身份确认在Internet、Intranet安全防护中的应用

随着客户机/服务器环境及Internet、Intranet的广泛应用,人们在体会到共享资源的优越性的同时;也时刻在提防着一件事情:即非法用户对自己资源的访问及恶意篡改.本文将就安全防护中的有关问题进行阐述,并就一种现行的安全控制技术加以详细的讨论.无论是在Internet或Intranet环境下,常见的安全威胁有:身份攻击:用户身份在通信时被非法截取及利用特洛伊木马技术骗取用户名及口令,冒充合法用户身份骗取敏感信息或冒充别人发布非法信息.中继攻击:人为延迟正常信息的发送.     

一种面向用户的网络文件系统远程访问控制方法

在研究Linux／Windows操作系统中已有NFS实现方案的基础上，提出了一种面向用户的网络文件系统远程访问控制方法。该方法以用户作为访问控制的主体，能够抵抗远程访问请求响应过程中可能出现的主动攻击、重放攻击，消除了攻击者冒充合法用户的可能性。     

口令攻击及其防范措施浅论

攻击者在攻击目标时,通常把破译普通用户的口令作为攻击的开始.口令是网络系统的第一道防线.当前的网络系统都是通过口令来验证用户身份、实施访问控制的.口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程.本文主要介绍口令攻击的几种方式及如何来进行防范的.     

可控量子远程通信方案的研究

针对一般可控量子远程通信方案能防止外部窃听,但无法有效防止冒充攻击这一安全缺陷,提出一种具备身份认证功能的可控量子远程通信方案。可信任第三方Charlie利用纠缠交换对接收者Bob进行身份认证,在确定Bob的合法身份并将消息反馈给发送者Alice后,Alice再传送量子信息。该方案利用身份认证能有效防止冒充攻击,并能够增强量子信息传送的正确性和安全性。     

EDI——难免BUG

根据着眼点不同,安全威胁和攻击可分为偶发性和故意性两类:偶发性威胁指不带任何预谋的威胁,如系统故障、操作失败和软件出错;故意性威胁则指那些人为的、由于某或有动机的威胁。后者一般称为攻击,如意图篡改商业合同数据、窃取商业机密、破坏EDI存储系统等行为。根据威胁来源不同,还可将威胁分为内部和外部两种:内部威胁指系统的合法用户以故意或非法的方式进行操作所产生的威胁,如内部工作人员利用工作之便或者软件固有缺陷,非法使用EDI资源或越权存取数据;外部威胁泛指搭线窃听、截取交换信息、冒充合法用户、为鉴别或访问机制设置旁路。 CCITT X.435建议中指出的EDI系统面临的主要威胁和攻击有以下六种: 1.冒充:MTA之间是以交换明文形     

黑客防范新概念:入侵检测

入侵行为不仅来自外部,同时也指内部用户的未授权活动。按入侵类型,入侵检测的内容主要包括以下六部分: 试图闯入或成功闯入:闯入是指未经授权进入系统或网络的行为。闯入者一般通过猜测口令或运用工具(如字典攻击)企图进入系统,可通过用户典型行为特征或安全限制比较来检测冒充其它用户:这可能是冒用他人账户,也可能是修改所发送的消息或文件冒充发送者。一般冒用他人账户经常与闯入行为相伴,所以也能通过典型行为特征或安全限制来检测违反安全策略:指用户行为超出了系统安全策略所定义的合法行为范围。例如企图越权访问文件或执行无权进行的操作。可以通过具体行为模式检测合法用户的泄漏:指在多级安全模式下,系统中存在两个以上不同安全级别的     

基于多级入侵容忍的数据库安全解决方案

传统的数据库安全解决方案的缺点是不能很好地解决以合法身份进行的恶意攻击,对具有不同安全需求的用户,只能提供固定的安全级别,造成资源浪费。它采用多级安全模型,即“用户 OS DBMS 事务级入侵容忍”,将冗余和多样性技术相结合,采用整体安全策略及面向服务的入侵容忍技术,实现数据库的可生存性、可用性及关键数据的机密性、完整性,能有效抵御以合法身份进行的恶意攻击,降低安全成本。     

