基于哈希链的软件定义网络路径安全

针对软件定义网络中，控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题，提出一种新的转发路径监控安全方案。首先以控制器的全局视图能力为基础，设计了基于OpenFlow协议的路径凭据交互处理机制；然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术；最后在此基础上，对Ryu控制器和Open vSwitch开源交换机进行深度优化，添加相应处理流程，建立轻量级的路径安全机制。测试结果表明，该机制能够有效保证数据转发路径安全，吞吐量消耗比SDN数据层可信转发方案（SDNsec）降低20%以上，更适用于路径复杂的网络环境，但时延和CPU使用率的浮动超过15%，有待进一步优化。     

基于哈希锁定的网络传输异常序列监测仿真

为有效提升传统网络传输异常序列监测方法的处理效率,提出基于哈希锁定的网络传输异常序列监测方法。利用随机投影的哈希函数将高维空间数据转换为低维空间数据,并利用网络传输序列的多元数量值函数,组建网络传输结构模型。对网络传输结构模型进行流量时频采样以及时间序列分析,结合FIR滤波器对其进行流量抗干扰处理,通过高阶累计的振荡衰减,对输出的滤波数据进行特征搜索及提取,实现基于哈希锁定的网络传输异常序列监测。仿真结果表明,所提方法具有较强的抗干扰性,并且能够确保网络的稳定运行。     

基于云安全的高级计量体系恶意软件检测方法

高级计量体系(AMI)中,智能电表主要依赖嵌入式硬件加密(ESAM)提供保护,遭破解后可能遭恶意软件攻击威胁。针对智能电表通信和计算资源有限的特征,提出了基于白名单的云安全防护方法。首先利用运行环境封闭固定的特点,在计量中心云端安全服务器中建立并维护合法进程白名单;然后在智能电表中安装运行进程检测模块,由其枚举出所有运行进程,计算唯一标识各进程的哈希值特征码并提交到云端安全服务器,与白名单进行对比即可检出含非法进程的表计。该模式仅需在智能电表中计算并上传进程特征码,可在有限的计算和通信资源约束下满足恶意软件检测需求,能够强化AMI的网络安全防护水平。     

On the development of high-throughput and area-efficient multi-mode cryptographic hash designs in FPGAs

In this paper, area-efficient and high-throughput multi-mode architectures for the SHA-1 and SHA-2 hash families are proposed and implemented in several FPGA technologies. Additionally a systematic flow for designing multi-mode architectures (implementing more than one function) of these families is introduced. Compared to the corresponding architectures that are produced by a commercial synthesis tool, the proposed ones are better in terms of both area (at least 40%) and throughput/area (from 32% up to 175%). Finally, the proposed architectures outperform similar existing ones in terms of throughput and throughput/area, from 4.2× up to 279.4× and from 1.2× up to 5.5×, respectively.     

LTE系统密钥生成算法研究

介绍了单向散列函数特性和SHA-256算法原理.基于C语言实现SHA-256算法的程序设计,在Visual C++6.0环境下仿真测试结果,对该算法的单向散列函数特性进行了分析.对24组1 024 bit测试数据测试分析,结果表明,SHA-256算法具有理想的单向散列函数特性.     

包分类算法在防火墙中的应用研究

包分类算法的性能直接影响数据包的收发速度,决定了网络的时延和吞吐量。防火墙中使用分类算法进行过滤规则的匹配查找,能有效降低规则匹配搜索时间,极大地提升防火墙的性能。递归流分类（RFC,Recursive Flow Classification）算法查找速度快,但预处理时间长,存储开销大。现在RFC算法的基础上,结合哈希树算法对数据包各字段分开处理。将两种算法结合,综合考虑了空间和时间性能,不仅减少了存储开销,而且能保持相对快的查找速度。     

一种基于混合型结构优化算法——Apriori-Mend算法

关联规则挖掘是数据挖掘领域中最重要的研究问题之一。Apriori是关联规则挖掘的一种经典算法,它使用候选项集产生测试机制来找出所有满足用户最小支持度的项集,但它需要多次扫描数据库,会产生大量的候选项集。针对Apriori算法的不足,提出了一种基于混合型新的优化算法:Apriori-Mend算法。该算法从优化产生2项集、事务压缩等几个方面对Apriori算法进行优化,将散列技术应用于产生1项集和2项集,采用库优化策略和混合型存储结构,以节省空间和运算时间。实验结果表明,Apriori-Mend算法运行速度比Apriori算法有明显的提高。     

新的基于变色龙的车载通信安全与隐私保护

在车载自组网（VANET）中许多服务和应用需要保护数据通信的安全,为提高驾驶的安全性和舒适性,一些与交通状况有关的信息就要被周期性地广播并分享给司机,如果用户的身份和信息没有隐私和安全的保证,攻击者就会通过收集和分析交通信息追踪他们感兴趣的车辆,因此,匿名消息身份验证是VANET中不可或缺的要求。另一方面,当车辆参与纠纷事件时,证书颁发机构能够恢复车辆的真实身份。为解决车载通信这一问题,郭等人在传统方案的基础上提出一种基于椭圆曲线的变色龙散列的隐私保护验证协议。虽然此方案较之前方案具有车辆身份可追踪性和高效率性,但分析表明此方案不满足匿名性。对郭等人的方案进行安全性分析并在此基础上做出改进。     

CDMA20001x EVDO网络MM4+协议监测的实现

首先对CDMA2000 1x EVDO网络中的增值业务进行了介绍,然后针对增值业务中不同网络间的多媒体消息互通问题,对关键接口MM4接口中的MM4+协议进行了介绍与监测.最后,借助哈希索引算法提出了一种新的CDR存储方案,并通过现网数据测试,验证了相关方法的可行性.     

Parallel Collision Search with Cryptanalytic Applications

A simple new technique of parallelizing methods for solving search problems which seek collisions in pseudorandom walks is presented. This technique can be adapted to a wide range of cryptanalytic problems which can be reduced to finding collisions. General constructions are given showing how to adapt the technique to finding discrete logarithms in cyclic groups, finding meaningful collisions in hash functions, and performing meet-in-the-middle attacks such as a known-plaintext attack on double encryption. The new technique greatly extends the reach of practical attacks, providing the most cost-effective means known to date for defeating: the small subgroup used in certain schemes based on discrete logarithms such as Schnorr, DSA, and elliptic curve cryptosystems; hash functions such as MD5, RIPEMD, SHA-1, MDC-2, and MDC-4; and double encryption and three-key triple encryption. The practical significance of the technique is illustrated by giving the design for three $10 million custom machines which could be built with current technology: one finds elliptic curve logarithms in GF(2¹⁵⁵) thereby defeating a proposed elliptic curve cryptosystem in expected time 32 days, the second finds MD5 collisions in expected time 21 days, and the last recovers a double-DES key from two known plaintexts in expected time 4 years, which is four orders of magnitude faster than the conventional meet-in-the-middle attack on double-DES. Based on this attack, double-DES offers only 17 more bits of security than single-DES. Received 21 December 1995 and revised 24 September 1996