优化认证消息流防止中间人攻击

中间人攻击是对网络协议的攻击,该攻击普遍存在并危害较大,很多安全协议也面临威胁.按照发展层次比较了对一般通信、附加认证和安全协议的通信和受保护认证通信的中间人攻击方式,分析了可以避免该攻击的几种方法.以联锁协议为基础,以受保护的认证协议为例,提出了通过改变认证消息序列避免攻击的安全认证协议构造方法.     

基于P2P网络的Over-Issued CRL机制研究

目前关于公钥基础设施（public key infrastructure）中证书撤销问题的主要解决方案是使用X.509证书撤销列表（Certificate Revocation List）来定期发布证书状态信息。现有的发布机制存在CRL存储库峰值负荷过重,导致PKI部署成本过高的问题。通过对Over-Issued CRL模型和P2P技术的分析,给出一种基于P2P网络和Over-Issued CRL发布机制,它结合了上述两种技术的优点,有效降低了CRL存储库峰值负荷。     

量子密钥分配的中间人攻击与防范

本文对中间人攻击和防范进行了一定的分析，并且针对量子密钥分配以BBB84协议为例提出了中间人攻击，提出一些防范方法，如传统密码学的数学签名，实用的多途径发布验证信息。并且提出一种利用在传输中插入量子纠缠态粒子的量子鉴别监听的方案来发现中间人攻击的存在。     

一种可抵御中间人攻击的IPv6地址生成方法

ND(Neighbor Discovery)协议的安全缺陷使得IPv6节点易受到中间人攻击,对网络安全造成巨大威胁.基于CGA(Cryptographically Generated Addresses)的SEND(Secure ND)协议虽然可以抵御此类攻击,但计算开销大,难以推广实施.本文提出的利用单向散列算法生成IPv6地址的方法,通过加密绑定节点的链路层地址和IP地址,可以有效阻止此类攻击.分析和模拟实验表明,该方法能够有效减小计算开销和网络负载,简便易于实施.现阶段该方法可与CGA结合使用对IPv6链路进行保护.     

PKI中几种证书撤消技术的研究

PKI作为一种基础性安全设施,涉及的技术环节是方方面面的。本文试图从PKI中的证书撤消环节上提出一点自己的看法,以期能给PKI的优化提供一些有益的参考。     

一种基于分段的CRL改进方案

分析了有序顺序表和二叉排序树表的证书撤销列表方案的不足,提出了一种基于分段的证书撤销列表CRL（Certificate Revocation List）改进方案,给出了按撤销证书到期的时间间隔的分段策略,并对CRL结构进行了改进。通过分析表明,缩短了证书用户查找撤销证书的平均搜索长度,在CRL更新时,不但减少了其它已撤销证书的移动次数,而且还减少了CA对CRL重新签名的计算量。     

CRL的一种改进方案

提出了一种改进的CRL方案,通过对CRL结构的改进,大大减少了证书用户查找撤销证书的时间。方案使用的基于排序的折半查找算法比较成熟,整体方案易于实现。     

基于数据包的中间人攻击分析

本文根据ARP欺骗、DNS欺骗和SSL中间人攻击原理及特点,利用嗅探工具捕获此类攻击的数据包,并分析此类数据包的特点,最后提出防范中间人攻击解决方案.     

无线网络的中间人攻击及防御方法

如今WiFi、蜂窝移动数据等各种无线网络已经得到广泛的普及和应用，无线网络的安全问题愈加重要。目前，针对无线网络进行中间人攻击已大量存在，也是一种具有较大威胁的攻击手段。本文将从技术原理、攻击方式、防御方法等角度对无线网络的中间人攻击进行论述。     

一种分布式的分段增量CRL机制

在分析分段增量CRL证书撤销机制的基础上,针对网络稳定性差、带宽有限的环境,提出了一种分布式的分段增量CRL机制。新机制能有效降低信任实体对CRL库的请求率、分散网络中CRL传输的数据流、保证用户及时获取最新的证书撤销信息,并且实现容易。     

园区网PKI的设计与实现

大多数的安全应用现在都引入公钥密码算法,而公钥密码算法需要公钥基础设施PKI来支持公钥的分发。该文提出一种适合于园区网的单CA多RA加交叉认证的PKI模型的设计及实现。为了研究公钥证书管理流程,引进了证书生命周期,并讨论了园区网公钥管理中的交叉认证和证书撤销列表问题。     

