基于混沌映射的HMAC算法设计与分析

分析了HMAC(Hash-based Message Authentication Code)算法存在的固有缺陷,给出了针对HMAC参数的伪造攻击实例。在此基础上,提出了一种采用混沌映射的构造HMAC的算法,该算法通过混沌迭代生成HMAC参数值,混沌系统的初值敏感和不可预测性确保了参数值的动态性,从而有效抵抗伪造攻击,提高HMAC算法的安全性能。算法仿真与分析表明构造HMAC算法需要满足的安全性要求及嵌入的hash函数需满足的安全性条件。

基于混沌系统和HMAC算法的图像加密研究

针对经典图像密码系统易受选择明文攻击或已知明文攻击,以及密钥空间小的问题,提出了一种基于二维复合混沌系统和哈希消息认证码(HMAC)的图像加密算法。算法采用二维复合混沌系统和双向扩散机制对图像加密。利用HMAC-SHA256算法和外部密钥计算明文图像的哈希值;将明文图像的哈希值作为二维Logistic-Sine复合混沌系统(2D-LSCS)的初值和控制参数,迭代混沌系统产生4个混沌序列,分别用于图像的扩散和置乱过程;采用前向扩散-置乱-后向扩散的模式对明文图像进行加密。理论分析和仿真结果表明,与经典图像密码系统相比,像素数变化率(NPCR)和统一平均变化强度(UACI)分别达到99.5789%和33.3858%,两者更接近理论值。因此所提算法能有效增大密钥空间,提高图像传输的安全性和抵抗选择明文攻击的能力。

基于HMAC-SHA1算法的消息认证机制

HMAC-SHA1是一种安全的基于加密hash函数和共享密钥的消息认证协议.它可以有效地防止数据在传输过程中被截获和篡改,维护了数据的完整性、可靠性和安全性.HMAC-SHA1消息认证机制的成功在于一个加密的hash函数、一个加密的随机密钥和一个安全的密钥交换机制.本文从HMAC和SHA1算法的概念入手,提出了一个基于SHA1算法的消息认证机制,分析了其原理与认证过程,并对其安全性作了进一步的研究.

时空数据的安全存储与完整性验证

针对时空数据的高效存储和安全管理问题,设计一种基于Hadoop分布式文件系统(Hadoop distributed file system,HDFS)的大数据安全存储架构,选用商用密码系列算法中的SM3密码杂凑算法,保证客户端与服务端信息交互的完整性,并在SM3算法的基础上结合消息鉴别码算法(HMAC),设计并实现一种基于SM3-HMAC的时空数据完整性验证方案。实验结果表明:本文设计的验证方案是行之有效的,在满足效率要求的同时可为时空数据的安全存储和完整性验证提供一种安全有效的解决方案。

一种通用的大规模DDoS攻击源追踪方案研究

本文提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法.相比其它方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复.此外,本文通过巧妙运用方程组唯一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠的恢复出真实的攻击路径.分析表明,该种方法能与IPv4协议较好的兼容,具有较好的抗干扰性.通过仿真实验证实,该方法相比FMS、CHEN等人提出的方法在收敛性和误报方面体现了较强的优势.

基于认证的反射DDoS源追踪新方案研究

利用基于密钥集序列的消息认证码理论,以动态概率包标记和现代代数理论为基础,针对当前危害甚大的分布式反射拒绝服务攻击,提出了一种新的基于认证的源IP追踪方案。通过采用一种新的动态概率序列,既达到了较高的追踪收敛率,又能有效过滤掉攻击者伪造的垃圾数据包。采用基于密钥集序列的HMAC算法,对标记信息进行认证,防止攻击者修改已有的标记信息,达到较高的安全性和抗干扰性。

一种可认证DDoS攻击源追踪方案研究

提出了一种通用的基于概率包标记大规模DDoS攻击源跟踪方法。相比其他方法,该方法通过引入包标记中继算法既适用于直接类型的DDoS攻击路径恢复,也适用于反射类型的DDoS攻击路径恢复。此外,通过巧妙运用方程组惟一解判定原理对路由IP实施编码,运用基于一次性密钥的HMAC方法对攻击路径的每条边进行编码和验证,不需要ISP路由拓扑,便能够在被攻击点相应的解码并高效可靠地恢复出真实的攻击路径。分析表明,该方法能与IPv4协议较好地兼容,具有较好的抗干扰性。

HMA-CMD5算法的硬件实现

信息安全体系中的消息验证是一个非常重要的方面。采用以散列函数为基础的消息验证编码是其中的一种重要方法。现提出了硬件实现一种以MD5算法为基础的消息验证编码 (HMAC MD5)的电路结构。该电路结构通过对MD5核心运算模块的复用 ,缩小了电路规模 ,达到了较高的处理速度。用VerilogHDL描述电路结构 。

基于Windows9X的用户在局域网中的身份认证

LASA是一种基于Windows 9X安全登录的系统 ,可以替换Microsoft公司提供的操作系统的局域网登录的身份认证 ,大大增强局域网内资源的安全性。

改进的基于认证的DDoS源追踪方案

利用基于双钥序列的消息认证码理论,以自适应概率包标记和高级包标记Ⅱ为基础,针对当前危害甚大的拒绝服务攻击,提出了一种改进的基于认证的DDoS源IP追踪方案。以自适应概率为基础,既达到了较高的追踪收敛率,又能最大限度地降低攻击者伪造数据包的余地。采用基于双钥序列的HMAC算法,对标记信息进行认证,防止攻击者修改已有的标记信息,达到较高的安全性和抗干扰性。

USN安全研究与设计

1引言 随着网络存储的发展,出现了两种非常重要的网络存储技术:NAS(Network Attached Storage)和SAN(StorageArea Network)[1,2].按照存储网络工业协会(SNIA)的定义:NAS是可以直接联到网络上向用户提供文件级服务的存储设备,而SAN是一种利用Fibre Channel等互联协议连接起来的可以在服务器和存储系统之间直接传送数据的网络.