基于多级入侵容忍的数据库安全体系研究

传统的数据库安全解决方案的缺点之一是不能很好地解决以合法身份进行的恶意攻击。对具有不同安全需求的用户,只能提供固定的安全级别。提到的多级安全模型,“用户＋OS＋DBMS＋事务级入侵容忍”,将冗余和多样性技术相结合,采用整体安全策略及面向服务的入侵容忍技术,通过实现数据库的可生存性、可用性,保证关键数据的机密性、完整性,能有效抵御以合法身份进行的恶意攻击,降低安全成本。     

校园网安全问题及解决方法

校园网存在许多的安全问题,主要的问题:网络系统安全,有害信息的过滤,病毒与恶意攻击,即通过网络传播病毒或恶意Ja-va,XActive等,冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,IP地址冲突。可以通过校园网的规划,配置防火墙,采用入侵检测系统,网络病毒的防范,合法的身份认证等方法和手段加以解决。     

JFKi协议的分析及漏洞修正

通过用BAN类逻辑对JFKi协议的分析,成功的找到了协议中关于身份信息泄露的一个漏洞,并按此漏洞建立了对该协议发起者身份的攻击实例.然后又对协议漏洞提出了修补的方案,保证了协议最初的设计要求:发起者身份能对抗主动攻击.     

基于混沌映射的多因子认证密钥协商协议

在开放的网络环境中,身份认证是确保信息安全的一种重要手段。针对Li等（LI X,WU F,KHAN M K,et al.A secure chaotic map-based remote authentication scheme for telecare medicine information systems.Future Generation Computer Systems,2017,84：149-159.）提出的身份认证协议,指出其容易遭受用户冒充攻击、拒绝服务攻击等缺陷,并提出一个新的多因子认证协议来修复以上安全漏洞。该协议使用了扩展混沌映射,采用动态身份保护用户匿名性,并利用三次握手技术实现异步认证。安全性分析结果表明,所提协议可以抵抗冒充攻击、拒绝服务攻击,能够保护用户匿名性和身份唯一性。     

标准模型中可证安全的基于ID的身份认证方案

身份认证方案是一种非常重要和有用的密码学工具.给出了两个高效和可证安全的基于ID的身份认证方案,这两个认证方案都是由高效且在标准模型中基于强Diffie-Hellman假设可证安全的Boneh-Boyen签名方案衍生出来的.分析了这两个基于ID的身份认证方案的安全性,在标准模型中证明一个在被动攻击下防止冒充安全,另一个在主动和并行攻击下也防止冒充安全.     

一种新的双方认证密钥协商协议的安全性分析

2010年,Mohammad等人提出了一种新的双方认证密钥协商协议(MOHAMMAD Z, CHEN Y, HSU C, et al. Cryptanalysis and enhancement of two-pass authenticated key agreement with key confirmation protocols. IETE Technical Review, 2010,27(3):252-65)。新协议以较高的运算效率实现了参与者双方的身份认证和密钥协商。对该协议的单轮版本进行了安全性分析,通过模拟协议中某些信息丢失后协议双方的通信过程,发现如果协议中的一些秘密信息丢失,敌手可以发起信息泄露伪装攻击、密钥泄露伪装攻击和一般定义下的伪装攻击,也无法抵抗中间人攻击。这些攻击都可以使得敌手冒充合法参与者发起或回应会话。     

基于设备指纹的无线钓鱼接入点识别方法研究

无线局域网因其架设方便、易于扩展的特点获得了较快的发展,而针对无线局域网的攻击形式也逐渐增多。无线钓鱼攻击是指攻击者架设一个伪装的无线接入点,诱骗用户连接从而进一步窃取用户敏感信息或发动其他主动攻击。文中针对无线局域网中的虚假钓鱼AP攻击提出一种基于设备指纹的AP识别方法。通过向AP发送一系列探测请求帧,记录AP对不同帧的响应结果作为识别AP的特征信息,以此区分合法AP与非法钓鱼AP。实验结果表明基于设备指纹的钓鱼AP检测方法能有效地检测出无线钓鱼AP设备。     

