基于TrustZone硬件隔离技术的CLKScrew攻击防护研究

随着信息技术的迅猛发展,嵌入式系统中的安全性问题日益受到关注。本文针对嵌入式平台中动态电压频率调整技术存在的安全漏洞,基于高级精简指令集机器的TrustZone硬件隔离技术设计并实现了一种可信执行环境(TEE),利用TrustZone技术实现了TEE与普通执行环境操作系统间的切换。该环境能够有效抵御CLKScrew攻击,即通过多次调整中央处理器(CPU)线程工作频率来触发嵌入式平台的运行错误。实验结果表明,在该可信执行环境中,即使面临CLK⁃Screw攻击,CPU线程仍能正常工作,确保了系统的安全性。

Detection of Insider Selective Forwarding Attack Based on Monitor Node and Trust Mechanism in WSN

The security problems of wireless sensor networks (WSN) have attracted people’s wide attention. In this paper, after we have summarized the existing security problems and solutions in WSN, we find that the insider attack to WSN is hard to solve. Insider attack is different from outsider attack, because it can’t be solved by the traditional encryption and message authentication. Therefore, a reliable secure routing protocol should be proposed in order to defense the insider attack. In this paper, we focus on insider selective forwarding attack. The existing detection mechanisms, such as watchdog, multipath retreat, neighbor-based monitoring and so on, have both advantages and disadvantages. According to their characteristics, we proposed a secure routing protocol based on monitor node and trust mechanism. The reputation value is made up with packet forwarding rate and node’s residual energy. So this detection and routing mechanism is universal because it can take account of both the safety and lifetime of network. Finally, we use OPNET simulation to verify the performance of our algorithm.

A Compact Trust Computation and Management Approach for Defending against Derailed Attacks for Wireless Sensor Networks and Its Applications

One of the most effective measurements of intercommunication and collaboration in wireless sensor networks which leads to provide security is Trust Management. Most popular decision making systems used to collaborate with a stranger are tackled by two different existing trust management systems: one is a policy-based approach which verifies the decision built on logical properties and functionalities;the other approach is reputation-based approach which verifies the decision built on physical properties and functionalities of WSN. Proofless authorization, unavailability, vagueness and more complexity cause decreased detection rate and spoil the efficacy of the WSN in existing approaches. Some of the integrated approaches are utilized to improve the significance of the trust management strategies. In this paper, a Compact Trust Computation and Management (CTCM) approach is proposed to overcome the limitations of the existing approaches, also it provides a strong objective security with the calculability and the available security implications. Finally, the CTCM approach incorporates the optimum trust score for logical and physical investigation of the network resources. The simulation based experiment results show that the CTCM compact trust computation and management approach can provide an efficient defending mechanism against derailing attacks in WSN.

构造基于推荐的Peer-to-Peer环境下的Trust模型

在诸如文件共享等无中心的Peer-to-Peer环境中,资源共享是用户自愿的行为.在这类系统中,由于用户不为自身的行为担负(法律)责任,因而节点间的信任关系往往很难通过传统的信任机制建立.一种更合理的考虑是参考人际网络中基于推荐的信任关系建立方法.现有的模型不能很好地解决模型的迭代收敛性问题,同时缺乏对诸如冒名、诋毁等安全性问题的考虑.针对上述问题,在节点推荐的基础上提出了一种基于Peer-to-Peer环境的信任模型,并给出了该模型的数学分析和分布式实现方法.分析及仿真表明,该信任模型较已有模型在迭代的收敛性、模型的安全性等问题上有较大改进.

Protecting Terminals by Security Domain Mechanism Based on Trusted Computing

Networks are composed with servers and rather larger amounts of terminals and most menace of attack and virus come from terminals. Eliminating malicious code and ac cess or breaking the conditions only under witch attack or virus can be invoked in those terminals would be the most effec tive way to protect information systems. The concept of trusted computing was first introduced into terminal virus immunity. Then a model of security domain mechanism based on trusted computing to protect computers from proposed from abstracting the general information systems. The principle of attack resistant and venture limitation of the model was demonstrated by means of mathematical analysis, and the realization of the model was proposed.

Can Routers Provide Sufficient Protection against Cyber Security Attacks?

Nowadays many devices that make up a computer network are being equipped with security hardware and software features to prevent cyber security attacks. The idea is to distribute security features to intermediate systems in the network to mitigate the overall adverse effect of cyber attacks. In this paper, we will be focusing on the Juniper J4350 router with the Junos Software Enhanced, and it has security-attack protections in the router. We are going to evaluate how the Juniper router with built-in security protections affected the overall server performance under a cyber security attack.

