802．11i：迟来的标准

安全性的缺陷给WLAN的推广带来许多麻烦，虽然一方面WLAN需求不断增长，但同时也让许多潜在的用户对由于不能够得到可靠的安全保护而对最终是否采用WLAN系统犹豫不决。无线局域网技术就这样陷入了十分尴尬的境地之中。     

金融集团WLAN安全平台设计与实现

金融集团客户需根据公安部的要求,为现有网点WLAN设计并实施信息安全审计平台.本文基于某省移动代建集团WLAN系统,通过严格管理用户信息和设备安全、合理选择部署模式,科学定义数据传输规范,设计并搭建金融行业集团WLAN安全平台.测试结果显示,该平台不但满足了公安部审计的管控需求,且运行效率和稳定性过硬.     

电信运营商客户隐私数据保护算法探讨

随着移动互联网的发展,许多用户的隐私信息被各类应用系统获取并存放,而近期国家关于用户隐私信息保护相关法律法规的出台,迫切要求这些系统的信息安全管理需要不断完善。对于电信运营商而言,如何能够在服务生产运营的同时,全方位、立体化保障用户信息的安全,确保用户信息不被泄露,是我们亟待解决的问题。目前我们已经建立各种访问机制,避免对用户隐私信息的越权访问,本文通过研究目前主流的数据加密算法,基于数据置换的理念,提出了混淆映射置换算法以及分段映射算法,为不同特征的隐私数据选择最适合的加密算法,对客户隐私信息进行加密,使之难以识别,应用在实际生产系统中,取得良好的效果。     

WLAN业务安全研究

随着WLAN的大规模建设,WLAN业务的安全越来越引起重视.本文基于运营商的WLAN应当能够为最终用户提供端到端业务安全保障的角度,从组成WLAN业务系统的网元、网络、业务等层次对WLAN业务系统所面临的安全威胁进行分析,并对部分业务安全问题提出了目前的解决方案.     

基于服务相似性的k-匿名位置隐私保护方法

针对当前基于位置的服务(LBS)系统存在的隐私保护度、位置服务质量和通信开销三者难于平衡的问题,提出了一种基于服务相似性的k-匿名位置隐私保护方法。在不改变现有LBS 系统架构的情况下,利用位置服务查询结果的相似性来辅助匿名服务器构造匿名区域,从而实现在确保用户隐私安全的基础上,有效提高服务质量和降低系统开销。最后,通过实验验证了该算法的有效性。     

数据隐私保护的社会化推荐协议

基于邻域的社会化推荐需要同时依赖用户的历史行为数据和完善的社交网络拓扑图,但通常这些数据分别属于不同平台,如推荐系统服务提供商和社交网络服务提供商。出于维护自身数据价值及保护用户隐私的考虑,他们并不愿意将数据信息提供给其他方。针对这一现象,提出了2种数据隐私保护的社会化推荐协议,可以在保护推荐系统服务提供商和社交网络服务提供商的数据隐私的同时,为用户提供精准的推荐服务。其中,基于不经意传输的社会化推荐,计算代价较小,适用于对推荐效率要求较高的应用;基于同态加密的社会化推荐,安全程度更高,适用于对数据隐私要求较高的应用。在4组真实数据集上的实验表明,提出的2种方案切实可行,用户可以根据自身需求选择合适的方案。     

一种基于差分隐私和时序的推荐系统模型研究

推荐系统的建立依赖用户的个人隐私信息,攻击者可以通过推荐的结果对用户的状态和行为进行预测.目前,虽然有对基于协同过滤近邻隐私保护的研究,但是对基于模型的隐私保护的关注度并不够高.差分隐私理论定义了一个相当严格的防攻击模型,通过添加噪声使数据失真达到隐私保护的目的,而且用户的兴趣存在兴趣漂移问题,对推荐效果造成影响,因此,提出基于差分隐私理论和时序理论构建基于模型的推荐系统.首先,根据差分隐私理论,给用户的评分数据增加小波动的符合Laplace分布的噪声,增大待分解矩阵的安全系数;然后,在随机梯度下降模型的基础上,将时序因子建模为时间权重,提高模型的准确性.实验证明该算法的准确性,并且为增强隐私研究提供了新的思路.     

