基于LKM的无线蜜罐实现技术研究*

为降低真实AP被探测攻击的概率及实现对探测攻击行为进行跟踪研究,提出了一种基于可加载内核模块LKM与无线网卡驱动MadWiFi的无线接入点蜜罐实现技术,随机生成大量的虚假无线接入点并响应连接探测,同时对探测攻击行为进行跟踪分析。实验结果表明该无线蜜罐实现技术达到了预期效果。     

伪造接入点技术的智能手机拒绝服务攻防策略

随着智能手机的普及化,面向该平台的拒绝服务攻击已经成为了无线安全研究领域的一个重要研究方向。针对目前智能Android手机网络安全防护措施研究的不足,从攻击与防御两个不同角度阐述了针对该平台的拒绝服务攻击方案和防御策略。引入了伪造无线WiFi接入点技术的拒绝服务攻击方案,并且提出了应对该攻击方案的双通道验证防御模型。实验结果表明,虚假的Wi-Fi接入点技术可轻易地对智能手机发起有效的拒绝服务攻击,同时双通道验证模型可高效验证无线接入点的网络连通性,为智能手机的安全防御研究提供基础。     

黑客半路伏击——Extranet有隐忧

Extranet对于企业业务非常理想:向客户开放企业内部网,利用更直接的联系手段增加企业的竞争力,提高生产效率。但是并非每个客户都值得信赖,网络主管必须要保护自己的网络,防止入侵者。 有很多的黑客使用调制解调器自动拨号软件不断搜索公用电话网中可能有的远程接入点,在找到接入点以后,尝试对口令进行攻击,这给具有远程接入功能的企业造成很大威胁。 当网络管理员对安全有更多的认识,就会感到现有安全控制手段的不足。     

基于D-S证据理论的主机违规行为检查方法

主机违规行为是能对主机及其所在信息系统的安全造成影响,或泄露主机上的重要信息的行为。提出一种主机违规检查方法,针对主机违规行为证据信息进行单一证据源基础概率判定,并通过D-S证据理论对其进行融合,计算得到主机行为的违规系数,以此作为违规检查的判定依据。实验表明,该方法能够满足主机违规检查工作的应用需求,具有较低的误报率和漏检率。     

软件定义天地一体化网络接入认证架构与方法

天地一体化网络因结构复杂存在网络异构动态、间歇连通、节点高度暴露等特性，为了保证安全，需要研究专有的接入认证架构与方法。首先利用软件定义网络控制面与数据面分离的思想将它与天地一体化信息网络相结合提出一种新的接入认证架构，对认证架构与过程进行详细描述，可以实现对网络的安全防护与资源的优化控制。然后根据架构特点，提出7个影响接入点决策的属性，给出各个属性的计算公式，将层次分析法与逼近理想解的排序方法相结合提出一种接入点决策算法，实验仿真结果表明接入点决策准确，可以实现资源的合理利用。     

基于SOPC技术的EPA蓝牙接入点的设计与实现

介绍了EPA中蓝牙接入参考协议模型,分析了蓝牙无线网段接入EPA有线网段的原理,并详细介绍了利用Altera公司开发的第二代Nios Ⅱ嵌入式处理器实现EPA蓝牙接入点的软硬件设计方案。测试表明该接入点运行良好,具有很好的性能。     

云计算下基于信任的防御系统模型

由于云计算的动态性和开放性,云环境中频频出现恶意攻击行为,为了保障云计算的安全,结合可信云的思想,提出一个云计算下基于信任的防御系统模型。该模型通过实时监控获取用户的行为证据并加以规范;提出一种新的基于模糊层次分析法（FAHP）的用户行为信任评估方法,逐步确定各行为证据的权重,实现行为信任的科学量化评估;利用多种检测引擎对可疑文件进行全面检测和综合决策,为云中用户提供最大限度的安全防御。实验结果表明,该系统模型能有效消除不良用户的恶意攻击行为、降低病毒等给用户带来的损失,达到云端和客户端双向防御的目的。     

企业终端网络安全合规管控研究

当前全球网络安全形势严峻,网络攻击层出不穷,且攻击来源、攻击目的、攻击方法等都在发生着巨大的变化,尤其针对终端的主动入侵、非法接入、漏洞利用等安全问题频发。本文根据企业终端网络安全的现状,结合相关安全技术,设计了一套企业终端安全管理的解决方案,在进行终端资产定位和规范用户行为的同时,也提供了可靠的威胁检测关联分析平台,最终达到规范化安全管理终端的目的,以满足信息化合规性的要求。     

基于SOPG技术的EPA蓝牙接入点的设计与实现

介绍了EPA中蓝牙接入参考协议模型,分析了蓝牙无线网段接入EPA有线网段的原理,并详细介绍了利用Altera公司开发的第二代Nios II嵌入式处理器实现EPA蓝牙接入点的软硬件设计方案。测试表明该接入点运行良好,具有很好的性能。     

用于自动证据分析的层次化入侵场景重构方法

为了能够自动分析入侵证据,提出了一种层次化入侵场景重构方法.其原理是:首先,基于报警关联技术重构出入侵者的抽象攻击步骤及步骤间关系;然后,基于攻击特征和依赖追踪技术重构出各步骤的行为细节;最后,通过两层重构结果的彼此映射,调整获得完整的入侵行为图.基于DARPA 2000的实验结果表明,该方法的重构结果准确性和完备性均比较高,而且抽象与细节相结合的表示方法更易理解,也更适合作为法律证据.而与现有方法相比,该方法在重构场景的完整性、适用行为的复杂性以及方法安全性等方面也有一定的改善.     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。     

