一种安全的匿名通信方案

为了加强网络的安全性,人们已经采用了几种匿名通信技术并且收到了一定的成效,但这些技术都或大或小存在一定的局限性.在本文中,我们首先分析了匿名通信的现状,介绍了IPSec协议,并在这个基础上研究了一种新的基于IPSec的理想匿名通信技术方案.这种技术方案提供了双向、即时的网络匿名通信,它对于任何使用TCP/IP协议的网络都能有效地防止通信堵塞.然后,本文又描述了其信号协议、基本原理及其模型的执行过程.     

网络层匿名通信协议综述

匿名通信系统是一种建立在应用层之上结合利用数据转发、内容加密、流量混淆等多种隐私保护技术来隐藏通信实体关系和内容的覆盖网络。然而,作为覆盖网络运行的匿名通信系统,在性能和安全保障上的平衡问题上存在不足。未来互联网架构的出现使构建基于基础设施的匿名通信系统成为可能。此类匿名通信系统将匿名设计为网络基础设施服务,通过为路由器配备加密操作,可解决匿名网络的可拓展性和性能限制的部分问题,因此也可称它们为网络层匿名通信协议。对现有的网络层匿名通信协议（LAP、Dovetail、Hornet、PHI和Taranet）进行了研究,介绍了网络层匿名通信协议的分类标准,简述其创新点和具体加密思想,并对它们如何在安全性和性能二者之间的权衡进行分析,也指出了这几种网络匿名通信协议的优势和不足,最后提出在匿名通信系统发展的过程中所面临的挑战和需要深入研究的问题。     

一种基于洋葱路由的可撤销匿名通信方案

匿名通信技术是保证网络用户的个人通信隐私和涉密通信的重要手段,而匿名系统的滥用一直是困扰匿名系统应用的一个问题。论文在洋葱路由技术的基础上,提出一种新的支持可撤销的洋葱路由匿名通信模型,通过地址分割技术、签名技术和分组管理机制来防止洋葱包的伪造,可以及时发现和丢弃恶意用户伪造的洋葱包,并且能有效追踪匿名滥用者的源IP地址。与其他匿名通信可撤销方案相比,具有系统附加管理开销小,方案简单,易于实现的特点。论文对该模型的可撤销匿名通信过程进行了描述,并且对该模型的系统性能和安全性进行了分析。     

一种安全性增强的Tor匿名通信系统

网络用户对自身隐私信息保护意识的增强,促进了Tor,Crowds,Anonymizer等匿名通信系统的发展及广泛应用,从而为用户提供了隐私和信息安全保护.随着对匿名通信系统的深入研究,发现部分系统存在安全性不足,为提高Tor匿名通信系统的安全性,基于可信计算技术提出一种安全性增强的Tor匿名通信系统,改进后的系统提高了目录服务器的安全性,并基于可信计算技术确保了用户及匿名通信链路的可信性;通过与Tor匿名通信系统的比较,改进系统在具有可信性的同时,具有更高的安全性及抗攻击能力,解决了Tor匿名通信系统所存在的安全隐患;通过仿真分析可知,改进后的系统能够满足用户的匿名性需求.     

SACS:一种可扩展的匿名通信系统

匿名通信的主要目的是隐藏通信双方的身份或通信关系,从而实现网络用户的个人通信隐私及对涉密通信更好的保护.目前匿名系统的研究主要在于提高匿名性能,许多原型系统借助于多个代理的重路由技术、填充包技术和加密技术来达到匿名发送或匿名接收的目的.而当匿名系统真正要被应用于现实网络中时,系统管理方式和管理代价直接会影响到系统的可扩展性.目前的许多匿名原型系统采用集中式管理机制,不能承受大量用户的存在,因此都无法应用于大规模的网络环境中.本文基于Crowds系统,提出了一种新的匿名通信系统SACS的结构与协议描述,引入了分区域管理机制,实现了对系统内成员的分布式管理,有效地降低了匿名系统的管理开销,具有很好的可扩展性.概率分析与测试结果表明新的系统在减少系统的附加管理开销、支持良好扩展性的同时保持了与原Crowds系统相当的匿名性.     

一种改进的混合匿名通信系统

随着网络技术的不断发展,信息安全和个人通信隐私的保护受到越来越多的重视,各种匿名通信技术被广泛地研究.本论文以Crowds系统为基础,提出了一种采用组群的树型的组织结构,使用源重写技术和广播混合的通信方式的混合匿名通信系统模型,并从系统的安全性、可扩展性和工作效率进行了分析.分析表明改进的系统在保证匿名性的同时,具有更好的安全性和可扩展性,提高了通信效率.     

