SIP注册劫持攻击及安全机制研究

SIP协议是会话初始协议,因为其自身和应用环境的特点面临着许多安全威胁。论文针对其中一种主要安全威胁—注册劫持,用两种方法实现此种攻击,并实验对带有摘要认证的SIP的注册劫持攻击,最后提出防范注册劫持攻击的安全机制。     

面向进程控制流劫持攻击的拟态防御方法

为了防御进程控制流劫持攻击,从漏洞利用的角度对攻击过程建立了威胁模型,提出了截断关键漏洞利用环节的"要塞"防御.在研究拟态防御原理的基础上提出了进程的拟态执行模型,并对该模型进行了分析与有效性证明,拟态执行能够有效截断控制流劫持的攻击实施过程;实现了拟态执行的原型系统MimicBox,并对MimicBox进行了有效性验...     

一种基于SD卡的口令认证密钥协商方案

手机恶意软件的日益泛滥对移动支付的安全性带来了巨大的挑战。现有移动支付系统中的认证机制过于依赖静态口令与短信验证码,存在较大的安全隐患。文中针对远程移动支付应用场景,提出了一种基于SD卡的口令认证密钥协商方案,在保证用户与支付系统的双向认证以及会话密钥的安全性的同时,能够抵抗口令猜测攻击、SD卡被盗攻击以及钓鱼软件攻击。     

IP欺骗的防范

IP欺骗，简单来说就是向目标主机发送源地址为非本机IP地址的数据包。IP欺骗在各种攻击方法中都得到了广泛的应用，比如，进行拒绝服务攻击、伪造TCP连接、会话劫持、隐藏攻击主机地址等。     

一种SD卡用户身份认证方案的设计与实现

通过分析当前云计算中基于口令与证书的模式身份认证,发现存在口令泄露、证书劫持、恶意攻击等导致信息泄密的安全隐患。结合安全卡携带方便、认证效率高、安全度强的特性,基于椭圆算法设计实现了用户与云计算服务器安全认证、密钥协商以及数据密文传输,有效地解决了终端用户身份认证存在的安全问题,并增强了云计算服务的安全性。     

无线局域网802.1X认证机制安全分析及改进

通过对无线局域网802.1X认证原理和过程的介绍,分析了802.1X认证存在中间人攻击、会话劫持攻击和拒绝服务攻击的可能性。提出通过采用EAP-TLS认证、增加状态确认和设置认证有效时间提高802.1X认证的安全性。最后简单介绍了我国推行的WAPI标准和IEEE正在制定的802.11i标准。     

基于操作劫持模式的Web攻击与防御技术研究

Web攻击方式日新月异,从2006年开始到2010年,平均每年都会有几十种新的Web攻击方式出现。这其中不乏新的Web攻击概念,以及从旧的Web攻击概念中引申出的新攻击手法。因此深入研究和积极跟进Web攻击方式是有必要的。这里在详细分析了基于操作劫持模式的Web攻击技术发展历程的基础上,将其划分为3个技术发展阶段,并对每个阶段的技术原理、技术特点和危害程度进行了深入的研究,给出了两种抵御操作劫持攻击的技术方法,并对比了两种方法在防护效果上的差异。     

RFID安全认证协议HSAP的分析及改进

随着RFID系统应用的不断扩大,RFID的安全问题也越来越受到人们的关注,基于Hash Lock的RFID安全协议以其低成本的优势得到了广泛的应用,但其安全性能尚不完善。在分析已有的Hash Lock安全协议的基础上,提出了一种基于HSAP的改进协议,通过对其分析可知,改进的协议IHSAP能够保证内容隐私、防止位置跟踪攻击、防止会话劫持攻击、抵抗重放攻击、防止假冒攻击,是一种性能较好的协议,在实际的环境中有一定的实用价值。     

基于SIP的IMS安全分析研究

文中首先分析了SIP协议的五个常见漏洞:注册劫持、服务器伪装、消息篡改、会话终止、拒绝服务,然后对IMS安全机制中的接入安全、网络域安全以及安全联盟的建立流程做了分析,并以此为基础分析研究了在IMS中应用SIP协议的漏洞实施攻击的可行性.从分析结果可以看出,IMS的安全机制能够拒绝除了DOS攻击之外的所有基于SIP漏洞的攻击.最后给出了在IMS中实施DOS攻击的流程,并利用Open SERB服务器在100M的局域网中对DOS攻击进行了仿真验证.     

Linux环境中基于PHP的SQL注入攻击与对策

由于PHP本身的缺陷和应用程序开发者安全防范意识不强,使得应用PHP技术的网站存在很多安全问题,而SQL注入就是利用此类漏洞来实施攻击。论文结合应用开发中的经验剖析攻击者SQL注入的方法和入侵的思路,并且提出相应的防御策略。     

iOS恶意应用分析综述

介绍了iOS的安全架构和应用程序的分发模式,分析了iOS平台上恶意应用程序对用户数据安全和隐私构成的威胁,讨论了iOS上恶意应用少于Android系统恶意应用的原因,总结了已出现的iOS恶意应用的攻击方法,并对未来的缓解和对抗策略进行了展望.     