公钥基础设施CPKI系统的设计与实现

一个完善的PKI系统应该具有安全性、易行性、可扩展性和互操作性等性质。本文介绍了一个自主版权CPKI系统的体系结构，重点讨论了在该系统开发过程中怎样通过分层服务、双密钥对机制、自动CRL验证等技术来满足这些性质。     

一种高效实用的证书验证机制的研究

在公钥基础设施当中,数字证书有可能在没有到期就要撤销它.PKI主要提供了两种证书撤销方法,就是周期性发布的证书撤销列表CRL和在线证书状态协议OCSP.详细地分析了CRL和OCSP两种证书撤销机制的优点和局限性,结合两者各自的优点,提出了一个高效实用的证书验证机制.给出了该机制的工作原理,并详细地介绍了的实现方法.     

在线证书状态协议与状态机关

讨论了在线证书状态协议（OCSP）,首次提出了状态机关（SA）的概念,并根据OCSP协议定义的HTTP模式,衍生出能与其它任何应用程序结合的TCP模式,定义了它的通用访问接口,而且将之加入到安全中间件国家标准草案中,最后,设计了基于消息中间件的推送SA结构,解决了SA的吞吐量问题,给出了实际环境下SA请求的测试数据,并讨论了它的开销成本.     

基于带权跳表的证书废除机制CRPSL

在目前已经提出的证书废除机制中,由于未考虑证书查询概率之间的差异,限制了算法的性能。基于带权跳表的证书废除机制(CRPSL)根据证书查询频度动态调整证书废除字典的存储结构,使查询频度高的证书查询路径缩短,查询速度加快。测试结果表明,CRPSL的插入、删除及查询性能均比CRL及2-3CRT高,较好地适合了证书查询的实际情况。     

OCSP证书状态查询机制与实现

证书状态查询是公钥基础设施中最重要的问题之一,OCSP是解决这个问题的一种重要机制。文章分析了CRL协议、OCSP协议、状态缓存、线程池、预签名,设计了一种OCSP服务器的实现方法,详细描述了该设计在具体实现中需要特别注意的几项关键技术,以提高系统的性能和稳定性。     

证书吊销的线索二叉排序Hash树解决方案

提出了公钥基础设施(publickeyinfrastructure,简称PKI)中证书吊销问题的一个新的解决方案--线索二叉排序Hash树(certificaterevocationthreadedbinarysortedhashtree,简称CRTBSHT)解决方案.目前关于证书吊销问题的主要解决方案有X.509证书系统的证书吊销列表(certificaterevocationlist,简称CRL)、Micali的证书吊销系统(certificaterevocationsystem,简称CRS)、Kocher的证书吊销树(certificaterevocationtree,简称CRT)及Naor-Nissm的2-3证书吊销树(2-3CRT),这些方案均不完善.在CRT系统思想的基础上,利用线索化二叉排序树及Hash树给出的新方案,既继承了CRT证明一个证书的状态(是否被吊销)不需要整个线索二叉树,而只与其中部分相关路径有关的优点,又克服了CRT在更新时几乎需要对整个树重新构造的缺点,新方案在更新时仅需计算相关部分路径的数值.新方案对工程实现具有一定的参考价值.     

一个新的证书吊销列表设计方案

通过对证书员销列表中吊销证书条目字段重新编码在,结合分段的思想,提出一个新的证书吊销信息分发方案Compact CRL,新方案大大简化了CRL的大小,节省了证书吊销信息分发所需要的带宽。     

Kerberos协议的安全分析及对策研究

对传统Kerberos协议的安全性进行分析,提出一种改进协议。利用公钥加密私钥解密体制,解决口令猜测攻击以及对称密钥存储复杂的问题。为避免请求资源的消息被攻击者截获后进行重放,通过增加消息序列号和发送随机数相结合的方法,使应用服务器能够识别出被攻击者重放攻击和客户端重发的消息。在客户端和应用服务器端都采用非易失性存储器来存储密钥链和消息列表,客户端与资源服务器之间的交互数据都使用密钥链中的密钥代替票据授权服务器颁发的会话密钥进行加密,动态密钥保证消息的完整性,使会话密钥不易被截获。分析结果表明,改进协议能有效提高系统的安全性。     

基于PKI的远程网上阅卷系统安全设计

本文分析了利用PKI技术如何保证信息的机密性、真实性、完整性和不可否认性,介绍了PKI技术五大组成部分的功能。在此基础上,针对一个实际的基于因特网的网上阅卷系 统,给出其相应的系统安全模型和设计,阐述了系统中的身份认证和数据加密机制。