基于Agent的网格安全跨域扩展研究

网格安全已成为网格计算的核心问题.大多数的网格体系都只是提供了安全基础设施,而没有规定具体的安全措施实施框架和安全交互过程.结合移动代理技术提出了一个网格安全跨域扩展模型(MA-GSME),介绍了工作流程及主要实现技术.借助一种数据结构,使移动代理的智能性得以充分发挥,进而在一定程度上解决了网格跨域访问的难题.分析结果表明,新模型在一定程度上增强了网格单点登录的功能,并提高了系统实施跨域访问的透明性及有效性.     

浏览器扩展行为监控系统的设计与实现*

浏览器扩展是一种允许为浏览器添加个性化功能的机制。然而,这一机制在极大地增强了浏览器表现能力的同时,也使浏览器暴露在更多的攻击之下。为有效缓和浏览器扩展机制给用户带来的安全威胁,设计并实现了针对浏览器扩展的行为监控系统,通过一组安全策略来控制扩展对关键接口的访问;最后对该系统的有效性及性能进行了分析和测试。实验结果表明,系统可有效降低用户在使用浏览器扩展时所带来的安全风险。     

网页木马与跨域漏洞

随着计算机网络的广泛应用,网络安全问题日益重要。本文分析了时下流行的网页木马的原理、InternetExplorer所实施的跨域安全模型及网页木马所利用的几个严重的跨域漏洞。旨在帮助用户提高安全意识,做好网络安全防范。     

基于分层P2PSIP的移动终端跨域切换方案

提出了一种基于分层P2PSIP的移动终端跨域切换方案.通过结合P2P定位方式和SIP(Session InitiationProtocol)应用层对移动切换的支持,解决了终端在不同P2P覆盖网间移动后定位的问题.基于SIP)的终端在不同IP子网间移动后,为了正常定位和维持当前会话,必须采取某种移动切换机制.常用的切换机制包括Mobile IP方式和SIP应用层的移动切换支持.在分布式P2PSIP环境中,移动切换问题仍然存在.实际环境中,一定范围内往往有多个相邻的P2P覆盖网,为了使处于不同P2P覆盖网的终端之间可以互相定位和发起会话,可以将独立的P2PSIP网络划分为两个层次,分别用于内部SIP会话和不同P2P网络间的交互.分析并扩展了分层P2PSIP的网络架构,设计了一套对应的切换方案,使得处于分层P2PSlP中的任意两个终端之间可以被定位和发起跨域会话.     

基于IRBAC的跨域角色映射方法

在资源共享越来越密切的今天,跨域授权访问变得越来越重要, IRBAC2000模型通过动态角色转换来实现域间的授权访问,但是该模型在动态角色映射时存在最小权限、职责分离和域穿越等问题.提出一个矩阵结构的跨域映射方式来改进IRBAC2000,研究了该方式的表现形式,分析了上述三个问题的改进措施,并用一个实例说明该改进方式在管理和实现方面的优点.     

基于Ajax技术的跨浏览器组件研究

随着网络技术的发展,出现了多种流行的浏览器。由于不同的浏览器,有着各自的特征和限制,因此更多的浏览器的出现,将会促使更多的技术融入到Ajax中去。跨浏览器是Web应用可用性的重要组成部分,处理跨浏览器兼容性成了一个迫切需要解决的问题。Ajax技术为创建一个可以很容易在所有浏览器中使用的可移植的组件提供了一个通用编程模式。     

基于身份的跨信任域签密方案

实际网络环境尤其是未来异构网络融合环境中,各个信任域大多都是独立的自治域,使用不同的系统参数.为此提出了一种新的基于身份的跨信任域签密方案,该方案对PKG系统参数不作限制,各PKG可以使用完全不同的系统公开参数、不同的主密钥和公钥.并且在该签密协议的基础上给出了会话密钥的生成方法.在随机预言模型中给出了安全性证明,在BDH问题是困难的的假设下该协议是安全的,其满足机密性、不可伪造性、不可否认性和公开验证性.在与其他跨信任域签密方案计算开销相当的情况下,该方案不仅实现了跨信任域签密,而且对各PKG参数不作限制.     

