基于软件行为指纹的自检测防窜改技术研究*

对软件的行为进行抽象建模,通过安全hash函数计算软件的行为指纹,并通过自检测防窜改技术检测软件行为指纹,保护客户端软件的完整性和安全性。给出了软件的行为建模和检测,以及自检测防窜改系统,并作了系统安全性分析。     

电子文档的窜改检测与定位系统原型

针对电子文档的安全保护问题，提出了Microsoft Word文档的窜改快速定位技术与方法，设计了相应的防窜改定位系统原型。该系统可以与现有的备份服务器系统结合使用，大大减少备份更新的时间。模拟结果表明，该系统不仅能够进行窜改检测，而且可以将窜改行为定位在一定范围内。     

中网分布式防火墙护航全网安全

目前的网络普遍采取的安全措施包括边界防火墙，入侵检测，漏洞扫描，防病毒，主页防窜改和安全审计等系统，在局域网与路由器之间部署防火墙和入侵检测，在每一个局域网内部部署防病毒软件和漏洞扫描，网站所在的DMZ区部署主页防窜改和安全审计，内部的重要业务系统和应用系统都部署防火墙。     

一种网页防窜改系统的设计与实现

针对Web站点容易遭受黑客攻击而导致网页被窜改的问题 ,提出了Web信息发布系统对网页防窜改系统的要求 ,阐述了一种基于DDK的网页防窜改系统的设计与实现。     

基于代码的软件指纹技术及实现方案研究*

在全面分析软件标志和软件安全技术理论的基础上,创造性地提出新的软件指纹技术及基本实现方案,并对基于代码的静态软件指纹技术的嵌入、检测、攻击以及安全性等方面进行了深入探讨,从而形成了系统的软件安全保护应用模式.     

软件哨兵安全动态检测模型的研究与实现

软件哨兵是保护软件代码不被非法修改的重要方法之一,但它本身的安全面临着重大挑战。为了能动态检测软件哨兵是否遭到窜改,基于TPM技术提出了一个检测软件哨兵完整性的模型。该模型利用哨兵进程在内存页面中的变化情况,判断哨兵是否可信,提高了哨兵实时性和动态性。实验证明,该模型能够准确地判断出哨兵进程是否遭到窜改并满足计算平台对安全性和执行效率的要求,具有较好的可行性。     

嵌入软件的计量器具防弊系统研究

针对目前我国有不法分子为了获取非法利益,将电子计量器具改变内部芯片代码进行作弊,提出了一种基于嵌入式软件的防作弊系统,以保证质检人员对作弊器具的有效检测.首次以嵌入式软件质量测评系统为基础,在审批计量器具之前提取其软件内部特征信息作为数字指纹并保存,在质检人员检测计量器具时,提取待检测器具的内部芯片程序信息并生成数字指纹,通过将生成的数字指纹与之前保存的数字指纹进行比较,就可以准确实现作弊计量器具的成功检测.实验结果表明,嵌入软件检测系统能够准确将作弊计量器具检测出来,具有一定的使用价值.     

面向方面自监控软件的行为正确性验证

嵌入监控代码方法一般是在原程序中嵌入监控代码后生成自监控软件,实现安全策略对软件行为的约束,受自监控软件实现方式等具体研究方法限制,目前验证自监控软件行为符合目标安全策略的方法验证能力有限。提出一种灵活的基于面向方面编程的自监控软件实现方式,并设计了相应更全面的自监控软件行为正确性验证方法。该方法基于交替转换系统描述自监控软件的行为,使用时间交替时序逻辑定义软件行为正确的性质公式,通过给定算法在模型上检测性质公式满足与否,从而验证软件行为是否符合"安全性"、"活性"等类型监控策略,并可以分析监控代码对原程序的影响。     

