易卫[1]2004年在《基于门限加密技术的入侵容忍私钥保护应用研究》文中研究表明随着用户通过Internet进行在线交易的普及,保护在线服务的用户私钥安全也就成为一个非常重要的课题。一般来讲,用户私钥存储在一个可以信任的服务器中,当用户需要私钥进行工作时,可以通过访问该可信任的服务器以获得认证。但是,这种工作方式的安全性不好,服务器如果被攻击,用户将无法得到私钥,无法进行正常的在线交易。 为了增加在线服务用户私钥的安全性,提高在线服务系统的弹性,本文对入侵容忍技术、门限加密技术以及私钥共享数据验证技术进行了深入分析和研究。主要的工作和创新如下: 首先,在对私钥容忍保护技术进行深入分析的基础上,提出并论证了基于门限加密技术的入侵容忍私钥保护TTPKP设计方案,给出了一种私钥容忍保护协议算法,解决了用户私钥保护方法中用户管理简单、防范攻击不足的问题,提高了在线服务系统中用户私钥保护技术的安全弹性。 其次,通过对入侵容忍工作原理的仔细分析与综合,设计了一种增强口令认证钥匙交换协议算法—EPAKE(Enhance Password-Authenticated Key Exchange),在保证用户私钥保护的同时,提高了在线服务系统的安全性,提高了私钥认证过程的安全弹性,进一步增强了防范攻击能力。 然后,基于对入侵容忍技术和私钥保护工作原理的分析,提出了一种门限加密入侵容忍私钥保护TTPKP的安全模型,给出了详细的协议定义,从理论上对该模型的安全性和准确性进行了证明,并在Windows 2000操作系统下进行了测试。测试表明,本文设计的门限加密入侵容忍私钥保护技术的安全弹性好于目前所使用的私钥认证保护技术。 论文给出了基于门限加密技术的入侵容忍私钥保护TTPKP的具体实现方案,并进行了模拟实践环境测试。测试表明,本文设计的门限加密入侵容忍私钥保护技术TTPKP完全可以满足在线服务系统的私钥认证保护的安全要求。在本文的设计方案中即使有一定数量的服务器被破坏,系统的服务照常可以提供,用户私钥的安全较以往有了很大的提高。
张险峰[2]2003年在《基于ECC的门限密码体制及其应用的研究——在入侵容忍中应用的探索》文中研究指明入侵容忍是美国DARPA所提出的“第叁代安全”概念中的核心技术。实施它的目标是:当受到重大攻击时,mission-critical系统仍能维持关键信息和关键服务的完整性、机密性和可用性。门限密码学能够灵活产生、安全存储和发放密钥,进而使系统在部分组件被攻破的情况下仍能保护系统中用于加密、签名等的秘密信息,这为开发入侵容忍系统提供了有效的技术手段。基于门限密码学的入侵容忍学的研究,主要集中在秘密共享方案、门限解密和门限签名方案的设计与实现上。到目前为止,学术界对于基于门限密码学的入侵容忍研究几乎都集中在门限RSA密码技术的应用上。随着大整数分解方法和并行计算技术的发展,迫使RSA所需用的密钥将愈来愈长,于是采用RSA的系统的速度变得愈来愈慢。迄今ECC已被公认为能比RSA提供更好的加密强度、更快的执行速度和更小的密钥长度。因此,ECC及其应用正在晋升为信息安全研究领域新的热点。由于基于ECC的门限密码体制的设计方法并不能采用基于RSA的门限密码体制的,为此需要寻求新的途径,后者具有理论上的难度。至于在门限ECC密码体制基础上建立入侵容忍应用的研究工作,则尚未见到报道。由于ECC取代RSA已成为一种趋势,因此,基于ECC的门限密码体制及其应用(如在入侵容忍中应用)的研究,既有理论意义又有重要实用价值。本论文以ECC为基础、以门限密码体制为主攻对象和以入侵容忍为应用背景,开展了基于ECC的门限密码体制及其应用的研究,内容主要涉及秘密共享方案、基于ECC的门限解密和签名体制、基于门限ECC的入侵容忍Web安全和CA应用等,研究工作取得了以下创新性成果:提出了一种基于状态树的(t, n)秘密共享方案:该方案直观、简洁和有效。它由秘密分割算法和秘密重建算法构成,前者具有多项式复杂度,后者具有线性复杂度,满足门限机密性和门限可用性。同时,还设计了基于ECC的零知识证明方法,后者能有效检验秘密共享参与者是否拥有有效的影子,却又不会泄露该影子的任何信息。提出了一种基于ECC的(t, n)门限解密方案:通过对该方案的安全性、通信量和计算量开销的分析,证明其具有很好的安全性和执行效率。同时,还提出了一种t可变的(t, n)门限解密方案,后者同现有的相关方案相比,具有更好
