基于双策略的WAPI协议改进

作为无线网络鉴别和保密基础结构的WAPI协议,其安全的认证机制是确保无线网络安全的前提。简要描述了WAPI认证协议原理,分析了WAPI身份认证中存在的易被中间人攻击的安全漏洞,提出了基于身份和签名的双策略改进方案,介绍了实现该方案的接发双队列认证模型,给出了有线网络下的模拟实验环境,通过实验证明了改进方案的有效性。     

A note on the security of PAP

In this letter, we analyze the security of an RFID authentication protocol proposed by Liu and Bailey [1], called privacy and authentication protocol (PAP). We present two traceability attacks and an impersonation attack.     

Improvement of the RFID authentication scheme based on quadratic residues

RFID, with its capability of remote automatic identification, is taking the place of barcodes and becoming the new generation of electronic tags. However, information transmitted through the air is vulnerable to eavesdropping, interception, or modification due to its radio transmission nature; the prevalence of RFID has greatly increased security and privacy concerns. In 2008, Chen et al. proposed an RFID authentication scheme which can enhance security and privacy by using hash functions and quadratic residues. However, their scheme was found to be vulnerable to impersonation attacks. This study further demonstrates that their scheme does not provide location privacy and suffers from replay attacks. An improved scheme is also proposed which can prevent possible attacks and be applied in environments requiring a high level of security.     

Analysis and design of a smart card based authentication protocol

Numerous smart card based authentication protocols have been proposed to provide strong system security and robust individual privacy for communication between parties these days. Nevertheless, most of them do not provide formal analysis proof, and the security robustness is doubtful. Chang and Cheng （2011） proposed an efficient remote authentication protocol with smart cards and claimed that their proposed protocol could support secure communication in a multi-server environment. Unfortunately, there are opportunities for security enhancement in current schemes. In this paper, we identify the major weakness, i.e., session key disclosure, of a recently published protocol. We consequently propose a novel authentication scheme for a multi-server envi- ronment and give formal analysis proofs for security guarantees.     

一种新的无需服务器支持的RFID认证协议

近年来,各种基于无线射频识别(RFID)技术的物联网系统得到大量应用,如何保护用户的隐私和安全也随之变得越来越重要.在传输信息前进行认证是提高系统安全性的一个重要方法.现有的RFID认证协议大多需要一个中心服务器来保存该系统所有RFID标签的相关信息,但是这类协议在认证时读写器必须与服务器保持实时连接.很多覆盖区域比较大的物联网系统很难实现这种实时性,保证读写器与服务器之间通信的安全也需要额外的开销.针对这两个问题,提出了一种新的无需服务器支持的RFID认证协议,该协议实现方便,同时提供了很好的安全性和隐私性.通过分析可知,它可以抵御各种常见攻击.     

WAPI中ASU的研究与设计*

深入探讨了ASU的实现机制,给出了ASU详细的设计与实现方法,并对实现效率及安全性进行了讨论。     

成长性身份认证

传统身份认证过程中所依据的主要是用户口令等相对固定的信息,本文提出了利用用户的系统行为信息进行身份认证的成长性身份认证的概念。与现有的身份认证机制相比,成长性身份认证可以解决密钥分发时的管理员漏洞,使侦听与监视、重放攻击等难以得手,有利于入侵检测,适用于对身份认证安全性要求较高的系统。     

An asymmetric cryptographuic key assignment scheme for access control in totally-ordered hierarchies ∗

Many methods based on cryptography have been proposed to solve the problem of access control in hierarchic structures. However, these schemes are only used in symmetric (or one-key) cryptosystems. In this article, we propose a new multilevel access control scheme for a totally-ordered hierarchy that can be used in asymmetric (or two-key) cryptosystem. It is well known that there are two main advantages in asymmetric cryptography: key distribution and authentication. Our scheme is, to our best knowledge, the first to be used as an asymmetric cryptosystem.     

基于多主体的分布式网络入侵检测系统

随着网络入侵行为变得越来越普遍和复杂,传统的单一入侵检测系统已不能满足网络安全的发展需求.针对当前形势,为了提高计算机及网络系统的防御能力,提出了一种基于多主体的分布式网络入侵检测模型,研究了基于多主体的分布式网络入侵检测系统.在对入侵检测系统的描述中,重点介绍了入侵检测系统功能、入侵检测系统框架、入侵检测系统工作流程和系统实现的关键技术.为了验证系统的有效性,对入侵检测系统进行了大量的测试.测试结果表明,入侵检测系统扫描网络花费时间不多,扫描结果准确率很高.     

