基于SYSLOG网络安全预警系统

随着网络规模的扩大和网络设备的增多,网络安全事件也随之增多,如何实现对全网安全事件的集中预警,成为我们迫切需要解决的问题。Syslog是一种工业标准协议,包括防火墙、IDS、IPS、路由器、交换机在内的所有网络设备及操作系统都支持这种协议,通过Syslog收集以上网元的日志信息,并对日志信息通过规则库进行关键字匹配,触发预警,从而实现全网安全事件的集中预警。

IPv6网络中PKI安全平台的设计与实现

通过分析IPv6网络和传统网络体系结构的差异,指出了IPv6网络中安全应用的特点。针对这些特点,提出了一种新的基于分布式的公钥基础设施。该安全平台对系统部署、证书管理、策略使用和访问控制提出了新的应用方式,能够为基于IPv6互联网络的安全应用提供更好的安全基础设施。

基于CA认证的网络终端安全监管

本文首先对CA认证技术的含义和系统组成进行了简单的概述,然后从系统的功能需求、系统的结构架设、系统功能模块的设计三个方面着手探讨了设计基于CA认证的网络终端安全监管系统的具体内容,希望能够让相关人员更好地了解和设计基于CA认证的网络终端安全监管系统,改善实际情况中的网络终端安全监管效果。

高效撤消成员的前向安全群签名方案

群成员的撤消和如何处理密钥泄漏是设计群签名方案中的两个重要问题,到目前为止,同时解决这两个问题的群签名方案为数不多且尚存在不足.以ACJT群签名方案为基础,提出了两个新的群签名方案,其最大特点是同时具有高效撤消性和前向安全性.其中方案Ⅰ具有较高的密钥演化效率,但是群公钥长度、签名和验证算法的计算量和时间段个数线性相关,方案Ⅱ采用了另一种前向安全的思想,克服了方案Ⅰ的不足.两个方案较好地解决了基于累加器撤消方法存在的缺陷,支持可追溯的公开可撤消群成员身份并且签名具有向后不可联接性,签名和验证算法的计算量均独立于当前群成员个数和被撤消成员的个数.

标准模型下的前向安全多重签名：安全性模型和构造

给出了前向安全多重签名的形式化安全性模型,并提出了一个可证安全的前向安全多重签名方案.在该方案中,即使所有参与多重签名成员的当前密钥泄漏,所有以前时间段的签名也是有效的.证明了方案是标准模型下安全的.

标准模型下可证明安全的入侵容忍公钥加密方案

在传统的公钥加密方案中,一旦解密密钥泄漏,系统的安全性将完全丧失.特别是随着越来越多的加密系统被应用到移动的、安全性低的设备中,密钥泄漏显得难以避免.入侵容忍公钥加密的提出就是为了减小密钥泄漏对加密系统的危害,具有比前向安全加密、密钥隔离加密更强的安全性.在这种体制下,整个生命周期被分割成离散的时间阶段,公钥固定不变,密钥信息分享在解密者和基地中,前者独立完成解密操作,而后者则在每个时间周期中提供一个更新信息来帮助演化解密密钥.此外,每个时间段内有多次密钥刷新的操作,可以刷新解密者的密钥和基密钥.当解密者和基地被入侵时,只要不是同时被入侵,安全性就可以得到保证.即使入侵者同时入侵解密者和基地,也不会影响以前时间段密文的安全性.提出了一个入侵容忍公钥加密方案,所有费用参数关于总共时间段数的复杂性均不超过对数的平方.证明了该方案是标准模型下安全的.这是一个不需要随机预言的可证明安全的入侵容忍公钥加密方案.

可证安全的入侵容忍签名方案

提出了一种可证安全的入侵容忍签名方案,方案具有比前向安全签名和密钥隔离签名更强的安全性,满足无论签名者和基地被入侵多少次,只要入侵不是同时发生的,其他任何时间段的签名都是安全的.另外,即使入侵者同时入侵签名者和基地,获得所有秘密信息,仍然不能伪造以前时间段的签名.方案具有良好的平均性能,所有费用参数包括密钥产生、基密钥(用户密钥)演化、基密钥(用户密钥)更新、签名、验证的时间和签名长度、公钥长度和基地(用户)存储空间大小的复杂性都不超过O(logT).最后证明,假定CDH问题是困难的,方案在随机预言模型中是安全的.

一个基于双线性映射的前向安全门限签名方案的标注

前向安全门限签名是一种重要的分布式签名,它继承了前向安全签名和门限签名的优点,通过每个成员持有的份额周期性地更新密钥,而公钥在整个时间周期中保持不变.这种签名技术可以使得敌手更难危及签名的安全性:如果敌手不能在一个时间段中攻击法定数量的成员就不能伪造任何签名,即使能够在某个时间段内攻击法定数量的成员得到他们的密钥份额,也不能伪造以前时间段的签名.2007年,彭华熹等人提出了一个基于双向性映射的前向安全门限签名方案.对此方案的安全性进行了分析,给出了几种安全性攻击的方法,指出了该方案是不安全的,同时也给出了一些改进的方法.

