面向无线传感器网络的多因素安全增强认证协议

为解决现有协议普遍存在的离线字典攻击、缺少匿名性、无前向安全等安全缺陷,基于最新安全模型,将KSSTI攻击和注册合法用户攻击加入安全模型评价标准中,形成增强安全模型,提出了一种面向无线传感器网络的多因素安全增强认证协议,实现了用户通过网关与传感器节点两端的安全会话密钥协商。BAN逻辑和启发式分析结果表明该协议实现了双向认证,满足匿名性、前向安全、抵抗内部攻击、抵抗KSSTI攻击等重要安全属性。相比于已有协议,该文协议的安全等级更高且计算量与通信量适中,适用于安全等级要求高且传感器节点计算资源受限的应用场景。

基于有限域密钥交换的一次一密实现算法

一次一密的实际应用是世界性难题,签于此,提出一种可行的解决方案.该方案利用一种阶为梅森素数的有限域密钥交换算法(即公钥密码算法),在收发双方不需要预先提前分配、传输和存储对称密钥,只要求收发双方公开自己的公钥,而保密自己的私钥,每通信1次就更换私钥及相关的公钥,完全实现一次一密的完善保密性.阶为梅森素数的有限域公钥密码算法本身基于模2运算,便于软硬件快速实现,理论分析和计算仿真均证明其有效性,具有广泛的理论和实际应用价值.

高校信息系统对外服务安全管理研究与实践

随着教育信息化的发展,高校校园网主页、门户网站、招生就业网站等对外提供服务的信息系统成为了学校对外宣传和服务的重要窗口,其网络安全管理工作十分重要。论文针对目前严峻的安全形势,以高校对外提供重要服务的信息系统安全管理机制为研究对象,结合信息安全等级保护制度,提出在信息系统的立项、采购、建设、验收、运维以及关闭等各环节,通过一系列行之有效的安全管理机制和技术,可确保信息系统达到安全要求。

Windows NTFS下数据恢复的研究与实现

针对由主观或客观因素造成计算机中数据丢失的情况,提出一种Windows NTFS文件系统下数据恢复的实现方案。介绍了NTFS文件系统在磁盘上的结构,重点分析了NTFS文件系统的核心——主文件表MFT,文件记录的结构和文件的几个关键属性。通过分析文件删除前后文件记录中属性值的变化,详细阐述了数据恢复的具体实现。

基于主机的安全审计系统研究

文中综合入侵检测、访问控制等技术,提出了一种适用于涉密局域网中UNIX主机的主机(服务器)安全审计系统的原型系统,模型以多级安全策略为基础,以全面增强主机安全。通过实际的应用,验证了系统的可行性。

蠕虫病毒的传播机制研究

分析了网络蠕虫的特征,从扫描方法入手研究了蠕虫的传播机制,对其性能进行了比较,并提出了蠕虫的控制方法。

多业务系统的统一认证授权研究与设计

针对多个业务系统的单一登录和统一认证授权的需求,提出了一种包含用户组和资源组的基于角色的访问控制策略,并利用Acegi构建安全系统和JASIG-CAS实现中央认证服务,设计实现了一个统一的认证授权系统。该认证授权系统对多个业务系统的用户的权限信息进行统一管理,实现了单一登录,并利用缓存机制,减少了在系统认证鉴权过程中对数据库的频繁访问,从而显著的改善了系统的性能。

基于K-最近邻算法的未知病毒检测

因为准确检测计算机病毒是不可判定的,故该文提出了一种基于实例学习的k-最近邻算法来实现对计算机病毒的近似检测。该法可以克服病毒特征代码扫描法不能识别未知病毒的缺点。在该检测方法的基础上,文章设计了一个病毒检测网络模型,此模型适用于实时在线系统中的病毒检测,既可以实现对已知病毒的查杀,又可以对可疑程序行为进行分析评判,最终实现对未知病毒的识别。

求解协同干扰问题的高效免疫遗传算法

为协同干扰武器目标分配问题建立的数学模型,当问题规模增大时,现有的智能求解算法表现出两点不足,一是所求解质量下降;二是求解速度不可接受。针对该两点不足提出了具有贪婪修复过程的免疫遗传算法,算法设计了通用十进制扩展编码方案、基于免疫的轮盘赌选择算子和贪婪修复算子。仿真实验表明,该算法与现有算法相比具有明显的效率优势,在解决大规模协同干扰武器目标分配问题时不仅解算时间可接受而且所求解质量比同类算法高。

基于集成神经网络的计算机病毒检测方法

在借鉴传统的特征扫描技术的基础上,提出了一种基于n-gram分析的计算机病毒自动检测方法。将基于信息增益的特征选择技术引入集成神经网络的构建中,结合Bagging算法,同时扰动训练数据和输入属性生成精确且差异度大的个体分类器,在此基础上以集成的BP神经网络为模式分类器实现对病毒的检测。该法并不针对某一特定病毒,是一种通用的病毒检测器。实验表明提出的检测方法具有较强的泛化能力和较高的精确率。

P2DR模型中策略部署模型的研究与设计

分析动态自适应网络安全模型P2DR的缺陷,提出对P2DR模型的几点改进建议。针对模型中策略相关不足设计了一个策略部署模型,该部署模型实现了策略统一定制、自动分发、自适应管理等功能,同时在部署模型中引入了安全事件关联分析的思想,共享设备间安全信息以实现安全策略的联动操作,达到安全事故及时响应的目标。该部署模型实现了P2DR模型的动态性和自适应以及策略核心作用。