基于椭圆曲线的隐私增强认证密钥协商协议

认证密钥协商协议能够为不安全网络中的通信双方提供安全的会话密钥,但是,大多数的认证密钥协商协议并没有考虑保护用户隐私.论文关注网络服务中用户的隐私属性,特别是匿名性和可否认性,规范了增强用户隐私的认证密钥协商协议应满足的安全需求,即双向认证、密钥控制、密钥确认、会话密钥保密、已知会话密钥安全、会话密钥前向安全、用户身份匿名、用户身份前向匿名、不可关联和可否认,并基于椭圆曲线密码系统设计了一个满足安全需求的隐私增强认证密钥协商协议.     

基于安全多方计算的两方推理

数字基础设施的发展加速了个人隐私数据在机器学习中的应用。随着机器学习即服务的市场规模逐步扩大，服务提供商和用户在双向获利的同时也面临着严重的隐私泄露风险。因此，安全推理作为隐私保护机器学习的一个分支，成为科学界和工业界的研究热点。安全多方计算是安全推理最重要的密码学工具。从机器学习推理中潜在的隐私问题出发，引入安全多方计算技术，进一步对基于安全多方计算实现的安全推理框架进行分析研究，重点分析和评估了业界先进且实用的技术框架。最后进行了总结与展望，给出了隐私保护机器学习及安全推理的未来发展的思考与建议。     

云计算环境中支持隐私保护的数字版权保护方案简

针对云计算环境中数字内容安全和用户隐私保护的需求,提出了一种云计算环境中支持隐私保护的数字版权保护方案。设计了云计算环境中数字内容版权全生命周期保护和用户隐私保护的框架,包括系统初始化、内容加密、许可授权和内容解密4个主要协议;采用基于属性基加密和加法同态加密算法的内容加密密钥保护和分发机制,保证内容加密密钥的安全性;允许用户匿名向云服务提供商订购内容和申请授权,保护用户的隐私,并且防止云服务提供商、授权服务器和密钥服务器等收集用户使用习惯等敏感信息。与现有的云计算环境中数字版权保护方案相比,该方案在保护内容安全和用户隐私的同时,支持灵活的访问控制,并且支持在线和超级分发应用模式,在云计算环境中具有较好的实用性。     

Security protocol for IEEE 802.11 wireless local area network

As Wireless Local Area Networks (WLANs) are rapidly deployed to expand the field of wireless products, the provision of authentication and privacy of the information transfer will be mandatory. These functions need to take into account the inherent limitations of the WLAN medium such as limited bandwidth, noisy wireless channel and limited computational power. Moreover, some of the IEEE 802.11 WLAN characteristics such as the use of a point coordinator and the polling based Point Coordination Function (PCF) have also to be considered in this design. In this paper, we introduce a security protocol for the IEEE 802.11 PCF that provides privacy and authentication, and is designed to reduce security overheads while taking into account the WLAN characteristics. We prove this protocol using the original and modified BAN logic.     

WLAN security processor

A novel wireless local area network (WLAN) security processor is described in this paper. It is designed to offload security encapsulation processing from the host microprocessor in an IEEE 802.11i compliant medium access control layer to a programmable hardware accelerator. The unique design, which comprises dedicated cryptographic instructions and hardware coprocessors, is capable of performing wired equivalent privacy, temporal key integrity protocol, counter mode with cipher block chaining message authentication code protocol, and wireless robust authentication protocol. Existing solutions to wireless security have been implemented on hardware devices and target specific WLAN protocols whereas the programmable security processor proposed in this paper provides support for all WLAN protocols and thus, can offer backwards compatibility as well as future upgrade ability as standards evolve. It provides this additional functionality while still achieving equivalent throughput rates to existing architectures.     

