无线自组织网络的MAC协议攻击分析

利用有限状态机模型,将无线自组织网络IEEE 802.11 MAC协议的实现过程描述成不同的状态转移过程,从而建立了无线自组织网络MAC协议执行过程的有限状态机模型.在此模型下,研究了攻击者如何成功地逃避检测及对MAC协议的攻击行为.NS-2.33仿真实验表明,随着攻击者在不同状态下对网络节点的攻击程度的加强,路由消耗逐渐增大,网络的平均吞吐量呈逐渐下降趋势.     

路由协议安全性分析与安全路由协议域研究

随着网络规模以及网络处理速度的飞速增长，链路状态路由协议已成为内部网关路由协议的主流协议，并在网络中广泛部署．但由于缺乏足够的验证机制，路由协议的底层结构极易受到各种各样的攻击．本文先分析了链路状态路由协议在路由过程中存在的威胁，将物理网络划分为虚拟信任路由域VTRD，并以此为基础设计了一种基于VTRD的安全路由协议框架．该框架采用身份验证以及机密性验证的加密信息对路由系统中的网络实体进行验证，从而能够检测和防止某些网络攻击对路由协议产生的威胁．     

OAuth 2.0协议在Web部署中的安全性分析与威胁防范

分析了OAuth 2.0协议中两大主流模式的安全机制和实现过程,给出了针对协议中部分敏感数据的威胁模型,针对协议部署过程中常见的安全漏洞提出了访问令牌注入攻击以及针对授权码注入的CSRF攻击的攻击路线,并对若干网站进行测试,结果显示攻击效果良好,验证了攻击方法的有效性,最后提出了相应的防范策略.     

城市环境下基于地理位置自适应的车载网络路由协议

针对城市车载自组织网络环境中节点分布不平衡,信号传输被障碍物遮挡,目标节点不断移动等问题,提出一个适合城市环境基于地理位置信息的自适应路由协议SAGR(Self-Adaptive Geographic Routing for city environments in vehicular network).SAGR通过远程混合模式被动路由机制SAGR-RM和局部定向受限泛洪路由机制SAGR-LM,将路由过程分成两个层次,增强了路由协议的健壮性以及对目标位置的容错性.通过NS-2软件仿真分析了SAGR协议的性能,结果表明SAGR比现有的基于位置路由协议在数据包传输、端到端延迟和路由开销方面等都有显著的改进.     

两个eCK模型下可证安全的密钥交换协议分析

基于eCK(extended Canetti-Krawczyk)模型的定义,针对eCK模型下证明安全的两个密钥交换协议进行了分析.结果显示两个密钥交换协议在eCK模型中都是不安全的,其中SAKA(secure authenticated key agree-ment)协议不能抵抗临时密钥泄露攻击也不能抵抗长期密钥泄露攻击,并且不具有前向安全性.另一个SHY(Shi-Huang-Yang)协议不能抵抗两方临时密钥同时泄露的攻击.     

空间信息网抗毁安全路由协议

对空间信息网路由协议进行了研究,提出了一种基于GEO-LEO（geosynchronous earth orbit,GEO;low earth orbit,LEO）双层卫星组网的空间信息网抗毁安全路由协议.协议中GEO卫星组提供对LEO卫星的分组管理、密钥管理和超远距离中继服务功能,LEO卫星担任主要通信任务,路由消息采用对称密钥加密;协议在每个卫星周期时间片起始路由查找产生路由表并对该路由表进行存储,若在该卫星周期内没有卫星节点失效或链路拥塞的情况出现,路由表保持不变,否则触发路由更新过程.仿真分析实验表明,该抗毁安全路由协议在信令开销不大的情况下对空间信息网路由消息的可靠性和安全性有很大提高.     

可证明安全的RFID群标签识别与认证协议

为了克服RFID系统的标签识别中存在的安全性问题和识别死循环问题,提出了一种群标签的识别与认证协议GIA.GIA协议在识别过程中采用假名进行防冲突识别,防止标签敏感信息的泄露,在认证过程中只用伪随机数发生器实现了阅读器和标签之间的相互认证,解决了中间人攻击、前向安全、重放攻击和克隆等安全问题,同时也满足了低成本标签的要求.用可证明安全模型证明了GIA满足了安全性目标.与现有的相关研究进行比较,GIA在存储开销、计算代价和通信开销上具有较好的性能.     