易卫, 谢冬青[3]2005年在《基于门限加密技术的全分布入侵容忍私钥保护》文中指出随着用户通过Internet进行在线交易的普及,保护在线服务的私钥安全也就成为一个非常重要的课题。目前常用的私钥容忍保护PAKE协议方法中用户管理欠缺,而且攻击者可以妥协服务器造成用户无法得到加密私钥。可以通过加强用户验证管理和PVD的安全传送验证,提高了系统的入侵容忍安全级别。在这种技术中,即使有一定数量的服务器被破坏,系统的服务照常可以提供,用户私钥的安全较以往有了很大的提高。
关志峰[4]2008年在《基于PKI的CA相关技术研究》文中研究指明在网络得到快速发展的现代社会,人们越来越重视网络上信息的安全问题。PKI(Public Key Infrastructure公钥基础设施)是目前解决信息安全问题最有效的技术。PKI中最基本的元素是数字证书,所有安全的操作主要通过数字证书来实现。这就要求必须有一个网络上各证书持有方都信任的机构,专门负责数字证书的发放和管理,这个机构就是证书认证中心(Certificate Authority)。论文基于椭圆曲线密码体制对无可信中心的CA方案进行研究,主要完成了以下几个方面的工作:(1)基于门限秘密共享的签名方案一般分为需要可信中心和不需要可信中心两类。由于在许多特定的应用环境下,一个可被所有成员信任的中心并不存在。因此,不需要可信中心的门限签名方案就显得尤为必要。论文在已有方案[14,15]基础上,对一种无需可信中心的(t, n)门限签名方案进行了改进,实现了在签名过程中不会被外部攻击者欺诈,同时也防止了内部恶意组成员的欺诈。(2)传统的CA方案中,各影子服务器的子密钥是由一个可信中心产生,而在许多特定情况下,一个可被所有成员信任的可信中心并不存在。因此论文结合文献[21]的系统结构,提出了一种基于ECC的无可信中心(t, n)门限签名方案,并应用到认证中心CA中,保证入侵者入侵部分部件并不能得到CA系统的私钥,这样使得CA能够容忍入侵,从而设计了具备分布式和冗余结构的PKI/CA系统。(3)容侵的密钥分发服务器的设计避免了传统集中式密钥分发方法中所存在的单点故障问题,并且在相同安全强度下,ECC协议具有通讯量小,计算效率高等特点,论文提出了一种基于ECC的分布式的会议密钥分发方案。(4)利用Java构建实验平台,设计了一种变形的椭圆曲线数字签名算法T _ ECDSA的数字签名系统。分析表明该数字签名算法T _ ECDSA是有效的。
郭渊博[5]2005年在《容忍入侵的理论与方法及其应用研究》文中认为在信息安全研究领域,尽管人们已经开发了许多安全技术来防止攻击者对系统的破坏,但由于网络的开放性以及攻击技术的快速传播性,使得想开发出绝对安全的信息系统是不可能的。随之因运而生的就是一种新的信息安全防护手段-容忍入侵。容忍入侵是一种融合了密码技术和容错技术的全新网络安全技术。传统的安全技术更多强调的是如何保护系统以使之免受入侵;而容忍入侵更强调了系统的某些部分即使已经受到攻击者破坏或被攻击者成功控制时,系统如何继续对外提供服务,并保证数据的秘密性和完整性。显然,这种新型信息安全技术更符合当前信息可生存性的需求,是一种很有前途的安全防护手段。本文深入研究了容忍入侵相关的几个模型与系统设计问题,包括面向服务的容忍入侵系统模型、容忍入侵的可信第叁方系统设计、容忍入侵的分布式数据存储系统设计,以及自适应安全的容忍入侵安全通信方法。同时对容忍入侵方法的一项关键支撑技术--秘密共享技术进行了研究,使之能够很好地满足容忍入侵的系统设计要求。具体地讲,本文成果包括以下几个方面:1、提出了一种面向服务的容忍入侵方法,给出了其系统模型和系统架构,并讨论了其中所涉及的一些重要的基本功能模块;在该模型基础上,设计了一个以容忍入侵为中心,结合防火墙与访问控制系统、分布式入侵检测系统等技术的,具有反馈交互的叁层细粒度的动态纵深防御安全体系结构;2、借助集合论的相关概念研究设计了一种基于通用攻击结构的秘密共享方案,证明了该方案满足秘密共享所要求的秘密重构及完善保密两个基本特性,同时在参与方集上定义了一种关于攻击结构的等价关系,并给出了基于该等价关系的方案化简方法。最后,利用该通用方案的设计思想,对现有的一种基于图的攻击结构的秘密共享方案进行了适当改进;3、针对不具同步时钟模型且主机间不存在可靠通信通道的现实的分布式网络应用场合,通过引入可由协议事件和系统中各主机本地时钟双重驱动的时间片的概念,定义了异步模型中先应式秘密共享的运行状态及其转换过程,给出了异步环境中一种实用有效的先应式秘密共享方法;同时基于消息的冗余传输机制和认证应答机制,设计了一个消息可靠传输协议,用于在主动链路攻击存在的情况下保证协议参与方之间消息的正确传输;4、结合可验证秘密共享技术和知识证明技术,设计了一个计算安全且具有容忍入侵功能的可信第叁方系统方案。分析表明,该方案具有正确性和保密性,以