基于移动端的轻量级NFC安全认证方案

基于NFC（Near Field Communication）手机强大的计算能力,采用双线性对设计了一个安全高效的NFC点对点认证方案。该方案与其他方案相比,认证交互过程少,相同条件下更加安全高效。该方案可以有效防止中间人攻击、重放攻击等,并且在认证过程中不需要第三方可信中心的参与,极大缩短了认证时间,能够应用于签到打卡、商户发放会员卡和传输敏感文件等认证场景。     

面向多网关的无线传感器网络多因素认证协议

无线传感器网络作为物联网的重要组成部分,广泛应用于环境监测、医疗健康、智能家居等领域.身份认证为用户安全地访问传感器节点中的实时数据提供了基本安全保障,是保障无线传感器网络安全的第一道防线;前向安全性属于系统安全的最后一道防线,能够极大程度地降低系统被攻破后的损失,因此一直被学术及工业界视为重要的安全属性.设计面向多网关的可实现前向安全性的无线传感器网络多因素身份认证协议是近年来安全协议领域的研究热点.由于多网关无线传感器网络身份认证协议往往应用于高安全需求场景,一方面需要面临强大的攻击者,另一方面传感器节点的计算和存储资源却十分有限,这给如何设计一个安全的多网关无线传感器网络身份认证协议带来了挑战.近年来,大量的多网关身份认证协议被提出,但大部分都随后被指出存在各种安全问题.2018年,Ali等人提出了一个适用于农业监测的多因素认证协议,该协议通过一个可信的中心(基站)来实现用户与外部的传感器节点的认证;Srinivas等人提出了一个通用的面向多网关的多因素身份认证协议,该协议不需要一个可信的中心,而是通过在网关之间存储共享秘密参数来完成用户与外部传感器节点的认证.这两个协议是多网关无线传感器网络身份认证协议的典型代表,分别代表了两类实现不同网关间认证的方式:1)基于可信基站,2)基于共享秘密参数.分析指出这两个协议对离线字典猜测攻击、内部攻击是脆弱的,且无法实现匿名性和前向安全性.鉴于此,本文提出一个安全增强的可实现前向安全性的面向多网关的无线传感器网络多因素认证协议.该协议采用Srinivas等协议的认证方式,即通过网关之间的共享秘密参数完成用户与外部传感器节点的认证,包含两种典型的认证场景.对新协议进行了BAN逻辑分析及启发式分析,分析结果表明该协议实现了双向认证,且能够安全地协商会话密钥以及抵抗各类已知的攻击.与相关协议的对比结果显示,新协议在提高安全性的同时,保持了较高的效率,适于资源受限的无线传感器网络环境.     

机卡分离中基于身份的认证及密钥协商协议

为增强数字电视条件接收系统的安全性,用户端宜采用“机卡分离”的方法。其中,设计既安全又切实可行的机卡认证及密钥协商协议是一个重要环节。该文根据机卡分离环境的需求,设计了一个基于身份的双向认证及密钥协商协议。该协议可以抵抗中间人攻击、交错攻击与反射攻击。并且与基于证书的协议相比,无需可信第三方的介入,协议双方具有较少的通信量,在智能卡端也具有理想的计算量和较小的存储空间。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

SELinux特权用户管理的设计与应用

分析SELinux体系在当前Linux类操作系统中的应用,基于角色的访问控制模型与可信计算,提出新的特权用户标识定义,利用该定义给出一种安全Linux操作系统特权用户管理方案。通过UID与角色的二维标识方法解决特权用户区分的问题,以可信计算中的密码服务加强认证的安全强度,用内核安全加固解决安全模式切换问题,从而改进SELinux在Linux类操作系统中的安全性。     

无线接入点的安全性检测算法研究

无线钓鱼接入点通过设置与真实接入点完全相同的名称诱骗受害者接入伪装的无线接入点,进而可以窃取隐私信息。本文针对无线钓鱼接入点的网络安全问题,在分析无线钓鱼接入点的特征后,根据正常接人点与钓鱼接人点网络链路和MAC地址的区别,提出无线接入点的安全性检测算法,从而保证无线网络用户的信息安全。实验结果证明本文提出的算法准确、有效。     

一种基于集成可信身份识别和访问管理方法的安全可信网络框架

本文提出一种基于集成可信身份识别和访问管理方法的安全可信网络框架,该框架提供了一种灵活建模和描述数字用户身份的机制,同时支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,从而完成可信认证。     

A trusted access method in software-defined network

In software-defined networks (SDN), most controllers do not have an established control function for endpoint users and access terminals to access network, which may lead to many attacks. In order to address the problem of security check on access terminals, a secure trusted access method in SDN is designed and implemented in this paper. The method includes an access architecture design and a security access authentication protocol. The access architecture combines the characteristics of the trusted access technology and SDN architecture, and enhances the access security of SDN. The security access authentication protocol specifies the specific structure and implementation of data exchange in the access process. The architecture and protocol implemented in this paper can complete the credibility judgment of the access device and user's identification. Furthermore, it provides different trusted users with different network access permissions. Experiments show that the proposed access method is more secure than the access method that is based on IP address, MAC address and user identity authentication only, thus can effectively guarantee the access security of SDN.     

无线移动网络跨可信域的直接匿名证明方案

基于信任委托的思想,提出一种移动环境下的跨可信域的直接匿名(direct anonymous attestation,简称DAA)证明方案,采用代理签名技术和直接匿名证明方法,实现对移动终端在多可信域之间漫游时的可信计算平台认证,并在认证过程中协商会话密钥,增强了远程证明体系的安全性.利用Canetti-Krawczyk(CK)模型对方案的认证协议的认证安全性和匿名安全性进行了形式化分析和证明.分析表明,该方案能够抵抗平台伪装攻击和重放攻击,其性能适用于无线网络环境.