一种基于优先级的加权公平队列调度算法

根据在无线传感器网络上传输实时业务的要求,深入研究了加权公平队列调度算法.在分析其无法保证实时业务的QoS的原因后,提出一种基于优先级的加权公平队列调度算法P-WFQ.这种算法利用滑动窗口将WFQ和基于优先级的机制结合起来,通过有效的优先级划分策略,在带宽受限的情况下,保证高优先级数据的QoS要求.仿真结果表明:P-WFQ在实时业务的时延性能上比WFQ有明显的改善,而且能够将实时业务的最大时延控制在允许范围之内.     

MPLS与移动IPv6的结合探索

MPLs(多协议标记交换)是一种转发机制，结合了第二层的高速交换和第三层路由的灵活性，为未来骨干网提供了高速的IP转发和扩展性。IFv6是未来网络的基石，它解决了当前IFv4所面临的问题，而移动IP技术解决了用户移动性需求。本文对MPLS与移动IPv6的结合所遇到的问题进行了一些探索。     

蓝牙Mesh配网协议的形式化安全性分析

蓝牙Mesh是一种无线网状网络组网技术。新设备必须经过配网才能加入蓝牙Mesh网络。配网协议的安全性是蓝牙Mesh网络安全性的基础,但目前针对该协议安全性的研究尚不充足,现有的模型无法捕获协议中存在的某些攻击。因此,借助符号模型下的协议分析工具Tamarin Prover对蓝牙Mesh配网协议进行形式化建模,该模型覆盖了所有的配网阶段和方法。同时,借助Tamarin Prover的构建和解构规则以及内置的消息理论,提出了一种在符号模型下建模AES-CMAC原语的新方法,该方法可以准确地描述消息长度为任意块的AES-CMAC函数的性质,从而能对配网过程中的认证阶段进行更细粒度的建模。对该模型的安全属性进行了验证,验证结果表明,该形式化模型可以捕获之前发现的原语误用攻击。此外,借助该形式化模型和验证的结果,提出了针对原语误用攻击的修复方案,并通过形式化的方法验证了该方案的有效性。     

面向软件定义网络的多跳D2D通信的路由协议

基于软件定义网络(Software De?ned Networking, SDN)架构的无线网络,提出多跳设备至设备(Device-toDevice, D2D)路由协议(Multi-hop D2D Routing, MD2D).在MD2D路由中,SDN控制器管理,并控制MD2D路由的功能,进而提高网络扩展性.同时,子控制器不再向移动节点广播链路状态信息,只需传输下一跳节点信息,进而控制路由开销.仿真结果表明,相比于HSAW,提出的MD2D路由具有更低的路由开销.     

对ARAP认证协议的攻击及其改进

分析了射频识别（RFID）系统中匿名RFID认证协议（ARAP）存在的安全缺陷,指出攻击者可利用该协议存在的异或运算使用不当的安全缺陷发起身份假冒攻击.为此,提出了一种改进的RFID双向认证协议,该协议修改了ARAP认证协议中部分异或运算和验证操作,仍采用假名机制提供隐私性保护,防止攻击者对标签进行跟踪.结果分析表明,改进后的协议具有双向认证、前向安全性和匿名性等安全属性,并能够抵抗冒充、跟踪和重放等攻击.同时,性能对比分析表明改进后的协议具有比较好的效率,实用性较强.     

一种高生存性的车载自组网可信路由协议

针对目前车载自组网中路由安全问题,提出一种基于经验信任的可信路由模型.该模型从客观信任的角度引入经验信任的概念作为可信度量的标准,并给出了计算节点经验信任值和信誉度的推荐方法,根据节点的经验信任值设计一种新的动态包转发规则,从而实现车载自组网的可信路由.实验结果表明,该模型较贪婪周边无状态路由(greedy perimeter stateless routing,GPSR)协议具有较高的抵抗自私节点的能力.     