李冰洋[6]2006年在《入侵容忍系统模型及基于门限的CA方案研究》文中研究表明入侵容忍技术是美国提出的第叁代安全的核心。入侵容忍是一种主动防护能力,当受保护系统的部分组件受到攻击时,入侵容忍旨在能维持整个系统关键信息和服务的完整性、机密性和可用性。 本文首先介绍了入侵容忍技术的基本理论基础---拜占庭协议,在此基础之上,提出了一个入侵容忍系统的应用模型。在实际应用方面,入侵容忍系统可以用来保证CA的安全。它通过将私钥分发给不同的部件,并保证任何一个在线的部件无法恢复CA的私钥,从而保护了CA私钥的保密性。论文对基于两种不同的门限技术的入侵容忍CA方案进行了深入的研究和比较,并给出了两种不同方案的对比结果,结果表明:基于门限ECC的入侵容忍CA方案,从安全性和效率的角度考虑,都要优于基于门限RSA的入侵容忍CA方案。
刘坤[7]2006年在《基于入侵容忍的CA认证中心研究与设计》文中进行了进一步梳理随着Internet技术与电子商务的迅速发展,改变了人们的生活和工作方式,给社会带来了极大的经济效益,同时也带来了许多安全隐患。因此,安全服务正成为Internet和电子商务应用中一种基本服务。PKI技术是目前唯一大规模解决网络安全问题的可行方案。PKI技术从发展至今,已经具有相当的规模和应用前景。构架PKI体系,核心的技术就是建立功能完善的,安全的认证中心CA,CA是当前网络安全领域研究热点之一,其实现具有重大的实用价值和社会价值。 CA私钥是CA安全的核心。保护私钥不泄露是整个CA域的安全基础,CA的私有密钥一旦泄露,该CA签发的所有证书就只能全部作废。一般来说,CA必须是一个在线的网络设备,特别是直接面向用户的CA,以便自动地提供相应的证书服务。保护在线服务CA的私钥也就成为一个非常重要的课题。所以有必要研究开发入侵容忍系统(ITS)—即使遭到攻击仍能运转的系统。 入侵容忍是美国DARPA所提出的“第叁代安全”概念中的核心技术,实施的目标是当受到攻击时,系统仍能维持关键信息、数据、服务的完整性,机密性和可用性。由于门限密码学能够灵活产生,安全存储和发放密钥,因而能使系统在部分组件被攻破的情况下仍能保护系统中用于加密、签名等的信息,这为实现入侵容忍系统提供了有效的技术手段。 本文首先介绍了PKI与CA认证中心的概念、原理、组成及提供的核心服务,然后详细说明了入侵容忍技术的概念、应用领域、分类、实现方法,RSA算法和门限密码系统。其次本文以RSA为基础,门限密码体制为主攻对象,入侵容忍为应用背景,基于有理数域上的插值公式,Shamir秘密共享方案以及改进的门限RSA签名方案等理论研究并提出了安全增强的基于RSA可验证门限签名方案,并用该方案设计入侵容忍的CA认证中心,给出了具体的系统结构和功能,工作协议,同时指出实现方法。此外对于密钥更新以及服务器的检测也给出了具体的方法。最后分析了系统采用门限签名方案的安全性、可靠性、正确性,以及系统性能。
徐露锋[8]2006年在《容侵技术在电力企业网络安全中的研究与应用》文中指出随着计算机网络及电网自动化水平的提高,电力企业对信息系统的依赖性越来越强,同时面临的安全问题也越来越大。在日新月异的攻击手段面前,依靠传统安全技术来维护系统安全远远不够。本文针对电力企业信息网络的特点,运用入侵容忍技术来保护信息系统的正常运行。论文首先研究了电力企业信息网络结构以及安全现状,接着介绍了入侵容忍的基本理论,然后着重研究了入侵容忍的关键技术:建立了一种基于移动Agent的分布式入侵检测系统模型;研究了对象复制技术,改进了表决算法;分析和研究了椭圆曲线加密体制。最后,在研究电力系统中的服务和数据的基础上,分别提出针对服务和数据的入侵容忍解决方案。
