浅谈在线攻击与防范

随着信息网络技术的高度发展，网络越来越成为人类生活和工作的不可缺少的一部分，然而网络的普及也滋生了相关的违法违规行为，如在线攻击。本文先分析了在线攻击对我国网络安全的危害，然后论述了在线攻击与防范的博弈现状，在此基础上，本文分析了我国网络安全防范工作所面临的一些问题，并针对这些问题提出了具体的解决思路。

基于核主成分分析的智能电网盲在线虚假数据注入攻击

根据电力系统的各种量测信息,智能电网采用状态估计得出电网当前的运行状态,因此精确的状态估计对维持智能电网的合法操作至关重要。虚假数据注入攻击可以篡改由数据采集与监控系统采集到的测量信息,对电网状态估计造成安全威胁。现有多数虚假数据注入攻击是基于已知电网拓扑结构,而在未知电网拓扑结构的情况下构造高性能的虚假数据注入攻击更具有现实意义。提出一种盲在线虚假数据注入攻击方法,采用核主成分分析（kernel principal component analysis,KPCA）在尽可能多的保留数据内部非线性关系的情况下,把测量数据向量通过核函数投影到高维空间,在高维空间对测量数据进行线性变换,因此可求得近似电网拓扑结构矩阵,并且该方法只需要使用少量的测量值便可构造在线攻击。最后在IEEE 14节点和118节点标准测试系统中进行大量仿真实验,并与完美攻击、随机攻击和其他盲攻击进行比较分析,验证了所提攻击方法的有效性。

基于深度神经网络在线密码攻击模型的研究

密码创建规则中包含多种多样的个人身份信息组合方式,不仅文法结构规范特殊,而且语义内容丰富.对于文本处理方法,传统的基于概率上下无关文法模型会导致文本特征表示稀疏、语义信息或丢失的问题,因此提出利用深度学习DNN算法.通过对个人身份信息数据进行特征提取,构建语义分类表示的深度神经网络,并为该模型设计训练方法来进行广泛的训练.最后通过实验表明深度学习DNN算法能够提高个人身份信息语义识别的性能,在一定程度上优于已有的一些密码攻击方法.

在线式攻击的芯片防御技术

针对在线式攻击给芯片安全带来的威胁,分析了在线式攻击主要过程和基本特点,提出了在增加在线采集全部工作数据难度,增加芯片接口属性判别难度,增加输入数据和输出数据内在关系分析难度3个大的方面来增强芯片的安全。并从芯片设计的角度,在数据采集、接口属性判别和输入数据输出数据关系分析3个方面介绍了一些有效的防范技术。主要介绍了输入数据随机化技术、双向接口技术、信息隐藏技术、状态机和信息隐藏结合技术等。

一种新型抵御字典攻击的认证方案

身份验证是网络应用系统中的第一道防线,目的是验证通信双方的身份,防止非法用户窃取和假冒合法用户。尽管通过口令是最方便的身份验证方法,但它也伴随着字典攻击的威胁。分析了常用的几种一次性口令身份认证方案,在挑战-响应方案基础上,利用安全单向哈希函数提出并设计了一种新型身份验证方案。该方案不仅明显减少了认证服务器的开销,而且能有效地抵御字典攻击、拒绝服务攻击等攻击手段,显著增强了应用系统的安全性。

一种新型抵御字典攻击的方案

身份验证是网络应用系统中的第一道防线,目的是验证通信双方的身份,防止非法用户窃取和假冒合法用户。尽管通过口令是最方便的身份验证方法,但它也伴随着字典攻击的威胁。分析了常用的几种一次性口令身份认证方案,在挑战-响应方案基础上,利用安全单向哈希函数提出并设计了一种新型身份验证方案。该方案不仅明显减少了认证服务器的开销,而且能有效地抵御字典攻击、拒绝服务攻击等攻击手段,显著增强了应用系统的安全性。

分组密码工作模式的应用安全问题

分组密码工作模式有着近乎完美的理论体系:只要底层分组密码是安全的,上层工作模式就可以被证明是安全的.但是理论与现实之间存在巨大差距,现实情况中分组密码工作模式往往会出现各种各样的应用安全问题,主要梳理了其中的IV误用、在线攻击、RUP问题、填充谕示攻击、生日攻击等一系列问题,其中IV误用是指程序员生成的IV值没有达到密码学要求的随机强度,对此可以使用基于Nonce的方案来避免;在线攻击是指一些情况下数据采用在线处理的方式而受到的逐分组攻击,解决方法是使用在线安全的认证加密模式;RUP问题是指工作模式输出未验证的明文,使得数据完整性得不到满足,对此Abed和Ashur等人对相关模式进行了改进;填充谕示攻击是指敌手利用接收方对不正确密文返回的错误提示信息进行攻击,对此可以使用认证加密模式来避免;生日攻击利用工作模式中间状态的碰撞进行伪造的攻击,在此攻击下分组长度为64 b的分组密码的安全强度会降为32b,为了避免这个问题,需要设计超生日界的工作模式.详细分析了以上问题出现的原因、关于它们的研究现状及相应的解决办法,最后给出几点具体的建议.