X-window应用系统的安全问题及其解决方案

通过介绍X—window应用系统的通信原理，分析Internet环境下X—window应用系统的通信安全问题，提出了一种能够保证X—window实际应用安全性的解决方案，并直接应用到Web—EDA技术平台开发中。该安全通信的解决方案主要集成了主机隐藏、通信加密、二次验证等3种通信安全技术，而无须对X—window应用软件的原程序进行修改，就能解决其在Internet中通信的安全问题。     

A distributed digital rights management model for secure information-distribution systems

There is a need to protect digital information content and the associated usage rights from unauthorized access, use, and dissemination. The protection mechanisms should meet the requirements for the correct management of fine-grained access and usage controls and the protection of user privacy. Digital rights management (DRM) solutions have significant relevance in this context. This paper describes a distributed DRM model for a secure information-distribution system consisting of six trust-building blocks. These are (i) the user application, (ii) the authentication and authorization module, (iii) Rights-Carrying and Self-Enforcing Objects (SEOs), (iv) the privacy enforcement module, (v) theUsage Tracking and Monitoring Proxy (UTMP), and (vi) thesecurity infrastructure. SEOs are information objects that carry access and usage rights and are responsible for the fine-grained enforcement of these rights. The security infrastructure plays a pivotal role in the creation, distribution, storage, manipulation, and communication of information objects across organizational boundaries with the required level of security. Our model was originally developed for an Internet-based learning project in Norwegian schools and meets most of the aforementioned requirements.     

物联网中的隐私保护问题研究

在物联网中的认证和密钥协商过程中,如果用户的身份信息以明文的形式传输,攻击者可能追踪用户的行动轨迹,从而造成信息泄漏。针对大多数基于身份的认证和密钥协商协议不能保护用户隐私的问题,提出一个基于身份的匿名认证和密钥协商协议。在设计的认证和密钥协商方案中,用户的身份信息以密文的形式传输,解决了用户的隐私问题。     

基于身份认证的嵌入式Web网关安全机制的实现

在电力远程监控系统的安全需求背景下,首先分析嵌入式网关面临的网络安全威胁,然后针对嵌入式系统资源有限及具体应用环境提出了“紧凑安全策略”,最后利用HTTP摘要认证和SSL安全协议实现了基于身份认证的嵌入式网关的安全,达到安全和资源使用的最佳平衡。     

国内第三方Android应用市场安全性的检测

根据目前第三方Android应用市场应用存在的重新打包行为,随机选取国内官方的150个应用以及作为对比的第三方应用市场的572个同款应用,设计了Android重新打包应用安全检测系统。该系统先进行相似性计算,细粒度识别出重新打包应用,再通过逆向工程获得其资源文件,根据系统API与权限之间的映射匹配分析其越权行为,并根据构建的方法控制流图分析其权限滥用行为。系统通过并行化处理检测出第三方应用市场存在33.17%的重新打包应用,其中19.58%修改了权限。在修改过权限的应用中,45.95%存在越权行为,27.03%存在滥用权限行为。     

基于一次性口令的认证技术的研究

身份认证是信息安全理论和技术中非常重要的方面.通常认证最大的问题是用户名和口令都以明文的方式在网络中传输,所以安全性不高,极易遭受重放攻击和字典攻击.而OTP与Kerberos协议相结合的认证技术更能够避免常用OTP技术存在的易受小数攻击的安全漏洞.     

一个基于PAM的身份认证系统的设计与实现

当今网络安全越来越受到人们的重视,身份认证作为同络安全的重要组成部分,已成为保证应用系统安全的有力手段。当前的一些身份认证产品的缺点是认证方法单一,缺少扩展性,很难满足不同应用系统的需要。本文提出了一个基于Linux PAM(Pluggable Authentication Modules)的身份认证系统,可支持多种认证方法,而且具有良好的扩展性。本文首先介绍了PAM,讨论了基于PAM开发的关键问题,然后给出了系统的设计,最后结合具体实例阐明了系统的工作原理。     

GSM安全机制

GSM的安全机制使其成为现行最安全的移动通信标准。文章结合密码学,详细分析介绍了GSM的主要安全性管理功能,并就有关认证方案、A5算法及加密算法密钥长度等问题作了进一步探讨。     

大庆油田电子商务安全模型研究

本文主要针对电子商务系统对网络及信息系统的安全需求进行了分析,探讨综合运用多种网络技术、安全手段和认证系统提出大庆油田电子商务系统地安全模型,建立一个完善的电子商务信息安全防护体系,确保大庆油田电子商务系统的安全运行.     

无线传感器网络中的隐私保护研究

随着无线传感器网络的广泛应用,安全问题发生变化,通信安全成为重要的一部分,隐私保护日渐重要。首先分析了无线传感器网络的通信安全特点、通信安全的需求、面临的保密性威胁及攻击模型。最后,基于对无线传感器网络隐私保护问题的分析和评述,指出了今后该领域的研究方向。     

安全密码认证机制的研究

随着计算机网络的迅速发展和应用系统不断增加,网络安全显得越来越重要。使用密码认证(PasswordAu-thentication)来判断用户的身份是最常使用的方法之一,文章将首先探讨各种密码认证机制的优缺点,并提出一个基于公钥加密体制的密码认证机制,可以有效地阻止重放攻击(replayattack),并且管理简单。