可证安全的无证书两方认证密钥协商协议

由于无证书密码体制能够摆脱PKI体制的证书管理和标识密码体制的密钥托管局限性,基于无证书的认证密钥协商协议成为了研究热点.目前已知的协议均未能保证安全性和计算效率的统一,本文首先通过构造攻击算法,指出现有的两个无证书密钥协商协议均存在相应安全缺陷,包括I类敌手的KCI攻击和普通敌手的KCI攻击,然后提出一个新的无证书两方认证密钥协商协议,在无证书mBR安全模型和随机预言机模型下,针对两类敌手分别基于CDH和DCDH困难问题假设实现了可证明安全.与同类协议相比,计算开销和通信成本较低,每个用户只需5个点乘运算,通信过程中除却必需的公钥外,仅需群中一个点的消息长度.该协议在安全性和效率之间实现了更好的平衡,在带宽受限的通信环境中有较好的应用前景.

Dark Mobile Bank之钓鱼攻击威胁分析

钓鱼攻击作为移动金融黑产中的一大分支,近年来呈现高速爆发趋势.随着电商购物、移动支付的盛行,网络钓鱼攻击发生了新的变化,除了传统网络钓鱼的更新迭代,还演变出针对移动终端用户的新型钓鱼方式.伪基站短信钓鱼、利用恶意代码钓鱼、恶意WiFi钓鱼攻击愈演愈烈,iPhone钓鱼产业显现,移动钓鱼数量持续攀升.钓鱼攻击等威胁事件频发与黑产产业链拥有海量隐私泄露数据是息息相关的,隐私泄露成为钓鱼攻击重要帮凶.安天移动安全联合中国电信云堤深度分析当前互联网环境下的钓鱼攻击威胁,揭密相关地下产业链,为国家监管机构、运营商建立安全管理法律法规和措施提供依据和建议,同时提醒企业和公众用户增强安全意识,全面提高安全防范技术水平.

5G应用场景下的指挥与控制系统安全防御

5G应用于军事指挥领域,带来海量终端泛在互联、海量数据实时交互,将提高指挥控制系统信息共享能力、指挥控制效能,推动参谋队伍转型,开拓新型指挥领域,但同时带来数据交互安全风险、传输链路安全威胁和信息服务安全挑战.着眼保护指挥与控制系统接入安全、网络安全、用户安全和应用安全,需要构建基于5G应用的指挥与控制系统安全框架,探索安全分析人员与安全设备深度融合的主动安全防御模式,增强指挥与控制系统全网安全态势感知和协同防护能力.

GB/T 42884-2023《信息安全技术移动互联网应用程序(App)生命周期安全管理指南》

标准制定背景当前我国移动互联网用户基数庞大,且移动互联网应用程序深刻改变着网民生活,随着移动应用生态的发展,用户数据与隐私安全问题日益凸显,然而大多数用户安全防护意识不强,应用厂商的安全防护水平参差不齐,恶性竞争对信息安全造成负面影响,避免移动终端用户被侵害的事件发生非常必要,提升网络安全保护能力意义重大。