基于CDP协议网络攻击的安全防范

CDP（ Cisco Discovery Protocol ）是思科的一个数据链路层的发现协议,运行在思科路由器、网桥、接入服务器和交换机等设备上,用来发现和查看相邻设备详细信息的一种重要协议,如IP地址、软件版本、平台、性能和本机VLAN等。入侵者通常利用拒绝服务（DoS）等攻击获得这些信息,并利用这些信息进行CDP欺骗,造成很大的安全威胁。     

AKC攻击研究:攻击方式、转换算法和实例分析

攻击者获取某主体（actor）的长期私钥后,利用该私钥伪装成其他主体欺骗actor或获取保密信息的行为被称为AKC（Actor Key Compromise）攻击.除密钥交换协议外,AKC攻击在其他类型的协议研究中较少受关注.本文强调了AKC攻击问题的重要性,并对其攻击方式和应对策略进行系统研究.通过实验总结出4类AKC攻击方式,并对应提出3类抵制AKC攻击的协议模型和设计原则.在此基础上,给出了将一般协议转换为AKCS协议（在AKC攻击下保持安全性质的协议）的启发式算法.在实例分析中,将算法应用在Email、SET、Kerberos等协议上.实验表明,上述协议受AKC攻击,但在算法的转换下,协议不再受AKC攻击影响.     

安全协议的设计流程及层次模型研究

借鉴软件工程的思想,提出安全协议设计流程以及安全协议的层次模型和安全属性层次模型,并对该层次模型进行攻击分析。分析每一层面临的各种攻击手段和攻击方法,重点探讨了层间攻击,并用两个典型的例子给予说明。最后将提出的模型和框架作为安全协议工程的基础发展安全协议工程,以期最终解决安全协议设计和应用的问题。     

基于Python的RIP路由协议安全性研究

通过在实验环境下使用Python程序构造RIP攻击报文,将攻击报文发送给目标路由器进行路由欺骗,致使被攻击路由器学习到错误的路由信息,进而导致被攻击路由器无法实现正常的路由转发功能。在此基础上,通过Python编写抓包嗅探程序分析攻击者所发送的攻击报文,研究其攻击手段和方法,进而采取相应的安全防护措施,增强RIP路由协议的安全性。     

Yahalom协议及其变体的时序缺陷分析与改进

研究Yahalom协议及其变体,发现该系列协议存在的时序缺陷,给出一种利用此缺陷攻击Yahalom协议及其变体的方法。尽管Yahalom协议历经几次修改,且被证明不存在密钥泄露问题,但Yahalom协议及其变体仍然存在以前没有被关注过的时序缺陷。该文从时序角度对Yahalom-Paulson协议进行改进。改进后的协议保持了原协议的安全性,同时能抵御原来因时序缺陷所引起的攻击。     

Ad-hoc路由协议的串空间安全性扩展

根据Ad-hoc移动网络特点,深入分析了串空间模型的一致性条件,提出路由五段式模型,将中继者可信条件修改为任意中继者可信条件,使串空间适用于Ad-ho。安全路由协议分析。然后以一个攻击实例验证路由五段式模型的正确性和优越性。     

动态ARP检测防止中间人攻击技巧

ARP协议对于网络来说是一把双刃剑。一方面ARP协议是网络通信中不可或缺的协议，其就好像是一个问路人，在一定程度上决定了数据的传输路径。在另一方面，其又容易被攻击者使用，担当不恰当的角色。现在针对ARP的攻击，可以说是层出不穷。虽然相关的防范措施也有不少，但是道高一尺、魔高一丈，防不胜防。针对这种情况，在思科的网络产品中，     

SRP协议及其安全改进

SRP(安全远程密码协议)是一种安全的新型密码鉴别和密钥交换协议。由于采用了鉴别符而不是密码的明文等价，攻击者即使得到了鉴别符数据库也难以破坏系统的安全性。同时，协议也提供了完善的向前保密性(PFS)，能抵抗主动或者被动的字典攻击。但是SRP未充分考虑到协议信息被篡改的情况，如果对此不做改进，系统将无法抵抗主动式拒绝服务攻击。因此提出了一种改进措施，提高了SRP协议对技主动式拒绝服务攻击的能力。     

一种能抵抗拒绝服务攻击的RFID安全认证协议

在分析现有一些RFID认证协议的基础上,采用流密码加密和密钥动态更新的方法设计了一种能抵抗拒绝服务攻击的RFID安全认证协议。对该协议的安全性和性能进行了分析,结果表明协议能够有效防止拒绝服务攻击、隐私攻击、窃听攻击、重传攻击,同时解决了RFID的隐私问题。     

可证明UC安全的前后向不可追踪的RFID双向认证协议

文章基于通用可组合安全模型,设计了一个RFID双向认证协议,该协议实现了前向和后向不可追踪性,能抵御RFID系统中常见的弱攻击或者强攻击,并且基于通用可组合安全模型证明了该协议在任意未知环境中也不会降低其安全性。     