基于系统调用的软件行为模型

由于系统调用信息可以在一定程度上反映程序的行为特性,因此利用系统调用来对程序行为进行建模是目前入侵检测领域的研究热点。以静态建模、动态建模和混合建模这3种不同的建模方式为切入点,按照时间顺序将基于系统调用的软件行为模型的发展划分为3个阶段:初期阶段、发展阶段和综合发展阶段。然后剖析了各阶段内的模型的发展轨迹以及它们之间的内在联系,并对它们做了横向对比分析。研究表明,基于系统调用的软件行为建模技术的发展趋势应是结合静态和动态建模技术以及结合系统调用的控制流信息和数据流信息,并综合考虑其他实时信息,如环境变量和上下文信息等,开发出检测能力更强、完备性更高以及实际可行性高的软件行为模型。     

基于函数级控制流监控的软件防篡改

软件防篡改是软件保护的重要手段。针对由缓冲区溢出等攻击导致的控制流篡改,提出一种基于函数级控制流监控的软件防篡改方法。以函数级控制流描述软件正常行为,利用二进制重写技术在软件函数入口处植入哨兵,由监控模块实时获取哨兵发送的软件运行状态,通过对比运行状态和预期值判断程序是否被篡改。实现了原型系统并对其进行了性能分析,实验结果表明,基于函数级控制流监控的软件防篡改方法能有效检测对控制流的篡改攻击,无误报且开销较低,其实现不依赖程序源码,无需修改底层硬件和操作系统,监控机制与被保护软件隔离,提高了安全性。     

Multi-block dependency based fragile watermarking scheme for fingerprint images protection

For traditional fragile watermarking schemes, isolated-block tamper which will destroy the minutiae of the fingerprint image can hardly be efficiently detected. In this paper, we propose a multi-block dependency based fragile watermarking scheme to overcome this shortcoming. The images are split into image blocks with size of 8 × 8; a 64-bit watermark is generated for each image block, and then equally partitioned into eight parts. Each part of the watermark is embedded into another image block which is selected by the corresponding secret key. Theoretic analysis and experimental results demonstrate that the proposed method not only can detect and localize the isolated-block tamper on fingerprint images with high detection probability and low false detection probability, but also enhances the systematic security obviously.     

基于自适应流特征的半脆弱流指纹编码方案

针对流交换中网络抖动和流变换导致的流指纹不可用、不可信问题,提出了基于自适应流特征的半脆弱流指纹编码方案(ACSF)。首先,采用流特征参数作为生成哈希消息验证码(HMAC)密钥、确定HMAC置乱方式以及选择伪噪声(PN)码初始相位的依据,将密钥空间提高到O((k+1)·(S·O(K_EN))),增加了敌手穷举的计算复杂度;同时,增加流指纹自适应性,将解码计算复杂度降低到O(k²·l·n_f),提高了解码效率。其次,采用直接序列扩频(DSSS)技术,在多流互扰强度达到66.7%时,解码正确率可以达到90%以上,实现了过滤非恶意处理;而且,采用HMAC技术,使得篡改定位准确率为98.3%以上,使指纹具有半脆弱性。最后,对ACSF的安全性、篡改定位能力和抗干扰能力进行了理论分析和实验验证。     

基于区块链技术的高效跨域认证方案

为解决现有公钥基础设施（PKI）跨域认证方案的效率问题,利用具有分布式多中心、集体维护和不易篡改优点的区块链技术,提出基于区块链技术的高效跨域认证方案,设计了区块链证书授权中心（BCCA）的信任模型和系统架构,给出了区块链证书格式,描述了用户跨域认证协议,并进行了安全性和效率分析。结果表明,在安全性方面,该方案具有双向实体认证等安全属性;在效率方面,与已有跨域认证方案相比,利用区块链不可篡改机制,使用哈希算法验证证书,能减少公钥算法签名与验证的次数、提升跨域认证效率。     