一种简单的口令基三方密钥交换协议

三方密钥交换协议是双方交换协议的推广,现存的大多数三方密钥交换协议都是用户—用户—服务器模式的,此类协议大多不能抵抗不可检测的口令猜测在线攻击。为此构造一个改进的口令基三方密钥交换协议。该改进协议较为复杂且两用户间需要3轮交换。为提高效率,基于CDH与DDH等基本的密码学假设,提出一个简单的口令基三方密钥交换协议。在AIP模型下证明该协议的安全性。

基于口令的三方认证密钥交换协议

传统的三方认证密钥交换协议不具备前向安全性,难以抵抗不可察觉在线字典攻击。为此,研究简单三方口令认证密钥交换协议,分析其存在的安全漏洞并加以改进,提出一种基于口令的三方认证密钥交换协议。分析结果表明,与其他协议相比,该协议的执行效率和安全性较高。

对两个三方口令认证密钥交换协议的分析

Chung等和Kim等分别指出了简单三方口令认证密钥交换(S-3PAKE)协议的安全性缺点,并提出了相应的改进协议。文章对Chung等和Kim等改进的两个三方口令认证密钥交换协议的安全性进行分析,指出这两个协议仍旧是不安全的,均难以抵抗不可察觉在线字典攻击。

关于S-3PAKE协议的漏洞分析

通过分析一种基于CCDH假设的简单三方密钥交换协议(S-3PAKE协议),指出了该协议未对攻击者可能的身份进行全面考虑,缺乏完备认证机制的缺陷,阐明了当攻击者本身就是与服务器共享一对认证口令的合法用户时,该协议不能有效地抵抗在线口令猜测攻击,并提出了一种对S-3PAKE协议进行在线口令猜测攻击的具体方法。使用该方法,攻击者只需与服务器进行通信,即可对其他用户的口令进行猜测分析。

面向云存储的带关键词搜索的公钥加密方案

广泛应用于云存储环境的带关键词搜索的公钥加密体制(public key encryption with keyword search,PEKS)不仅能保证所存储数据的隐私,而且具有搜索功能.针对抵制内部离线关键词猜测攻击问题,目前的解决方案是通过引入发送者的私钥,使得密文实现认证功能,从而抵制内部的离线关键词猜测攻击,但是此方法使得接收者必须事先指定发送者,这不符合实际要求.为此,提出一个高效的带关键词搜索的公钥加密方案而且在标准模型下可证明安全.该方案有3个优势:1)通过引入发送者和服务器的身份,实现了抵制内部和外部离线关键词猜测攻击,而且不需要接收者指定发送者;2)通过引入服务器的公私钥对,陷门可以在公开信道传输;3)因为任何人都可验证关键词密文的正确性,该方案能够抵制选择关键词密文攻击.

改进的基于RTT口令认证协议

传统的口令认证方案面临自动程序实施的在线字典攻击威胁,为了解决这个问题,Pinkas和Sander提出了一个基于RTT的口令认证协议,虽然该协议有很高的安全性,但是该协议存在已知函数攻击和缺少对恶意用户的惩罚措施的不足,针对以上不足,提出了一种新的改进方案。改进后的协议不公避免了原有协议的不足,且能更好地防止在线字典攻击。在.NET平台下编程实现了改进后的协议,实验结果表明,该协议有很好的可用性和可扩展性。

一个新的密钥交换协议

密钥交换的SAKA协议存在三大安全缺陷。为克服这些缺陷,人们提出了改进的Lin协议、E-SAKA协议和改进的E-SAKA协议。通过分析发现E-SAKA协议及其改进算法仍然会受到密钥猜测攻击,并且E-SAKA协议中攻击者能获得会话密钥。进一步提出了一个基于Lin协议的改进协议,并论证此协议在防止中间人攻击和解决SAKA协议的三大缺陷的同时,能有效抵挡在线猜测攻击。