冒充性攻击下无线传感节点信息数据安全推荐算法

冒充性攻击伪装成合法的通信实体,向无线传感网络中的传感节点发送虚假的信息或命令,降低了网络信息数据推荐的效率,影响网络安全性。为此,研究了一种冒充性攻击下的无线传感信息数据安全推荐算法,以保证通信质量。计算冒充性攻击下的无线传感网络邻居节点的信任度,从中选取信任度取值比较高的节点组建备选推荐无线传感节点集合。对备选节点推荐集合展开数据去噪、冒充性攻击检测和重构处理,同时将用户自定义标签映射为标准标签,以此建立可躲避攻击节点模型。获取可躲避攻击的无线传感节点进行组网。仿真结果表明,所提算法在冒充性攻击下,查全率高于88%、平均响应时间低于390 ms、MAE和RMAE低于1.09%和0.95%。证明所提算法无线传感节点信息数据推荐效果较好,提高了无线传感网络通信质量和通信效率,保证了传输安全性和可靠性。

可信赖云计算的通信防火墙攻击捕获系统设计

为提高通信防火墙攻击捕获的有效性,提出基于可信赖云计算的通信防火墙攻击捕获系统。系统硬件设计过滤器、内核防火墙和捕获器,过滤器执行数据分流过滤,内核防火墙执行iptables命令和ebtables命令完成信息匹配,捕获器对5种虚拟路径进行分析,完成信息捕获。可信赖云计算软件设计,构建不同数据包的概率密度函数,判读数据是否为攻击信息。实验结果表明,所设计系统能够保证计算密集型任务的执行成功率达到90%以上,降低计算过程的收敛程度。

工业互联网中抗APT窃取身份的零信任动态认证

新一代信息技术与工业系统深度融合,提升了工业控制系统和工业设备网络的连接性,使得工业互联网成为APT攻击的重点目标.针对现有偏向于静态认证的方法难以识别APT攻击者控制内部失陷终端获取的“傀儡身份”,进而造成敏感数据泄露的问题,提出一种面向工业互联网的零信任动态认证方案.融合CNN-BiLSTM构建混合神经网络,利用其时序特性设计行为因子预测模型.通过多个残差块组成的深度卷积网络提取特征,双向长短时记忆网络(bidirectional long short-term memory,BiLSTM)进行时间序列分析,生成对主体的行为因子预测,作为零信任动态认证重要凭据.为快速识别“傀儡身份”,融入行为因子设计IPK-SPA动态认证机制.利用轻量级标识公钥技术适应工业互联网海量末梢,借助零信任单包授权技术隐藏工控网络边界.安全性分析和实验结果表明,提出的动态认证方案具有较好的“傀儡身份”识别能力,有助于抗击工业互联网环境下因APT攻击者窃取身份导致的数据窃密威胁.

基于区块链的物联网可信访问控制研究

针对当前物联网数据量庞大且数据之间孤立,以及物联网可信访问服务管理中交易不透明和易受攻击等问题,提出了基于区块链的物联网可信访问控制研究,将区块链技术应用到物联网的访问控制中,利用区块链的去中心化特性结合物联网访问控制技术,设计了物联网可信访问控制模型。通过模拟实验显示,物联网可信访问控制模型能够有效量化信任度、有效检测到物联网访问攻击行为,在整个访问控制中能够确保数据不被篡改,在每500次访问增量下的攻击检测率可提升约1.77百分点,具有较高的实用性。

基于企业信息系统的安全加固与入侵保护

随着信息与数字化时代的到来,企业信息系统安全受到极大威胁,安全问题日趋成为制约信息系统发展壮大的瓶颈。信息系统面临的风险主要分为网络安全风险和数据安全风险。因此,在信息系统安全加固层面可在数据传递、存储与算力设施及使用防护观念等方面加固安全措施,以防范信息系统安全风险,在信息系统入侵保护层面采取入侵检测及访问身份认证技术,加强信息系统入侵保护,以此为企业信息系统高效运行提供基础保障。

网关分区擦除问题分析与网关安全性改进方法探讨

网关设备是构建互联网环境的重要组成部分,网关设备的安全性也是保障区域内网络安全的关键,首先对目前的网关安全性现状进行了简要分析;然后重点针对某次网关设备被攻击导致分区被擦除的案例进行了分析,并提出了与之对应的改进方案;最后对提升网关安全性的方案进行了讨论,并简要介绍了可信计算环境在网关设备中的应用。

基于多代理系统的动态信任态势感知机制

网络环境的开放和动态特性使得多代理系统的安全问题越发严峻,一种可行的最小化威胁的方案是通过实时评估交互代理的信任,以信任作为系统安全的主要参考要素,协助代理选取服务提供者来实现对恶意代理的限制。该机制以时间为维度动态计算信任,经过信任真实性与逻辑性检测后对代理信任进行判别决策,辅助信任管理。仿真对比验证DynamicTrust敏感度和信任计算规则合理,符合信任机制的"慢升快降"原则,且拥有负载均衡机制,能有效识别和控制代理攻击行为。

