W eb服务安全会话设计

针对开放网络环境下建立安全会话的需求,综合几种加密算法,提出一个高效可靠的设计思路和方法,并提供.NET开发环境下实现的关键代码,从而启读者发举一反三,充分利用开发软件的潜在功能而心想事成。

Internet安全会话解析和一个简单模型的正确性分析

本文简单分析了因特网上典型安全会话过程。首先介绍了安全会话的基本要求和一些常用技术，然后分析了一个典型对话握手过程，最后用 Ｕ Ｎ Ｉ Ｔ Ｙ 对其进行规范描述和正确性分析。

无信息泄露的四粒子的量子安全会话

量子信息学是近年来由量子力学与信息科学相结合而产物的一门新兴的学科,量子通信是其重要的分支。量子通信将量子力学定律引入传统通信中,其安全性由量子力学的基本原理所保证,如未知量子位不可克隆、非正交量子态不可识别、量子态测量无法不扰动系统状态等,可以实现绝对安全的通信。本文基于二粒子无信息泄露的量子安全会话,在阅读大量文献的基础上,提出了一种一次传输8比特秘密信息的思想。结合已有方案,列出的一种利用四粒子纠缠交换实现的无信息泄露的量子安全会话方案。

面向SOA架构分布式系统的会话交互建模及其安全验证

研究了SOA架构分布式系统在基于社区的Web服务动态会话交互的安全性,提出了一种基于形式化规格说明的Web服务组合行为建模和验证框架.基于OWL-S描述的若干个Web服务的组合和交互的安全性保障问题,构建了一种基于WS-Trust和WS-Secure Conversation规格的安全会话验证方法.该方法首先将Web服务组合行为建模为带有标签的迁移系统AKTS来描述服务的观察行为;进而将安全会话约束翻译为DPDL公式即将SOA系统的会话安全性验证问题规约为保障安全会话约束的前提下的Web服务组合行为的满足性问题;最后通过经典算法在有效时间内得到该满足性问题的验证.该框架为基于SOA架构的分布式系统的交互安全提供了理论支持和保障,在安全关键的分布式系统设计阶段及早发现安全隐患,节约了开发成本、提高了系统安全性.

WAP安全实现中的新型密码算法

WAP将基于Web的信息服务拓展到无线通信领域 ,为电子商务的发展提供了广阔的应用前景 ,移动通信中的安全问题由此显得尤其突出。详细讨论了WAP的安全实现机制 ,并对将高级密码标准、椭圆曲线密码算法应用于WAP中的实现方法进行了探索。

安全Web Services体系结构的研究

目前已有的Web Services安全规范只是制定了要实现某一安全需求应该遵循的规范协议,尚没有一个被广泛接受的安全体系结构。有很多学者和组织对安全Web Services体系结构做了有益的探索,并提出了一些方案与产品,各自有不同的特点并依据不同的安全规范。基于业界主导公司所推出的WS-规范提出了一个基于安全令牌服务器的安全WebServices体系结构,并对它的工作机制做了研究。

全局XML Web Services环境中消息层的安全机制研究

随着全局XML Web Services研究的不断推进,它的安全问题越来越受到关注.传统的传输层安全仅能够在一定程度上解决Web服务的安全问题,在GXA环境中必须引入细粒度的消息层安全.讨论了消息层的安全机制,并着重分析了消息层的安全会话规范WS-Secure Conversation以及消息层安全会话实现上的问题.

一种新的智能卡安全通信机制

通信协议的改进是目前智能卡通信安全的研究热点之一,其目的是保障与终端通信的智能卡真实、可靠。而对于智能卡来说,现有安全体系并没有建立起与终端通信的安全通信通道。这样就使得攻击者可以截获、修改、伪造指令,从而危及智能卡安全。在智能卡原有安全体系的基础上,增加安全会话要素的定义,通过结合原有安全状态和安全属性概念,可以建立起智能卡与终端之间的安全通信通道,从而形成了一种新的智能卡安全通信机制。

可证安全的Internet密钥交换协议

针对IKEv2初始交换存在认证失败和发起者的身份暴露问题,提出了一种改进协议.新的协议采用SIGn-and-Mac认证方法来完成显式密钥认证,并且在协议中让响应者首先证明自己的身份,实现对协议发起者的主动身份保护.同时协议双方在自己发送的消息中包含期望的消息接收者来防止认证失败.另外协议中还引入了不可否认性,使得协议交互双方对自己发送的消息内容不可抵赖.分析表明:新的协议在Canetti-Krawczyk模型中是会话密钥安全的,并且性能上相对于IKEv2仅仅增加了一次对称加密运算,大大优于IKEv1.

Web应用安全性研究

Web应用的安全涉及到公司和用户的信息安全和利益。近年来随着Web应用的不断发展和网络犯罪的不断增加,社会对Web应用系统的安全性越来越关注。本文对Web应用中容易出现的三个主要的安全隐患,数据安全隐患、认证和授权管理安全隐患以及会话管理安全隐患进行了研究,并给出了相应的应对方法。

网格环境中跨异构域身份鉴别系统的研究与实现

针对跨异构域的身份鉴别问题进行研究,设计并实现了一个身份映射和信任证转换系统CredFed(CredentialFederation),解决了分别使用PKI和Kerberos作为鉴别机制的异构域之间身份鉴别的问题。CredFed是目前唯一在网格环境中解决此问题的系统。CredFed被设计为具有良好的互操作性和可扩展性的系统,使其不仅适用于网格环境,也适用于面向异构域的大规模分布式系统。该文对国内外相关工作作出了比较,简要地介绍了CredFed在CROWN网格安全平台中的应用并给出了实验结果对系统性能作出评估。

改进的HTTP摘要认证方案的设计与实现

由于现有的认证机制不能有效解决会话初始协议(SIP)消息传送时网络侦听的问题,因此SIP网络传输时存在易遭受异常消息攻击、数据包被侦听、密文被分析等诸多安全威胁。文章经比较分析、研究改进,应用一个并行多进程的SIP非法消息检测流程,扩展了SIP认证头域,引进了密文隐写系统,能有效保证应用层的安全。实验结果验证了该方案的有效性。

身份基认证密钥协商协议的分析与改进

对三个标准模型下可证明安全的身份基认证密钥协商协议进行了安全属性缺陷分析,在原方案基础上提出了一个安全增强的新方案。新方案满足目前已知的绝大多数安全属性要求,包括已知会话密钥安全性、抗密钥泄露伪装、抗未知密钥共享、无密钥控制以及消息独立性,特别是满足完美前向安全性、PKG前向安全性、已知会话相关临时秘密信息安全性,同时保持了良好的计算效率。