基于无线Mesh网络的一种信道分配算法及路由协议

提出了在多信道环境下的无线Mesh网络中的一种混合型路由协议TOIRP(tree-based and on-de-mand integrated routing protocol)以及一种分布式的信道分配算法CLBCA(channel load based channel assign-ment).TOIRP协议采用HWMP(hybrid wireless mesh protocol)所提出的混合路由技术,将基于树的路由与传统的AODV(ad hoc on-demand distance vector)路由相结合,减少路由发现的时延,同时采用了一种新的路由判据CETTI(cumulative expected transmission time with interference).该路由判据充分考虑多信道的特性,设计了一种量化通信干扰的方法,将干扰分为外部数据流对路径的干扰以及路径内部数据流的干扰两个方面,并综合考虑了跳数、时延等因素,提高了网络的吞吐量.信道分配算法分为收发器与邻居节点绑定和收发器与信道绑定两个部分,将信道的负载作为选择信道的标准,避免了多信道中常见的信道依赖所造成的影响,并且提高了信道的利用率.模拟结果表明,采用新的路由判据后,网络的吞吐量最优情况下得到提升.     

一种面向IaaS租户的资源完整性度量协议

提出一种IaaS(infrastructure as a service)完整性度量协议,该协议允许租户主动发起对IaaS资源的度量和验证,使租户能够检测其自身资源的完整性状态,增强IaaS资源状态的可见性.利用SVO逻辑对协议的安全性、完备性进行了分析,并搭建实验平台对协议的抗攻击能力和时间性能进行了验证.分析和实验证明,该协议能够抵御重放攻击、假冒攻击等多种形式的攻击,同时协议的执行耗时不会影响租户的正常使用体验.     

Ad hoc网络中一种基于转发联盟博弈框架的激励合作路由算法

为增强Ad hoc网络中节点合作的积极性,借鉴联盟博弈理论,针对节点之间数据包转发过程,定义了转发联盟博弈(forwarding coalitional game,FCG),建立了FCG支付模型,给出了确保形成的大联盟为稳定核的约束条件,并基于经典的按需路由算法对上述模型进行了实现,提出了一种基于FCG框架的激励合作路由(incentive cooperation routing,ICR)算法,并且通过仿真实验对该算法进行了有效性验证。仿真结果表明,该算法在分组投递率、端到端的平均时延、路由开销、联盟支付分配和中间节点转发数据包数量等方面的性能提高显著,能够有效地激励自私节点合作转发的积极性。     

基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

一种启发式多路径QoS路由算法

针对一般Qos路由算法没有考虑网络负载平衡以及与传统路由算法共存的问题，设计并实现了多路径QoS路由算法．该算法应用启发式搜索策略，计算出多条满足QoS要求的路由，并根据实际网络负载情况自适应调整路由策略、动态选路，以平衡网络负载，减少网络局部拥塞．仿真实验结果表明：该算法提高了网络资源利用率，并能与传统算法良好共存，具有较好的网络性能．     

一种基于手机令牌的移动支付认证协议

针对移动支付中身份和支付认证的安全问题,本文研究了手机令牌技术和无证书签密体制.结合Android系统安全策略和通信特点,利用身份和设备信息生成手机令牌并安全存储,基于手机令牌实现无证书签密,在SSL协议下层设计和实现安全认证协议.在不改变系统架构、设备硬件以及基础网络安全协议的基础上,实现了移动支付的安全增强.安全性分析表明该协议能有效抵抗伪造身份攻击、中间人攻击和重放攻击,保证移动支付的安全,并具有良好的计算效率.     

一种无密钥托管的移动IPv6网络匿名密钥分发协议

针对基于身份的密码体制IBE中固有的密钥托管问题,本文提出了一个移动IPv6网络环境中的无密钥托管匿名密钥生成机制与分发协议.该机制将节点身份认证和密钥生成与分发这两个过程分离,利用不可区分性匿名密文安全性在PKG不知道节点地址的情况下分发私钥给经过身份认证的节点,使得私钥生成中心或认证中心即使被单独攻破,攻击者也无法实现身份碰撞.可将身份认证中心部署于家乡服务器,而将PKG离线部署.经安全性分析,协议有效解决了移动IPv6网络中基于身份密码体制的密钥托管问题.