无线局域网协议802.11安全性分析

本文从身份认证、通信的机密性、完整性和不可否认性方面对IEEE无线局域网协议802.11的安全机制进行分析,证明了该协议的安全机存在着严重的安全漏洞,实际上该协议的安全机制无法保障无线局域网的安全通信.本文还指出了实际中可能存在的攻击,针对文中提到的漏洞和可能受到的攻击,提出了相应的解决方案.     

Implementation of a Secure Wireless Communication Technology in a Highly Mobile Organisation: Challenges and Issues

Wireless Technology is growing at an alarming rate with increased security being the main challenge for developers and end users. This study presents after tackling initial challenges and issues faced during the implementation of wireless technology, how security issues and wireless application were implemented at Sydney Airport – a highly mobile organization. The decision to deploy and manage the wireless spectrum throughout the Airport campus meant the wireless LAN will be a shared medium with public users, tenants and aircraft communications, sharing the same available bandwidth. Therefore to protect unintended users from breach of existing security policies adopted by their corporate network a comprehensive security solution needed to be established. This study focuses on how Sydney Airport undertook the WLAN architecture and security challenges of implementing a common use wireless infrastructure. Authentication and data privacy challenges are also presented. The complete WLAN connectivity for tenants, public and corporate usage is presented.     

WLAN中的分布式NIDS研究与设计

文中分析了WLAN存在的安全问题,提出一种适用于接入点（AP）模式WLAN的分布式NIDS（网络入侵检测系统）。分析了该模型的功能与工作流程,并在Windows系统进行了模拟,实验表明,该模型可以提高WLAN的安全性。     

Secure push for mobile airline services

In this paper, we propose an architecture for secure push services for mobile users that supports common-of-the-shelf (COTS) WLAN base stations. The architecture focuses on the creation of flexible access networks based on easily deployable base stations. The push functionality is realized using client-initiated connections with SIP, and TLS or dTLS for security. The central building block of the distributed system is the edge proxy, which manages and implicitly authenticates all inbound connections, and performs privacy enhancement. The main driving force of our architecture has been airline services, but the system is applicable also for other service domains.     

无线局域网安全探测系统的设计与实现

无线局域网作为有线网络的延伸,得到越来越多的应用,在政务办公方面,带来了诸多信息安全问题。论文提出了一种无线局域网络安全探测系统的构架,该系统通过获取空中的无线数据包,分析覆盖范围内的无线局域网通讯协议,及时发现周边无线网络的安全隐患。文中给出了无线局域网设备的发现与探寻实现方法,经测试表明该设备可以有效地监测周围正在使用的无线局域网的安全特征,并能追踪到其相对位置,为无线局域网络提供安全支撑。     

无线局域网的安全策略研究

针对无线局域网上资源面临的危险,标准的安全缺陷以及无线局域网欺诈、劫持等安全漏洞,提出了无线局域网的安全策略方案。在信息传输安全隐患上,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。在网络标准上,一方面,可以采用新一代安全标准IEEE 802.11i,通过扩展认证协议EAP和3种加密机制(临时密匙完整性协议TKIP,以及基于高级加密标准AES的CCMP和WRAP)保障无线局域网的安全性;另一方面,采用中国无线局域网安全标准WAPI,通过公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了WLAN在多种安全机制下的兼容性。结果表明,以上针对无线局域网的安全策略,为提高无线局域网的相对安全性以及与其他网络实现互联互通提供了技术保障。     

基于跨AC切换实现WLAN快速拨测和拥塞控制策略研究

文章介绍了当前WLAN保障中使用的拨测方法和拥塞控制手段,然后提出了一种基于跨AC切换实现WLAN 拨测和拥塞控制的方法.通过提出一种跨WLAN AC的切换设备,可实现集中控制一个AP快速切换至各个AC进行拨测.利用AP拨测结果和AC日志的双重对比分析方法,对vSwitch下挂AP设备快速批量地割接至容灾AC,最大限度...