WiMAX认证方案研究

WiMAX安全要实现两大目标:一是为整个无线网络提供机密性保护;二是提供网络接入控制功能。IEEE802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制。本文首先分析了WiMAX网络物理层和MAC层面临的安全威胁,然后给出了WiMAX网络安全体系架构。最后,对散列消息认证码(HMAC)、X.509证书和可扩展认证协议(EAP)进行了详细的介绍。

一种能够实现多种散列函数的VLSI-IP模块设计

给出了一种能够实现多种散列函数的VLSI-IP模块设计,应用到一种网络安全处理器的认证模块设计中.在实现SHA-1和CHI安全散列函数运算的基础上,进而利用迭代技术实现散列消息鉴别码HMAC-SHA-1和HMAC-CHI-160,并生成SSL(Security Socket Layer)协议中所需的主密钥和密钥块.采用SMIC0.13μm CMOS工艺,综合后关键路径为4.56ns,面积为0.61mm2,运算SHA-1的吞吐率达到1.82Gb/s.

采用GPU的ZIP密码恢复算法

常用的zip密码恢复软件使用通用处理器进行密码恢复,每秒尝试密码次数少,往往需要很长时间才能找到正确密码。为了提高密码破解效率,提出了GPU平台上的快速ZIP密码恢复算法,针对GPU的特点,重点优化了寄存器使用以及存储器访问,对AES和HMAC算法进行了并行优化,充分发挥了GPU大规模并行运算的优势,并利用ZIP文档格式中的密码校验位提前筛选密码,大部分错误密码都不需要进行后续运算。实验结果表明,恢复AES-128加密的ZIP文档,基于GPU的算法实现了11.09倍的加速比。

基于多比特输出点函数混淆器的消息认证码

大多数消息认证码的安全性只依赖于Hash函数,但部分Hash函数未被证明是安全的。为此,提出一种基于多比特输出点函数混淆器的消息认证方案,在此基础上,利用带多比特输出点函数混淆器和带密钥的Hash函数构造一个新的消息认证码方案。分析结果表明,该方案的安全性同时依赖于Hash函数和多比特输出点函数混淆器,可以更好地保证数据传输的完整性。

基于WEB应用的安全通道技术的研究及原型的实现

内外网的安全通信是许多WEB应用程序的关键,该文提出一种在防火墙隔断的内外网之间建立基于WEB的数据安全通道的方法,并且在这条安全通道中设计了访问控制机制,解决了内外网之间WEB应用的安全问题。

基于DoS攻击的随机数据包标记源跟踪算法

针对互联网上日益猖獗的拒绝服务攻击(DoS),对传统的随机数据包标记源跟踪算法原理及其实现过程进行了深入研究。通过分析该算法性能缺陷,运用散列消息鉴别码机制和一次性口令机制,提出一种新的攻击源返回跟踪算法HPPM。通过测试其性能指标,说明该算法改进了传统随机数据包算法的性能,提高了返回跟踪DoS攻击的效率和准确性。

Security System in United Storage Network and Its Implementation

With development of networked storage and its applications, united storage network (USN) combined with network attached storage (NAS) and storage area network (SAN) has emerged. It has such advantages as high performance, low cost, good connectivity, etc. However the security issue has been complicated because USN responds to block I/O and file I/O requests simultaneously. In this paper, a security system module is developed to prevent many types of attacks against USN based on NAS head. The module not only uses effective authentication to prevent unauthorized access to the system data, but also checks the data integrity. Experimental results show that the security module can not only resist remote attacks and attacks from those who has physical access to the USN, but can also be seamlessly integrated into underlying file systems, with little influence on their performance.

可认证软件升级方案在小型嵌入式系统中的应用

嵌入式系统的功能需随用户需求变化,要求具有软件升级功能。在一些安全性要求较高的领域,嵌入式系统原有的升级方式已经不能满足用户需求。文章提出一种可认证的软件升级方案,依赖安全性较高的散列函数对消息来源和内容提供认证保护,并且横向对比MD5、SHA-1和SHA-23种算法的优缺点,选取最适应嵌入式系统的方案——HMAC-MD5-128函数作为哈希消息认证码(Hash-based Message Authentication Code,HMAC)函数。

Research on the Security of the United Storage Network Based on NAS

A multi-user view file system (MUVFS) and a security scheme are developed to improve the security of the united storage network (USN) that integrates a network attached storage (NAS) and a storage area network (SAN). The MUVFS offers a storage volume view for each authorized user who can access only the data in his own storage volume, the security scheme enables all users to encrypt and decrypt the data of their own storage view at client-side, and the USN server needs only to check the users’ identities and the data’s integrity. Experiments were performed to compare the sequential read, write and read/write rates of NFS+MUVFS+secure_module with those of NFS. The results indicate that the security of the USN is improved greatly with little influence on the system performance when the MUVFS and the security scheme are integrated into it.