软件防篡改技术综述

随着计算机软件的广泛使用,软件安全性问题日益突出.如何设计切实可行的软件保护方案已成为必须直面的挑战,具有重要的现实意义.近年来,软件防篡改技术作为软件保护的重要手段之一受到国内外研究者的重视.软件防篡改的目标在于阻止程序中的关键信息被非法修改或使用;检测篡改并作出适当的响应.针对这两个目标,重点介绍了基于代码混淆的静态防篡改技术和基于检测-响应的动态防篡改技术,对现有主流的软件防篡改技术进行分类,并分析和讨论了各类方法的优劣和局限性.最后,总结软件防篡改领域存在的问题,并对其未来可能的发展与研究方向提出建议.     

多水印技术在软件版权管理中的应用研究

为增强软件水印的鲁棒性,将图像“多水印”思想引入到软件中,并给出软件多水印定义,分析联合方式,给出 模型及优化方法。在此基础上,提出一种基于多水印的软件版权保护模型,并对原有的算法进行改进,解决有意义软 件水印的预处理问题、指纹的动态混淆嵌入及交互防篡改检测问题,提高软件水印的鲁棒性。实验表明,该模型在防 止静态分析、动态跟踪、反逆向工程以及保护水印和软件的完整性方面具有较好的性能。     

基于混合加密算法与FUK技术的SMIS数据安全设计与实现

以大型销售MIS的数据安全问题为例,提出以终端ID号、钥匙盘ID号和终端用户样本指纹绑定为一体的身份认证方案。该方案采用软硬件协同工作方式,克服了传统身份认证模式或安全性能低,或运算成本高等缺陷,提高了认证效率,并保证了合法用户操作的唯一性和认证过程的不可抵赖性。提出的基于ECC与一维混沌加密算法优点相结合的混合加密方案,使基于互联网传送的数据安全性有了实质性提高。基于分治叠加法的大整数计算成果运用,克服了计算机精度域的限制,使密钥空间从理论上趋向于无穷大。试验结果表明,基于混合加密算法的数据安全方案具有良好的抗穷举攻击和抗差分攻击能力。该项研究为解决各类MIS的数据安全问题提供了重要策略,意义重大。     

Chaotic watermark for blind forgery detection in images

In this paper, a new chaos based watermarking scheme for effective tamper detection in images is proposed. The proposed scheme is able to detect any possible forgery and spot the areas which have been tampered. To improve the efficiency of the proposed scheme, a binary watermark is constructed from the image itself, which makes the watermark unique for every image and guarantee the blindness in the detection process. To guarantee the security of the proposed scheme, chaotic maps are used to complicate the embedding and the detection process to reduce the vulnerability to different attacks. Experimental results and security analysis show that the proposed scheme achieves superior tamper detection under common attacks.     

Composite chaos-based lossless image authentication and tamper localization

To improve the robustness to combined attack of signal processing plus tamper, a composite chaos-based lossless scheme for image authentication and tamper localization is proposed. A non-successive composite chaos (NSCC) is described, and its performance is analysed by some evaluation indicators. Then NSCC is employed to disturb original image and generate chaotic logo, which enhances the security and robustness of lossless image authentication scheme due to the good performance of NSCC in these aspects of randomness, complexity and ability of anti-forecast technology. Experimental results demonstrate that the proposed scheme is not only safe, but also realizes the correct extraction of logo and precise detection of tampered region position and shape under various attacks, especially signal processing plus tamper attack.     

一种基于区块链的安全云存储方案设计

云存储方式是将数据上传到云服务器中,以此来减轻本地存储的负担。然而,把数据存储到不受信任的第三方云服务器上,可能导致一些数据安全隐患的出现,其中最典型的是数据的完整性问题和隐私问题。针对数据完整性问题和隐私问题,提出一种基于区块链的云存储方案。该方案利用区块链的梅克尔树属性、匿名性、不可篡改等特点构建安全云存储系统,有效地解决了数据完整性问题和隐私保护问题。