性较低。为此,利用神经网络自学习和自适应的特点,设计了新的电力调度信息加密传输方法。基于神经网络设置混沌序列,并计算连接权矩阵,然后根据行列代换规则对电力调度信息序列实时加密。在此基础上,结合动态密钥生成模块以及共享密钥更新模块实现对电力调度信息的动态加密传输。实验结果表明:在6种不同攻击环境下,该方法均具有很高的可靠性,大幅提升了电力传输网络的安全性和自愈能力。     

一种通用的大规模DDoS攻击源追踪方案研究

本文提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法.相比其它方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复.此外,本文通过巧妙运用方程组唯一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠的恢复出真实的攻击路径.分析表明,该种方法能与IPv4协议较好的兼容,具有较好的抗干扰性.通过仿真实验证实,该方法相比FMS、CHEN等人提出的方法在收敛性和误报方面体现了较强的优势.     

基于压缩HMAC算法的传感器网络范围查询方法

传统范围查询方法主要针对一维数据,在感知节点上传的信息较多,导致能耗较高。提出一种基于压缩HMAC算法的两层无线传感器网络多维数据范围查询方法。使用AES对称加密算法生成数据密文及加密索引链,运用反向0-1编码和压缩HMAC算法生成最值比较链,反向0-1编码不需额外进行数值化处理,压缩HMAC算法能够缩短HMAC编码长度,从而减少感知节点的发送数据,降低感知节点的能量消耗。在AliOS Things Developer Kit开发板和iTOP-4412核心板上对该方法进行实验,并从单个周期采集数据个数、感知节点数据位数和采集数据维数3个方面与CSRQ等方法进行能量消耗对比分析,结果表明,该方法能保持数据的完整性,且能量消耗更少。     

On the Security of an Efficient Time-Bound Hierarchical Key Management Scheme

Recently, Bertino et al. proposed a new time-bound key management scheme for broadcasting. The security of their scheme is planted on the hardness breaking of elliptic curve discrete log problem, HMAC, and tamper-resistance devices. They claimed that as long as the three assumptions hold, their scheme is secure. By means of secure, users cannot access resources that they are not granted, even if users collude. In this paper, we demonstrate that this scheme is insecure against the collusion attack. We also provide some possible amendments to this scheme.     

一种基于USB Key的短波通信身份认证方案

针对短波网络的窄带特性, 提出了一种基于USB Key和PIN码的身份认证方案. 方案采用挑战/应答机制, 借鉴了3G认证中的五元鉴权思想, 依托HMAC算法有效减少了认证过程中的开销, 能够满足短波网络的窄带需求, 并具有较高的安全性.     

基于黑盒水印的NLP神经网络版权保护

随着自然语言处理（NLP，natural language processing）技术的快速发展，语言模型在文本分类和情感分析中的应用不断增加。然而，语言模型容易遭到盗版再分发，对模型所有者的知识产权造成严重威胁。因此，研究者着手设计保护机制来识别语言模型的版权信息。现有的适用于文本分类任务的语言模型水印无法与所有者身份相关联，且鲁棒性不足以及无法再生成触发集。为了解决这些问题，提出一种新的适用于文本分类任务模型的黑盒水印方案，可以远程快速验证模型所有权。将模型所有者的版权消息和密钥通过密钥相关的哈希运算消息认证码（HMAC，hash-based message authentication code）得到版权消息摘要，由HMAC得到的消息摘要可以防止被伪造，具有很强的安全性。从原始训练集各个类别中随机挑选一定的文本数据，将摘要与文本数据结合构建触发集，并在训练过程中对语言模型嵌入水印。为了评估水印的性能，在IMDB电影评论、CNEWS中文新闻文本分类数据集上对3种常见的语言模型嵌入水印。实验结果表明，在不影响原始模型测试精度的情况下，所提出的水印验证方案的准确率可以达到 100%。即使在模型微调和剪枝等常见攻击下，也能表现出较强的鲁棒性，并且具有抗伪造攻击的能力。同时，水印的嵌入不会影响模型的收敛时间，具有较高的嵌入效率。     

无线传感器网络多应用场景下的安全数据融合方案

针对无线传感器网络多应用场景下异构数据的安全融合问题,提出了一种轻量级的安全数据融合保护方案,该方案可同时保障数据的隐私性、完整性和新鲜性。首先,以当前融合轮数和节点预置密钥作为哈希函数的输入,为节点更新每个融合周期的密钥;其次,采用同态加密技术,使中间节点能够对密文直接执行融合操作;然后,采用同态消息认证码,使基站能够验证融合数据在传输过程中是否被篡改;进一步,对明文信息采用编码机制,以满足多应用场景下异构数据聚集的使用需求。理论分析和仿真结果表明,该算法具有较好的安全性、较低的通信开销和更高的融合精确度。     

基于自适应流特征的半脆弱流指纹编码方案

针对流交换中网络抖动和流变换导致的流指纹不可用、不可信问题,提出了基于自适应流特征的半脆弱流指纹编码方案(ACSF)。首先,采用流特征参数作为生成哈希消息验证码(HMAC)密钥、确定HMAC置乱方式以及选择伪噪声(PN)码初始相位的依据,将密钥空间提高到O((k+1)·(S·O(K_EN))),增加了敌手穷举的计算复杂度;同时,增加流指纹自适应性,将解码计算复杂度降低到O(k²·l·n_f),提高了解码效率。其次,采用直接序列扩频(DSSS)技术,在多流互扰强度达到66.7%时,解码正确率可以达到90%以上,实现了过滤非恶意处理;而且,采用HMAC技术,使得篡改定位准确率为98.3%以上,使指纹具有半脆弱性。最后,对ACSF的安全性、篡改定位能力和抗干扰能力进行了理论分析和实验验证。     

基于非密码认证体制的密钥分配方案

对称密钥加密体制是加密大量数据的行之有效的方法，使用对称密钥匙加密体制需要通信双方协商密钥。提出了一种结合非密码认证体制和HMAC的简单快速的密钥分配方案，在完备的基于口令的身份认证体制基础上，利用散列函数的性质，根据以离线方式共享的强度较低的密钥生成安全性更高的密钥，保护通信系统的对称加密密钥协商过程。     

WiMAX认证方案研究

WiMAX安全要实现两大目标:一是为整个无线网络提供机密性保护;二是提供网络接入控制功能。IEEE802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制。本文首先分析了WiMAX网络物理层和MAC层面临的安全威胁,然后给出了WiMAX网络安全体系架构。最后,对散列消息认证码(HMAC)、X.509证书和可扩展认证协议(EAP)进行了详细的介绍。     

基于连接认证的低功耗蓝牙泛洪攻击防御方案

针对低功耗蓝牙易受泛洪攻击的问题,提出了一种连接认证模型,基于该模型设计了低功耗蓝牙泛洪攻击防御方案。方案结合HMAC(Hash-based Message Authentication Code)运算速度快与蓝牙通信同步性强的特点,设计检测模块判断通信状态,利用挑战应答的方式设计连接请求认证协议,在蓝牙协议运行前进行主从设备双向认证,过滤掉攻击报文,保证低功耗蓝牙连接建立的安全。安全性分析和实验结果表明,方案能够有效防御泛洪攻击,同时具有较小的存储和计算开销,适合应用于低功耗蓝牙中。