面向个人信息保护的iOS设备风险评估方法

当前，面向iOS系统个人信息保护的研究主要集中在恶意APP分析与识别领域，缺少对iOS越狱和iOS系统漏洞的探讨。文中将三者融合，提出了一种针对iOS设备的风险评估方法。首先，定义了风险指标分值和风险要素权重值，然后根据预定义规则计算了风险指标和风险要素得分，最后确定了设备风险级别，并给出了风险控制建议。基于该方法，构建了iOS设备风险管理系统。该系统采用客户端-服务器架构，客户端负责抓取并上传设备信息，服务器根据设备信息进行风险分析与评估，并反馈结果。运行结果表明，该系统能有效帮助用户发现iOS设备存在的各种风险。     

基于iOS系统的恶意行为检测研究

首先列举了多个iOS平台的恶意应用的案例,通过剖析作案手法以及造成的恶劣影响,分析了iOS平台下移动应用的主要恶意行为特征,研究了恶意行为检测过程中的各项关键技术,提出了iOS应用恶意行为检测的模型.最后,给出了iOS应用恶意行为检测的解决方案.     

基于iOS的音视频监控软件的设计与实现

为了在iOS平台上实现对特定场景的实时音视频监控,设计并实现了基于iOS的音视频监测软件。软件采用SIP(会话初始化协议)作为信令控制协议,采用RTP(实时传输协议)实现音视频数据传输,利用FFmpeg和iOS固有的音视频处理框架实现音视频的解码播放。由于无线传输网络的不稳定性和音视频编解码消耗时间的不同导致了音视频数据的不同步,因此软件采用基于RTP协议的音视频同步控制方法。     

iOS备份机制中隐私威胁问题的分析

目前,iOS安全研究主要在应用程序安全性检测、安全模型剖析、漏洞和数据保护机制分析等方面,对于iOS备份机制的安全性缺乏深入系统地研究。备份是iOS系统中惟一合法获得设备内部数据的渠道,但是备份数据缺少必要防护措施,用户数据安全和隐私受到潜在威胁。通过描述备份分析的方法,进而对备份存储数据进行深入理解,发现其存在严重隐私威胁,忽视对第三方应用程序数据信息的保护,最后评估了备份机制潜在的安全影响并给出提高备份安全性的建议。     

iOS 系统数据安全分析与加固

手机在如今的通讯手段中,占据举足轻重的地位,特别是随着社交网络、电子邮件、即时通讯等软件的频繁使用,越来越多的用户隐私信息也都被存储在手机之中。智能手机操作系统的数据安全,成为今日关注的焦点。文中深入研究了iOS系统的各项安全机制,分析在iOS系统越狱对安全机制的影响,以及敏感数据泄露的可能性。然后根据iOS系统越狱后暴露的安全性问题,分析研究了可能的植入方式。最后讨论了恶意程序检测手段,再针对越狱iOS系统出现的安全隐患,提出了安全加固的防范性措施。     

一种基于iOS平台微信取证分析方法

随着移动通信技术及手机生产技术的发展,智能手机在很多方面已经能够代替计算机处理很多日常应用。苹果公司基于iOS平台的iPhone系列是目前最为流行的手机产品之一,而微信则是超过三亿人使用的手机应用,在绝大多数智能手机上有着广泛的应用。本文首先介绍针对iOS平台的取证做简要介绍,然后针对微信软件进行系统的分析,包括微信的账户信息、好友列表、聊天记录及QQ离线信息等进行相应分析。     

iOS与Android操作系统的优缺点比较

Android和iOS发展至今已经有着界面融合的趋势,双方都在进行取长补短,已经很难说谁比谁更为优秀。Android系统的开发性特点更能够吸引开发者对其进行开发。而随之带来的是手机病毒和恶意吸费软件在损害着Android手机的用户。但是相对较为廉价的优势使得Android的市场占有率远远高于iOS。而iOS封闭的系统能够带来更为安全的保证,但是用户不得不面对应用选择的制约以及系统使用中的一些不便。     

Cross-Compiling Android Applications to iOS and Windows Phone 7

Android is currently leading the smartphone segment in terms of market share since its introduction in 2007. Android applications are written in Java using an API designed for mobile apps. Other smartphone platforms, such as Apple’s iOS or Microsoft’s Windows Phone 7, differ greatly in their native application programming model. App developers who want to publish their applications for different platforms are required to re-implement the application using the respective native SDK. In this paper we describe a cross-compilation approach, whereby Android applications are cross-compiled to C for iOS and to C# for Windows Phone 7. We describe different aspects of our cross-compiler, from byte code level cross-compilation to API mapping. A prototype of our cross-compiler called XMLVM is available under an Open Source license.     

基于CDIO模式的移动开发学习平台建设

CDIO代表构思(Conceive)、设计(Design)、实现(Implement)和运作(Operate),是"做中学"和"基于项目教育和学习"的集中概括和抽象表达,是目前进行的工程教育改革战略之一.以iOS和Android为主要代表的移动开发人才需求增长迅猛,同时,这2个平台的开发技术本身也在不断发展中,造成学习的困难性.本文以高校的移动开发教学为主要研究对象,运用CDIO教育模式对移动开发课程的教与学进行探讨,为高校建设一个专门学习iOS和Android知识的平台,通过这个平台提高移动开发的教学效果.