IPSec中IKE协议的安全性分析与改进

IKE协议是IPSec协议族中的自动密钥交换协议,用于动态地建立安全关联(SA)。对IKE协议的交换过程进行了安全性分析,并提出了两点改进建议:重新定义ISAKMP消息包头中消息ID字段的作用,提供了抗重放攻击的机制;对公钥签名主模式进行改进,以保护发起者的身份信息。

基于OpenSSL的安全密码平台的设计与实现

在对OpenSSL开发包进行研究和分析的基础上,提出了一种基于OpenSSL的安全密码平台实现方案。通过对Open-SSL密码运算功能的抽象及其engine机制的研究,封装了易于上层安全应用调用的接口,保证了网络数据传输的安全性,使该平台不但具有良好的应用性和可移植性,而且具有对各种硬件密码设备的良好的兼容性。

有效取消的向前安全群签名体制

向前安全和有效取消是群签名体制应具有的重要性质,它可以减轻由于密钥暴露带来的损害,支持群成员的取消.文中对具有向前安全和有效取消性质的群签名的设计加以分析,并设计出一种具有上述性质的群签名体制.

IPv6下的网络攻击和入侵分析

IPv6有更好的安全特性,但 IPv6消除不了网络攻击和入侵。本文分析了 IPv6带来的安全增强,IPv6网络中依然存在的安全问题,以及 IPv6引入的新的网络攻击和入侵方式,并特别分析了 IPv4向 IPv6过渡阶段技术带来的网络入侵问题,最后给出了网络管理和配置的建议。

密钥交换协议的安全性分析

通过对两种攻击的分析,指出缺少认证性的密钥交换协议是不安全的.从认证性入手,在以下两个方面探讨了密钥交换协议的安全性:一方面讨论该协议应采用的消息元素和密码体制,为规范此类协议的设计指出了一个可行方向;另一方面通过两个密码学游戏给出了安全密钥交换协议的定义,该定义量化了协议的认证性,与以往的定义相比,可更准确和直观地分析这种协议的安全性.

对基于VPN/IPSec的移动IP安全模型的改进

在研究现有基于VPN/IPSec的移动IP安全性解决方案的基础上,对现有解决方案提出一种改进。通过对现有IPSec实现机制作少量修改,克服了原有方案中频繁IKE协商所带来的网络延迟和通信阻塞问题。对方案的可行性、安全性进行了分析。

适用于无线网络的RBAC扩展模型

以NIST RBAC参考模型为基础,引入地理域和逻辑域的概念,对RBAC模型作了空间维扩展:通过用户-角色或角色-权限的动态分配,用户只拥有在其所在位置的所需权限;对角色的授权约束加入空间特性,使之能够形式化描述多个层面的空间职责分离约束,从而适用于无线网络的应用环境。

网络行为审计系统在高校网络中的应用

伴随高校网络的迅速发展,高校网络一般拥有了成千上万的内网用户规模,如何对如此众多的用户网络进行更好的管理是亟待解决的问题。网络行为审计系统可以对网络用户行为进行统计和控制,为高校网络更好的管理提供了重要帮助,以聊城大学为例介绍了如何部署和应用效果。

Lotus Notes R5本地化安全扩展设计与实现

Lotus Domino/Notes凭借其强大的功能、简便的管理操作和先进可靠的安全机制,使得它几乎已经成为群件的一个标准。而在使用过程中,为提高在软件中安全技术的自主性要求以及克服Lotus Notes自身安全机制的一些弱点,针对R5版本设计了本地化安全扩展并将其实现。安全扩展主要包括用户登录安全和邮件安全两个部分,弥补了LotusNotesR5中安全机制的不足,使系统在C/S和B/S模式下的用户登录安全性都大大增强,邮件数据的完整性、保密性和可鉴别性都得到了保障。

网络用户的监控与管理

随着互联网普及率稳步提升,网络反映和协调社会功能的作用不断得到拓展和延伸。但是,网络也成为不法分子传播淫秽暴力信息、进行网络诈骗等不法活动、随意谩骂进行人身攻击的空间。这给网络案件的侦破带来难度,容易发生名誉权侵权纠纷。如何对网络用户行为进行监控和追查成为了网络管理者的一项重要任务,为此聊城大学网络信息中心引进了RG-eLog锐捷日志系统来更好的进行网络日志管理。高校是网络用户相对集中的地方,而高校学生是网络用户中比较活跃的群体,为此聊城大学网络信息中心在对网络用户名命名上借鉴了网络实名制的思想,为充分RG-eLog锐捷日志系统建立了一个必要基础。

一种时间相关的分析安全协议的扩展逻辑

在对CS逻辑进行研究的基础上,提出了CS逻辑的扩展逻辑。该扩展逻辑对CS逻辑中存在的一些缺陷进行了修改和扩展,使其不仅可以分析公钥协议,还可以分析对称密钥协议。最后对一个协议实例进行了有效的形式化分析。

基于Rijindael的安全Hash函数

该文提出了基于分组密码算法Rijindael的安全Hash函数。此Hash函数基于分组长度和密钥长度均为256比特的分组密码算法Rijindael-(256,256),其输出长度为256比特。并且该文证明了此Hash算法抵抗碰撞及作为单向函数的安全性。