网络入侵后攻击路径标志技术研究与仿真

对网络攻击后入侵路径的标记,是后期对攻击有效防范的关键.网络遭受到入侵后,攻击路径和合法路径分布交错,对正常信息传播途径进行破坏.传统的攻击路径挖掘方法,以预防式为主,对攻击后攻击路径的标志问题研究很少,主要难点在于无法解决攻击随机性特征下,主动攻击与被动攻击的识别问题,不能准确识别网络入侵路径.提出依据IPPID的多阶段网络入侵攻击路径标识方法,根据历史路由IP地址和Pi值数据库对网络入侵路径进行标识,获取完整的路径,动态插入标识,最大程度地利用标识域的空间,对路径进行动态标识,确保路径标识方法可动态自适应不同网络数据特征,通过学习过程的受害主机判断标识的数据包是合法包还是攻击包.实验结果说明,上述方法在收敛时间、误报率方面都优于其它方法,同其它路径标识方案对比,接受率差值提高了15％-20％,显著提高了网络攻击路径标记的准确率.     

基于环Z_n上圆锥曲线上的A-EKE协议及其应用

提出了一个基于环Zn上圆锥曲线用ElGamal签名算法实现的A-EKE协议并给出了方案的数值模拟。方案具备A-EKE协议、ElGamal签名算法和环Zn上圆锥曲线的组合优势,A-EKE协议同时使用对称和公钥密码算法为计算机网络基于口令的身份认证系统提供了安全性和鉴别性,在通信主机上存储口令的单向哈希值而非口令明文,并在扩充部分要求用户发送一条含有口令明文的加密消息来验证身份,使得攻击者即使获得了口令哈希值也无法向主机冒充用户;用ElGamal签名算法实现A-EKE,协议加强了方案的健壮性;方案能够能够抵抗主动攻击,重放攻击,中间人攻击,保护口令不受离线字典攻击和破坏口令文件的攻击。方案运算在环Zn上的圆锥曲线上,综合利用了大数分解的困难性和环上圆锥曲线群上离散对数问题的困难性,从而增强了该方案的安全性,且具有明文嵌入方便、运算速度快、更易于实现等优点,尤其是标准二进制的引入能够节约1/4计算量,对于工程实现具有现实意义。     

基于动态ID的远程用户身份认证方案

用户身份认证作为网络安全和信息安全的第一道屏障,有着非常重要的作用.口令与智能卡相结合的认证方式可以克服传统口令认证方式的诸多弊端,能够提高网络和信息系统整体的安全性.对基于动态ID的远程用户身份认证方案进行了分析,指出了该方案在入侵者持有用户智能卡的情况下,即使不知道用户口令也能够伪装成合法用户通过远程系统的身份验证,获取系统的网络资源.提出了一种改进方案,能有效抵御重放攻击、伪造攻击、口令猜测攻击、内部攻击和伪装攻击.     

一种安全移动会议密钥分配方案

移动通信已经广泛应用在许多系统中。但无线传播是非常脆弱的,容易被中途截获。已有的方案被证明在抵抗主动攻击和被动攻击时不安全的。给出了一种安全移动会议密钥分配方案。该方案基于模平方根技术,它用于移动通信设备中特别有效,可以有效地实现会议信息的秘密传输与通信主体身份的相互认证。     

网络安全身份认证系统

本文设计了网络安全身份认证系统，以解决网络信息泄密问题，满足一般级别秘密信息在网上的传输，可供本所全体人员使用。本系统采用有效措施，防止非法用户攻击和合法用户越权访问。     

基于智能卡的扩展混沌映射异步认证密钥协商协议

身份认证是确保信息安全的重要手段,混沌映射身份认证协议因其高效性而成为近期研究的热点。2015年,Zhu提出了一个改进的混沌映射协议,声称其可以抵抗冒充攻击、字典攻击,并且提供用户匿名性;然而,Tong等指出Zhu的协议存在离线字典攻击、冒充攻击等问题且无法确保用户匿名性,并提出了一个新的改进协议(简称TC协议)。针对Zhu和TC协议方案,文中指出了其不能确保前向安全性以及容易遭受拒绝服务攻击等安全性缺陷,并提出了一个新的基于智能卡的混沌映射协议方案。安全性分析及同其他相关方案的比较结果表明了所提协议的高安全性和实用性。