基于混合机制的Kerberos安全性增强方案

针对Kerberos协议的弱点和安全性问题,提出了一个基于混合加密机制的Kerberos改进方案,目的是防范口令攻击和内部攻击。给应用服务器和AS服务器分配公钥和私钥,用户与服务器之间的会话密钥由DH密钥交换生成。给出了改进后的 Kerberos 协议的六个步骤,并对安全性进行分析。分析结果表明,新方案能够增强Kerberos协议的安全性,而且比公钥加密机制高效。     

一类有限域丢番图方程的解及其应用

对一类有限域线性丢番图方程c≡x+by(mod N)进行了研究,求出了其通解及域中有效解的对数,并证明其能将部分曲线密码方案求解用户私钥的计算量降低为N/z, z为子群<-b>的最小非零元.指出了5个应用该类型方程曲线密码方案,最后以一个环Z_n上广义圆锥曲线多重数字签名方案私钥的求解为例进行说明.     

传感器网络基于动态密钥池的密钥建立方案

针对网络在整个生命周期内的可持续安全性问题,基于动态密钥池技术提出了一个新的对密钥建立方案(KES-D).在此方案中,节点分n次部署,密钥池根据节点部署的次数分代.第i代密钥池由第i-1阶段的密钥池去除m条使用时间最长的二维反向密钥链再加上m条新二维反向密钥链组成.理论分析及模拟结果表明:与适用于多次部署的传感器网络密钥管理方案相比,该方案的抗毁密钥连通率显著提高.     

运用SPIN对开放授权协议OAuth 2.0的分析与验证

OAuth 2.0协议是一种开放授权协议,主要用于解决用户账号关联与资源共享问题。但是,其弱安全性导致各网络公司海量用户信息泄露,且OAuth 2.0传输数据采用的https通道效率低下,成为黑客攻击对象。提出采用http通道传输OAuth 2.0协议数据,基于Promale语言及Dolev-Yao攻击者模型对OAuth 2.0协议建模,运用SPIN进行模型检测。形式化分析结果表明,采用公钥加密体系对OAuth 2.0协议进行加密不安全。上述建模方法对类似的授权协议形式化分析有重要借鉴意义。     

网络安全态势感知系统关键技术分析

本文将在对于网络安全态势感知系统的基本结构组成分析的基础上,通过对于Netflow流量统计技术的介绍,进行基于Netflow的网络安全态势感知系统中关键技术的分析论述。     

基于WIA-PA安全标准的网络密钥管理机制设计分析

WIA-PA安全标准隶属于过程自动化领域,是由我国工业无线联盟制定的基于IEEE802.15.4标准的无线网络系统,属于WIA的子标准,主要用于工业过程中无线短程网的控制、测量以及监视。基于WIA-PA安全标准网络密钥管理机制设计的内容主要包括基于WIA-PA安全标准的密钥基本管理设计、基于WIA-PA安全标准的入网安全性设计、基于WIA-PA安全标准的数据流安全传输设计、基于WIA-PA安全标准的系统实用性研究设计、基于WIA-PA安全标准的系统性能研究设计。     

CNGI青海湖系统建设中的若干技术问题

CNGI 青海湖系统支撑青海湖区域的生态保护和多学科交叉融合的科研协作。针对青海湖基础设施种类众多的特点,我们发展了 IPv6 相关关键技术,应用于基础网络环境建设、数据传输、设备管理与状态监控等多个层面,并充分考虑了由此带来的安全隐患,制定了相应安全策略。这些技术可以支持多种传感器构成的 IPv6 网络,并支持 IPv6 的相关应用软件研发,促进大规模、跨领域复杂科学问题研究工作。     

建立基于Solr平台的环境污染网络舆情监测系统

本文针对网络上通过微博、论坛等网络平台发布的环境污染相关消息的高效捕获,提出建立基于Solr平台的环境污染网络舆情监测系统,重点描述了基于Solr平台实现环境污染网络舆情监测系统的主要模块,并基于实际舆情数据对系统的功能和性能进行了分析。实验结果表明本文所述系统可有效满足环保部门等对网络舆情监测的需求。     

用VPN集成加密设备强化基层电子政务信息安全

当前,电子政务信息系统已经成为转变政府职能、提高行政效率的有效手段。基层政府部门电子政务系统具有建设资金有限、用户数量少且分散的特点,常依托互联网运行,重要和敏感信息面临巨大安全风险。本文针对该安全需求,提出研制与VPN系统集成的加密设备,实现基于互联网电子政务系统安全、高速加密传输和用户身份鉴别,解决该类系统面临的主要信息安全问题,并最大程度降低传输专线、电子CA认证等系统建设的高昂成本。     

Key management in tree shaped hierarchies

ABSTRACT

We refer to an access control system based on subjects and objects. Subjects are active entities, e.g. processes, while objects are passive entities, e.g. messages exchanged between the nodes of a distributed computing environment. The system is partitioned into security classes organized into a tree shaped hierarchy. A subject assigned to a given class can access the objects in this class and in all the classes that descend from this class in the class hierarchy. To this aim, a key is associated with each class. A mechanism of the protection system, called key derivation, allows a subject that holds the key of a given class to transform this key into the keys of the descendant classes. This mechanism is based on a single, publicly known one-way function. If the class hierarchy is modified, by adding a new class or deleting an existing class, the necessary form of key redistribution is partial, and is limited to the classes in the subtree of the root that is involved in the change.