基于联盟链的跨域认证方案

针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码（IBC,identity-based cryptography）体制与联盟链的跨域认证方案。通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性。在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题。提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题。在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程。在安全性方面,使用SVO逻辑对认证协议进行分析,证明了跨域认证协议的安全性。通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析。分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现。在通信效率上,相较于其他方案有不错的表现。通过联盟链工具对链上读...     

基于异步动态代理的跨域单点登录系统研究

实时单点登录系统存在AJAX不能直接跨域调用,cookie不能跨域读写等问题,使得异步实时跨域单点登录很难实现.为了解决这些问题,设计了基于异步动态代理的跨域单点登录系统,即运用Web设计模式中的代理模式解决异步实时跨域单点登录.分析了该系统的设计原则,设计了该系统的接口、系统的结构以及工作流程,并以某企业网络为实例,利用异步动态代理实现了跨域单点登录.     

基于浏览器扩展的Drive—by Download防御方法

基于Web的病毒感染及扩散方法,目前成为了互联网中病毒传播的主要方式。Drive—by Download攻击是其中一种非常常见的攻击方法。文中用浏览器扩展来监控用户下载文件的活动,从而建立相应的白表。同时在内核空间安装钩子,用于阻止非用户下载文件的执行,从而有效地防御Drive—by Download攻击。文中实现了一个在Windows操作系统上,基于Firefox扩展的原型系统：DPrevent（Drive—by Download Prevent）。实验表明,该系统的误报和漏报率都为零。同时因为它本身不需要知道具体的攻击方法,因此还可以有效地防御zero—day攻击。该系统的性能开销几乎为零,优于目前这方面的各种动态防御技术。     

基于Cookie和信任链的跨域单点登录方案

由于HTTP协议存在无状态性,很多网站采用Cookie来认证用户,但Cookie不能够跨域传递.在对基于Cookie的认证方式和单点登录的实现机制做了深入分析和研究的基础上,结合信任链观点,提出了一种基于Cookie的跨域认证方法.     

恶意浏览器扩展行为分析与建模

文章基于开源的Firefox浏览器,对运行于Firefox内部的浏览器扩展的行为进行分析、总结,对恶意浏览器扩展的行为进行分类,并建立恶意浏览器扩展的状态转移行为模型,以对恶意浏览器扩展的恶意行为进行较为全面的描述,为后续针对恶意浏览器扩展的检测工作奠定基础,以期建立和完善安全浏览器。     

混合云环境下基于异构系统的跨域身份认证方案

在混合云环境下,为满足身份认证方案在不同密码系统之间的跨域认证需求,提出一种基于公共密钥基础设施(PKI)和无证书密码体制(CLC)的跨域身份认证方案。引入基于PKI的多中心认证管理机制,对不同密码系统安全域的用户匿名身份进行管控和追踪。在用户和云服务提供商的双向认证过程中,完成会话密钥的协商和不同密码系统匿名身份的转换。分析结果表明,该方案在实现不同密码系统之间跨域身份认证的同时,可抵抗重放攻击、替换攻击和中间人攻击,具有较高的安全性及计算效率。     

基于XPCOM代理的浏览器扩展行为分析技术研究

文章通过对Firefox浏览器提供给浏览器扩展调用的XPCOM（Cross Platform Component Object Module）组件进行分析,发现浏览器扩展的主要功能都要通过调用XPCOM组件得以实现。本文在对Firefox的源代码进行分析的基础上,通过添加、修改其XPCOM组件部分的源代码,实现对浏览器扩展调用的XPCOM组件的劫持功能,从而可以获知浏览器扩展在Firefox中运行时的实时行为。     

基于改进PBFT算法的PKI跨域认证方案

为解决现有公钥基础设施跨域认证方案的效率问题,利用具有分布式和不易被篡改优点的区块链技术,提出基于联盟区块链的跨域认证方案。一方面,该方案对联盟链在传统实用拜占庭共识算法(PBFT)的基础上加入了节点动态增减功能;改进了主节点选举方式;将三阶段广播缩减为两阶段广播,减少了通信开销。另一方面,该方案设计了联盟链跨域认证协议,给出了区块链证书格式,描述了跨域认证协议,并进行了安全和效率分析。分析表明,在安全方面,该方案具有抵抗分布式攻击等安全属性;在效率方面,与已有跨域认证方案相比,该方案在计算开销上、通信开销上都有优势。     