基于ECDSA的三方口令认证密钥交换协议

提出一种基于椭圆曲线数字签名算法(ECDSA)的三方口令认证密钥交换协议。将ECDSA分为公钥生成、签名过程和验证过程 3个阶段,在此基础上,设计协议过程、双向认证机制,使任意2个用户通过服务器能进行身份认证和密钥交换。分析结果表明,该协议能降低计算难度和存储开销,抵抗字典攻击和服务器泄露攻击。     

言论

●有安全漏洞并不意味着黑客就会攻击成功为了缓解这些问题和减少损失,操作系统做了大量工作。——网络安全厂商Sourcefire最近的一项报告现实显示了在过去的25年中智能手机行业的漏洞数量iPhone的漏洞数量占全部漏洞的81%,但Sourcefire漏洞研究团队高级研究工程师伊夫.尤南(Yves Younan)澄清了这些数据的含义。●共同帮助网民提升网络安全意识,携手共建互联网健康发展环境,提高软件及服务安全性,共同防御网络安全威胁,是工作组成立的基本宗旨和初衷。——北     

一种可认证的三方密钥协商协议

新协议提出了一个安全高效的三方密钥交换协议方案,通过在CDH假设下运用椭圆曲线密码体制,将长期私钥和临时私钥混合的方法保证协议的安全,通过对该协议的安全性进行分析,表明该协议可以抵御多种攻击;另一方面,将参与方中的任意两方作为一组,生成一个共同密钥,然后两方中的任意一方再与第三方进行消息认证和密钥协商,这样仅需要五次信息交互就可以实现整个协议的相互认证和密钥的确认功能,同时通过协议的比较还表明该协议具有较高的效率。     

一种新的安全协议及其串空间模型分析

针对有限域上计算离散对数的困难,提出了一种新的身份认证与密钥协商安全协议——PJY。PJY安全协议通过两次握手就可以验证通信双方的身份,同时产生对等的会话密钥。采用串空间模型分析该安全协议的正确性,通过构造渗透串空间模型,采用认证测试证明了PJY安全协议在任意一种攻击串模式下都具有单射一致性和机密性,从而证明了PJY安全协议的正确性。     

基于数字签名的安全数字水印协议

论文在论述数字水印应用面临的攻击和DHWM协议存在安全隐患的基础上,提出了一种新的基于数字签名的安全数字水印协议。该协议引入数字证书,将数字签名、时间戳和水印信息一起嵌入到数字图像中。通过安全性分析和性能分析,该协议能抵抗中间人攻击、解释攻击,并能检测数字图像是否被非法篡改,可实际应用于数字图像的版权保护。     

基于流密码加密的RFID双向认证协议的研究

针对目前RFID系统难以抵抗各种网络攻击,如伪造标签攻击,无抵抗嗅探能力等,并且很多无源RFID标签,存储容量和计算能力较差,这些标签都无法使用高级的加密算法,如非对称加密算法。本文分析了很多现存的主流RFID标签的认证加密协议,推出一种全新的可以抵御服务攻击的RFID双向认证协议。该认证协议是基于密钥动态更新和流密码加密方式设计的,它的健壮性、安全性、效率会更好。通过实验比较各个认证协议的安全性。实验表明,在同等条件下,比较几种协议被攻击的次数,提出的双向认证协议安全性更好。     

安全协议类型漏洞攻击研究

类型漏洞攻击是对安全协议攻击的方法之一。当协议主体将所接收消息中的一种类型数据解释成其他类型数据时,就会发生类型漏洞攻击。该文描述了几种典型的类型漏洞攻击实例,结合实例指出了J.Heather等人提出的在消息中添加标识消息类型的附加信息以防止类型漏洞攻击的tag方法的局限性,并提出在协议实现中通过检测消息长度防止类型漏洞攻击的方法。     

IKE协议的安全属性

讨论了IKE协议的密钥交换模式、身份认证和密钥交换方法、安全属性和安全机制，并讨论了该协议抵御中间人攻击和拒绝服务攻击等非法攻击的对策。最后对IKE协议的进一步研究提出了一点看法。     

一种改进的RFID双向认证协议

通过研究RFID认证协议,发现了一些安全问题,对此提出了一种基于hash函数的双向认证协议。该协议通过随机数和秘密值的计算来完成数据库、标签和读卡器之间的认证,有效防止了窃听、重放攻击、假冒攻击等常见攻击。     

SET协议模型的改进与SMV分析

在以Lu&Smolka对SET协议支付过程的简化模型为研究对象的情况下,进行形式化建模和有限状态机模型。同时应用CTL对相应的安全性质进行形式描述,并在网络环境被入侵者控制的假设下,利用SMV分析了协议的认证性、保密性和完整性,发现攻击并对该攻击所产生的影响进行了讨论。最后修改其协议模型对改进后的协议进行分析和检验,说明了SET协议独具特色的双重签名在整个协议运行中至关重要。