Tor匿名通信流量在线识别方法

匿名通信技术的滥用给网络监管带来了新的挑战.有效识别出匿名通信流量,是阻止该类技术滥用的前提,具有重要的研究意义和应用价值.现有研究工作侧重于匿名通信关系的确认,无法用于匿名通信流量的识别和阻塞.针对这个问题,围绕广泛使用的Tor匿名通信系统,深入分析运行机制,归纳总结其流量特征.在此基础上,分别提出基于TLS指纹和基于报文长度分布的Tor匿名通信流量识别方法.对两种识别方法的优缺点和适用性进行了详细分析和讨论,并通过CAIDA数据集和在线部署对识别方法进行了验证.实验结果表明,基于TLS指纹和基于报文长度分布的识别方法均能有效识别出Tor匿名通信流量.     

可信计算模式下P2P匿名通信系统设计

为了提高P2P匿名通信系统的安全性与可信性,需要对P2P匿名通信系统进行设计;当前使用的匿名通信系统,无法在用户节点匿名的情况下,保证P2P匿名通信系统匿名节点的可信性;因此,提出一种基于可信计算模式的P2P匿名通信系统设计方法;该系统的硬件部分分为系统登录模块、通信模块、数据模块、可信计算模块4大模块,模块之间相互合作,形成一个完整的匿名通信系统,匿名通信系统软件设计部分通过建立可信计算的联接,实现在匿名通道中进行数据传递,并对待传递的数据进行层次性打包加密,同时采用可信度计算对匿名通信系统中节点、匿名通道进行计算,形成安全可信的匿名传递通道;实验仿真证明,该方法在保证该系统数据传递的效率的同时提高了匿名通信系统的安全性与可靠性。     

基于局域网的匿名通信系统设计

随着计算机网络技术的不断发展,人们在生活工作中对于信息安全的要求不断提升,研究人员针对这些需求提出了多种匿名通信系统的解决方案。本文基于洋葱路由的匿名通信系统思想,设计并且在应用层实现了匿名通信的功能。该系统使用非对称加密算法RSA对传输数据进行加密及解密,针对密钥分配和路径选择功能设立了密钥中心。本文还通过实验分析了设计的性能和可靠性,认为该设计可应用于局域网的匿名通信。     

一种基于社会化网络的资源分发模型及其分析

研究了现有匿名通信系统逃避防火墙限制的技术,针对匿名通信系统通过用户现实中关系构成社会网络中进行资源分发传播的机制和特点,提出了一种社会化网络的资源分发模型.结合"small-world"社会网络模型,分别在对抗和非对抗两种情况下进行了计算机模拟分析,分析结果表明具有小世界特征的现实社会网络在两种情况下均具有较高的分发传播效率和抗攻击能力,对匿名通信系统的研究和建设具有实际指导意义.     

会话属性优化的网络异常检测模型

网络异常检测模型的检测性能在很大程度上依赖于网络会话属性,因网络会话属性在本质上刻画了网络行为模式。基于假设验证的实验分析手段,采用Tcpdump网络数据包作为实验数据源,在将数据包解析成具有基本属性的网络会话记录基础上,提出了一组简洁和精确的会话属性组合模式。实验结果表明,优化后的会话属性组合模式确实能够有效地提高网络异常检测模型‘对未知攻击的检测能力,采用基本属性、全部属性和任意部分属性训练检测模型,并不能获得良好的检测效果。     

基于SM2数字签名的区块链匿名密钥交换协议

区块链技术因其去中心化、匿名性、不可篡改、不可伪造等优点, 已经成为我国的一项前沿技术, 在各领域得到广泛的应用。虽然用户可利用区块链发布匿名交易, 有效隐藏交易双方的身份信息, 但双方交易完成后传输交易相关数据可能破坏匿名性。这是因为在数据传输过程中, 为了保证双方通信安全, 往往使用认证密钥交换协议认证双方身份, 计算会话密钥建立安全信道。由于传统的认证密钥交换协议涉及双方的长期公私钥对信息, 所以将泄露交易双方的身份信息。虽然区块链匿名密钥交换可基于交易双方的历史链上交易完成密钥交换, 有效保障交易双方的匿名性, 但现有区块链匿名密钥交换协议主要基于国外密码算法设计, 难以适用于国产区块链平台, 不符合我国密码核心技术自主可控的要求。为丰富国产商用密码算法在区块链匿名密钥交换方面的研究, 满足区块链交易后双方匿名安全通信的需求, 本文以 SM2 数字签名算法和区块链为基础, 构造非交互式和交互式两种区块链匿名密钥交换协议。并在 CK 安全模型中证明非交互式的协议满足会话密钥安全, 交互式的协议满足有前向安全性的会话密钥安全。最后通过理论分析和编程实现结果表明, 本文协议在没有比现有协议消耗更多的计算开销与通信代价的前提下, 可适用于国产化区块链平台。     

社会网络数据发布中一种敏感关系的隐私保护方法

现存的社会网络隐私保护方法大多是针对社会网络中的个体．没有考虑敏感关系．故不能有效地保护社会网络中的敏感关系。基于此,提出一种p-sensitive匿名模型来抵御敏感关系的泄露,设计并实现该种模型的算法。实验证明,该匿名模型能较好地保护敏感关系的泄露．     