一种新的基于PKI的动态身份认证系统的设计

针对现有身份认证技术存在的缺点,将PKI技术与挑战/应答认证机制相结合,提出了一种新的基于PKI的动态身份认证系统,并具体论述了该系统的结构和认证协议,同时对此身份认证系统的安全性进行了分析,指出了优点和不足。

一对多场景下的公钥时控性可搜索加密

为有效解决多接收者时间相关密文检索问题,采用广播加密技术提出一对多公钥时控性可搜索加密机制——发送者将加密的数据发送至云服务器,使得仅授权用户组成员可检索下载包含特定关键词的密文,但只能在指定的未来时间之后解密.给出方案及其安全游戏模型的形式化定义,提出两种基于q-DBDHI问题的可证明安全方案,并严格证明所提方案在自适应选择明文攻击下是安全的,效率分析表明,两种方案在执行过程中,实现了计算、存储、传输规模与用户规模无关;与相关方案相比,方案2具有更高效率.

一种新的基于RGB图像的多区域信息隐藏技术

提出了一种新的基于图像的信息隐藏技术,可以在图像的每个位平面都实现信息的嵌入。该技术基于如下假定:即图像中的颜色分量值在某个较小的区域内变动时,人眼几乎察觉不到该图像的失真。由此,通过给各个位平面设定一个可变化区域,在这些区域中颜色分量值的轻微变化便可引起某个位平面在0与1之间发生转换,这样便可在这些区域中实现信息的藏匿。另外还从安全性及隐藏信息量方面对其进行了分析,并通过实验显示了在图像中嵌入信息后的的效果。

TRE加密技术研究

TRE(timed-release encryption)是一种由发送者指定未来特定解密时间的密码原语,其所具备的时间相关特性在许多具有时间敏感性的现实应用场景(如电子投标、分期付款、在线考试、电子机密档案)均有着十分重要的应用价值.首先,在对已有TRE方案进行分类并分析总结各类TRE特点的基础上,给出TRE的形式化定义与安全目标定义;其次,介绍了3种TRE基本架构及其所涉及的数学问题,并给出了3种典型的TRE构造方案;再次,分析总结了TRE的安全目标及其在自适应选择明文与自适应选择密文攻击模型下的安全性;然后,开展了TRE的应用研究,特别是提出TRE与其他密码机制结合的前提条件和一般化方案,并构造出一个TRE结合可搜索加密的具体方案;最后,讨论了TRE未来需进一步研究的问题.

协议一致性测试执行系统的体系结构研究

对现有的协议一致性测试方法进行了介绍，然后针对TCP/IP协议族的一致性测试所必需的特殊要求和必需用到的多种测试方法，提出一种测试执行系统的体系结构，可以灵活地进行各个层次协议的测试。应用该体系结构开发的协议一致性测试套已经应用于高端路由器的研发中，为协议的顺利开发起到了积极的促进作用。

公钥体系中Chebyshev多项式的改进

加密算法是当今公钥体系的关键技术.本文在现有Chebyshev多项式基础上进行扩展,提出了有限域Chebyshev多项式的定义,并通过理论证明和编程实验分析总结出它的单向性和带陷门特性等.经过分析这些性质得出,针对实数域Chebyshev多项式提出的破解方法在有限域上不再成立或可以避免.最后指出有限域Chebyshev多项式作为公钥加密体系的基础是可行的.

基于全局权限图的网络风险评估模型

提出一种全局网络权限图的概念和生成方法,基于网络权限图建立了一种新的网络风险评估模型,结合虚构的网络环境,对上述生成算法和网络评估模型加以验证.结果表明:与常规评估方法相比,由于引入了漏洞的量化数据等网络安全配置信息,该方法的评估结果更为精确.

采用控制流监控的Cisco IOS指针攻击检测方法

针对当前Cisco IOS(internetwork operating system)漏洞攻击检测方法检测效率低的问题,提出了一种采用控制流监控来判定Cisco IOS指针攻击的方法。该方法通过静态分析和动态跟踪相结合的方式对Cisco IOS中不同类别的控制流分别构造合法转移地址集合(legal transfer address collection,LTAC),并在发生控制流转移时将转移地址在LTAC之外的控制流判定为攻击,同时捕获异常控制流转移的详细信息。实验结果表明:该方法可以准确地捕获针对Cisco IOS的指针攻击,支持对攻击过程的分析,与现有的Cisco IOS漏洞攻击检测方法相比,具有较高的检测效率,能够为网络安全性的提升提供帮助。

基于模糊推理的网络可生存性的建模与分析

首先用对象Petri网对网络系统进行了形式化的描述与建模,接着构建了系统的攻击失效模型,并用模糊推理方法对系统在攻击发生时状态的变化进行了描述,最后在此基础上对攻击行为的严重程度和服务等级进行了有效量化,提出了分布式系统可生存的评价参数。这种在复杂攻击发生的早期推理分布式系统的生存能力的建模与分析方法可有效地度量贯穿攻击各阶段的系统的可生存能力,并为系统进行持续服务和进行应急响应提供可靠依据。