一种P2P网络分布式信任模型及仿真

由于传统的集中式信任机制不适合P2P网络,提出了一种应用于P2P网络的分布式信任模型。它根据交易历史信息来计算节点的全局可信度。此模型运算量小,没有迭代运算不收敛的问题,并能较好地处理冒名和诋毁等非法行为,具有较强的安全性。计算机仿真亦证明了此模型的良好性能。

社交网络中基于信任的推荐算法

推荐系统作为解决信息过载问题的关键技术,已经引起了国内外研究学者的广泛关注.迄今为止,业界最广受好评的是协同过滤推荐技术.但由于其本身存在着数据稀疏、冷启动等固有问题,而难以应对膨胀的社会网络这一应用场景.本文针对推荐系统所面临的挑战,构建合适的动态信任传递模型,所设计的基于信任的推荐算法是对稀疏性、冷启动等问题的有效解决方案,且对恶意攻击具备一定的抵抗能力.最后在真实社交网络数据中对所设计的算法进行实现,并与传统推荐算法做实验对比,实验结果表明算法相比协同过滤算法在准确性和覆盖率上表现更好,且算法具备的分布式特性在复杂社会网络与大数据环境下实现了推荐实时性的要求.

Web服务安全问题研究

Web服务具有平台无关性、动态性、开放性和松散耦合等特征,这给基于异构平台的应用集成带来极大便利,同时也使其自身面临许多独特的安全问题。Web服务的安全性对其发展前景产生重要的影响,也是目前Web服务并没有进入大规模应用阶段的主要原因之一。总结了Web服务存在的主要安全问题;概述了已有的Web服务安全标准;然后从消息层安全、Web服务安全策略、Web服务组合安全、身份与信任管理、Web服务访问控制、Web服务攻击与防御、安全Web服务开发等方面详细分析了目前有代表性的Web服务关键安全技术解决方案;结合已有的研究成果,讨论了Web服务安全未来的研究动向及面临的挑战。

信任攻击建模方法

针对信任环境系统中存在的客观弱点和主观弱点,使用弱点利用规则和信任关系盗用规则来描述信任关系状态之间的转移过程,构建了信任攻击模型TAM。在该模型中,攻击者将客观弱点用于信任级别的提升,将主观弱点用于信任关系传递,将主、客观弱点的综合利用将导致信任关系的渗透与扩散,从而可导致攻击可达距离更大;提出了复杂度为多项式时间的TAM信任关系传递闭包生成算法,该算法可以给出当前弱点状态下的所有信任攻击路径。通过对真实弱点的建模,证明此模型可以对信任的安全性进行综合分析,生成信任攻击图、信任攻击路径等详细信息,展示攻击者和信任主体之间的交互过程,对攻击特征有更好的描述能力,帮助管理者预测所有可能的信任攻击,进而为相应的安全措施的制定提供依据。

自动建立信任的防攻击推荐算法研究

随着互联网中信息资源的日益增多,个性化推荐技术作为缓解"信息过载"的有效手段,得到了越来越多的研究者的关注.由于互联网天然的开放性,在商业利益的驱动下,部分恶意用户通过伪造虚假数据来影响系统的推荐结果,从而达到盈利的目的.本文提出一个自动建立信任的防攻击推荐算法,在考虑了用户评分相似性的基础上,引入适当的信任机制,通过为目标用户动态建立和维护有限数量的信任对象来获得可靠的推荐.大量基于真实数据集的实验表明,提出的算法能大大提高推荐系统的鲁棒性和可靠性,并在一定程度上提高了推荐的精准度.

一种安全性增强的Tor匿名通信系统

网络用户对自身隐私信息保护意识的增强,促进了Tor,Crowds,Anonymizer等匿名通信系统的发展及广泛应用,从而为用户提供了隐私和信息安全保护.随着对匿名通信系统的深入研究,发现部分系统存在安全性不足,为提高Tor匿名通信系统的安全性,基于可信计算技术提出一种安全性增强的Tor匿名通信系统,改进后的系统提高了目录服务器的安全性,并基于可信计算技术确保了用户及匿名通信链路的可信性;通过与Tor匿名通信系统的比较,改进系统在具有可信性的同时,具有更高的安全性及抗攻击能力,解决了Tor匿名通信系统所存在的安全隐患;通过仿真分析可知,改进后的系统能够满足用户的匿名性需求.

防范中间人攻击的可信网络连接协议改进

可信网络连接协议作为可信计算框架中的核心技术,存在中间人攻击的安全威胁。为了解决中间人攻击问题,优化了Diffie-Hellman密钥交换协议,提出了基于数字签名及签名验证的端到端协议。与现有协议相比,提出的方案解决了可信网络连接中的中间人攻击问题,提升了网络安全性。