基于区块技术的权重标识的跨域认证方案

在分布式的网络环境中,多个企业机构之间有在某种共识下的共享资源.为预防未经授权的用户访问这些资源,将改进的基于权重的秘密共享签名方案用于联盟链中的共识过程,提出基于区块技术的权重标识的跨域认证模型.模型中不同CA机构作为联盟链中共识机制的验证节点,系统基于验证节点的权重采用改进的秘密共享方案生成拥有不同权重的私钥分配给...     

基于区块链和动态累加器的跨域认证方案

基于区块链的跨域认证利用区块链代替传统的CA机构颁发区块链证书,借助区块链的去中心化和透明性,实现了信任的去中心化;针对现有基于区块链的跨域认证存在着跨域认证效率不高,没有完整的证书管理功能、区块链存储证书开销大的问题,提出了基于区块链和动态累加器的跨域认证方案,设计了区块链证书格式,描述了跨域认证协议,将区块链证书信息映射为累加值,提升了验证效率,通过在智能合约中构建动态累加器,实现证书的注册,撤销和查询功能;实验结果表明,该方案能够有效降低区块链证书存储成本,提升跨域认证效率.     

Web应用界面跨浏览器兼容性的自动检测方法

随着Web应用被越来越广泛地使用,其稳定性也受到开发人员及用户的重视,其中很重要的一项指标是Web应用在不同浏览器中的兼容性问题。为了保证应用在所有的浏览器中都可以正常使用,在开发阶段对浏览器兼容性隐患进行检测就显得非常重要。为此,提出了一个在开发阶段可以自动检测Web应用界面跨浏览器兼容性问题的一项新技术,它可以自动浏览Web应用的所有页面,通过对同一页面在不同浏览器里所提取出的代码结构信息和相关属性的分析,生成差异报告,从而帮助开发人员更快地找到有兼容性问题的元素。完成了该方法的具体实现,并将其应用于一个具体的开发项目中来,收集相关的数据并验证该方法的可行性。最后根据实验数据归纳了常见的Web应用界面兼容性问题。     

基于多层区块链的跨域认证方案

针对现有集中式身份认证方式在物联网应用场景下管理成本高、异构信任域之间的证书管理困难以及跨域认证场景下多信任域难以互相信任的问题,提出了一种基于多层区块链的跨域认证方案.使用本地区块链来进行物联网应用场景下分布式的节点管理,使用公共区块链来进行区块链之间的跨链身份认证,设计了跨域认证协议.针对跨域访问时存在的多个管理域相互信任问题,提出了基于信任度评价的委托权益证明(DPOS)来评估节点的可信度.最后对跨域认证方案进行了安全和效率分析,分析表明该方案在保证较好安全性和有效性的基础上,提升了跨域认证的效率.     

云环境下基于代理盲签名的高效异构跨域认证方案

针对现有不同体系公钥基础设施(Public Key Infrastructure,PKI)和无证书公钥密码体系(CertificateLess public key Cryptography,CLC)的跨域身份认证方案不能满足身份盲化性以及高效的异构跨域认证问题,提出代理盲签名的高效异构跨域认证方案。该方案重新构造了一个高效、安全的跨域身份认证模型并结合代理签名和盲签名的优点,在云间引入一个可信认证中心CA给予第三方合法代理者可信的代理权限来执行代理盲签名操作。此代理者不仅减少了云间认证中心CA的通信负载,实现不同域授权代理盲签名用户和请求代理盲签用户之间的信息交互,还满足了双向实体身份同步认证的盲化性以及代理盲签名的可识别性,提高了认证安全性。分析结果表明,该方案基于数学困难性问题满足抗替换性攻击、抵抗重放攻击、抗中间人攻击和身份不可追踪性等性能,完成了异域用户之间高效、高安全性的跨域身份认证。