基于 EAP-AKA 协议的安全性分析和改进

近几年来,以3G 网络和 WLAN 为主要代表的无线网络技术取得了重大突破,3G网络能够在广域的范围内提供比较好的漫游服务,但其传输的数据速率以及网络带宽较小,而WLAN 能够提供较高的数据传输速率而且价格较低,但其网络范围较小,因此,3G 网络和WLAN 两者融合具有很好的互补性,这是实现高速接入的一种比较高效的模式。因此3GPP 组织针对3G 网络与 WLAN 融合提出了一套互联方案,并为其设计了可扩展认证和密钥协商协议（EAP-AKA）。但是经过大量的的实践和研究发现,EAP-AKA 协议存在一些安全缺陷,文章通过对 EAP-AKA 的协议过程和安全性进行分析,针对其安全缺陷,特别是用户身份会暴露而导致由于身份泄露引起的跟踪攻击,缺乏对无线局域网（WLAN）接入网络的认证以及明文传输会话密钥而导致 WLAN 失去通信过程中的机密性和完整性等,提出了一种通过对 WLAN 接入网络增设公钥以及采用匿名技术的改进方案,分别完成了对无线局域网接入网络的认证,避免了用户身份信息的暴露以及加密传输会话密钥,保证了为用户提供安全的网络服务。     

基于数字水印的网络可控匿名通讯系统研究

随着互联网技术的不断发展,网络匿名通讯技术的研究与应用提供了一个保护用户隐私、保密通讯内容的重要手段,同时也为进行非法通信进而威胁网络信息安全开了通路。论文研究匿名通讯系统的可控性,通过对数字水印的特点分析给出使用数字水印技术构建可控匿名通讯系统的方法和优点。     

基于UML的EtherCAT矿井电力监控系统实时性研究

针对矿井电力监控系统中存在的实时性差、可靠性不足的问题,提出了采用以太网控制自动化技术EtherCAT为通信网络,搭建煤矿井下供电系统,并利用统一建模语言UML建立电力监控系统模型。实验室条件下,依据模型搭建系统实验平台,对EtherCAT矿井电力监控系统实时性进行分析。结果表明,系统网络报文传输时延极小,且故障切除实时性高,能够为后续EtherCAT矿井电力监控系统开发提供技术支持。     

基于跨会话知识图谱的图注意力网络推荐方法

基于会话的推荐方法旨在根据匿名用户行为序列预测下一个项目。然而,现有会话推荐方法多基于当前会话建模用户偏好,忽略了会话间蕴含的语义信息及知识图谱中丰富的实体和关系信息,无法有效缓解数据稀疏性的问题。提出一种基于跨会话信息与知识图谱的图注意力网络推荐方法。通过有效整合跨会话信息和知识图谱中的项目知识构建跨会话知识图谱,利用知识感知的注意力机制计算各邻居节点的重要性分数,以更新项目节点表示,采用门控循环单元和图注意力网络将每个会话表示为该会话的当前偏好和全局偏好的组合。在此基础上,将会话嵌入和项目嵌入拼接后输入到多层感知机,得到目标会话和候选项目的预测分数,从而实现会话推荐。实验结果表明,与GRU4REC、SR-GNN、FGNN等方法相比,该方法在KKBOX和JDATA两个真实数据集上的推荐命中率分别至少提高了8.23和2.41个百分点,能有效增强会话推荐性能。     

网络匿名代理监测和阻断方法研究

网络匿名代理技术是网络用户绕过国家、企业网络监管的主要技术手段。网络匿名代理技术的泛滥已经成为扰乱国家网络社会秩序的毒瘤。许多网络犯罪行为都以网络匿名代理技术作为技术支持。本文以网络匿名代理技术作为研究对象,列举可行的网络匿名代理的监测和阻断方法。     

Web服务会话实体认证协议的改进

会话认证协议原型是针对Web服务会话实体通信安全问题而提出的概念模型.从密钥机制、匿名服务实例以及会话管理几个方面分析,协议中存在的安全问题和不足之处,并基于DH算法对协议原型作出了改进和扩展.最后,运用改进后的协议对Web服务会话实体之间的通信和认证进行管理,发现改进后的会话实体认证协议能够使Web服务会话交易过程更加安全.     

A Generic Framework for Anonymous Authentication in Mobile Networks

Designing an anonymous user authentication scheme in global mobility networks is a non-trivial task because wireless networks are susceptible to attacks and mobile devices powered by batteries have limited communication, processing and storage capabilities. In this paper, we present a generic construction that converts any existing secure password authen- tication scheme based on a smart card into an anonymous authentication scheme for roaming services. The security proof of our construction can be derived from the underlying password authentication scheme employing the same assumptions. Compared with the original password authentication scheme, the transformed scheme does not sacrifice the authentication effciency, and additionally, an agreed session key can be securely established between an anonymous mobile user and the foreign agent in charge of the network being visited. Furthermore, we present an instantiation of the proposed generic construction. The performance analysis shows that compared with other related anonymous authentication schemes, our instantiation is more effcient.