孙周军[9]2006年在《基于组合策略的入侵容忍系统实现方法研究》文中研究表明随人们思想的进步和市场竞争的加剧,传统的通信手段已经不能满足人们的需求。计算机网络技术的快速发展和广泛应用,为人们之间的信息交流提供了更加便捷、高效、实时的通信方式。计算机技术广泛使用的同时,他的安全问题给人们也带来了很大的苦恼。 本论文主要针对目前计算机应用领域所出现的安全问题,对当前市场上的网络安全技术的进行了简单的阐述和比较,发现他们对目前出现的一些攻击无计可施。所以,本文根据入侵容忍技术的基本理论,提出了分布式日志服务模型,主要利用信息分割算法进行日志数据存储,利用贝叶斯置信网络发现日志访问异常行为,从而构建安全可靠的日志服务系统;提出了一种基于组合策略的文件安全访问模型,利用信息分散存储技术、基于角色访问控制技术、密码学技术等的协同工作,充分保护文件数据的安全;本文最后提出了一种Web服务模型,本模型利用拜占庭协议和冗余策略构建能够容忍拜占庭错误的Web服务模型,并给出了相应的形式化语言描述。以上的设计充分的考虑到各个组件的入侵容忍能力,从而大大提高了系统的生存能力。 本论文对于在设计计算机应用系统时,提高系统容忍入侵能力,增强系统安全性方面具有一定的指导意义。
王金鑫[10]2011年在《应对网络入侵的研究》文中指出入侵容忍是以生存为目的的第叁代信息安全技术的核心,也是近几年信息安全领域研究的热点。与防火墙、入侵检测等传统信息安全技术不同,入侵容忍关注的不是入侵产生的原因,而是入侵对系统的影响。入侵容忍的研究目标是系统受到入侵时,甚至组件或者子系统已经崩溃或者被入侵者控制,系统仍具有维持整个系统关键信息和服务完整性、保密性和可用性的能力。本文针对现有入侵容忍系统模型未考虑系统自恢复能力、自适应性差和没有考虑系统响应时间的不足进行了改进,构建了一种分布式自适应入侵容忍系统模型。通过对入侵容忍系统的数据完整性、保密性和系统响应速度的定量分析,提出了响应度的新概念,从而完善了入侵容忍度的概念。新模型具有自恢复能力,较强的自适应性,并能提供持续的可靠服务。通过分析模型和模拟实验,得到了各评价指标(完整度、响应度、保密度和入侵容忍度)与各因素(服务器数量、数据备份数目、门限值等)之间的联系。仿真结果表明,与目前的入侵容忍模型相比,新模型具有更好的入侵容忍能力。本文随后针对上一个模型未使用表决技术,提出了一种基于表决的分布式自适应入侵容忍模型。在对该模型进行量化分析和仿真的过程中,发现了信息隐藏共享算法与表决技术相互作用所造成的叁种情况,详细分析了在这叁种情况下,表决技术对入侵容忍模型的完整度、保密度和入侵容忍度的影响,以及这些情况下各因素与完整度、保密度和入侵容忍度之间相互作用关系。实验结果表明,与上一个模型相比较,本模型具有更好的完整度、保密度和入侵容忍度。最后,从服务器的工作模式和入侵容忍度的构成两个角度分析了本模型和上一个模型之间的区别,指出了两个模型各自的优缺点,并分析了造成这些优缺点的原因,为根据客观情况选取合适的模型提供了理论依据。
参考文献:
[1]. 基于门限加密技术的入侵容忍私钥保护应用研究[D]. 易卫. 湖南大学. 2004
[2]. 基于ECC的门限密码体制及其应用的研究——在入侵容忍中应用的探索[D]. 张险峰. 电子科技大学. 2003
[3]. 基于门限加密技术的全分布入侵容忍私钥保护[J]. 易卫, 谢冬青. 计算机应用研究. 2005
[4]. 基于PKI的CA相关技术研究[D]. 关志峰. 扬州大学. 2008
[5]. 容忍入侵的理论与方法及其应用研究[D]. 郭渊博. 西安电子科技大学. 2005
[6]. 入侵容忍系统模型及基于门限的CA方案研究[D]. 李冰洋. 哈尔滨工程大学. 2006
[7]. 基于入侵容忍的CA认证中心研究与设计[D]. 刘坤. 贵州大学. 2006
[8]. 容侵技术在电力企业网络安全中的研究与应用[D]. 徐露锋. 华北电力大学(河北). 2006
[9]. 基于组合策略的入侵容忍系统实现方法研究[D]. 孙周军. 西安建筑科技大学. 2006
[10]. 应对网络入侵的研究[D]. 王金鑫. 江南大学. 2011
标签:计算机软件及计算机应用论文; rsa论文; 密码体制论文; 信息安全论文; 用户研究论文; 密钥管理论文; ca中心论文; 用户分析论文; 网络安全论文; ecc论文; ca认证论文;