SOCKS协议在防火墙中的应用研究

阐述了采用实现SOCKS协议的一种新型防火墙系统，较为详细地论述了其架构与功能，分析了SOCKS协议实现原理和过程。围绕SOCKS客户机与SOCKS服务器，给出了请求与响应格式及其建立连接实现功能的详细步骤，对比说明了SOCKS与Proxy的区别，突出了该系统的特点及其优越性。     

运用SOCKS V5/TLS协议构建VPN的研究与实现

提出了在ＳＯＣＫＳ防火墙之间建立ＶＰＮ的架构与技术的思想，利用ＳＯＣＫＳ Ｖ５对认证方法的可扩充性，采用ｘ，５０９规范与数字签名实现了ＳＯＣＫＳ防火墙之间的证书及身份验证，并运用ＴＬＳ协议协商数据加密算法与密钥对其数据进行加密传送，介绍了其关键技术的实现。     

关于S-3PAKE协议的漏洞分析

通过分析一种基于CCDH假设的简单三方密钥交换协议(S-3PAKE协议),指出了该协议未对攻击者可能的身份进行全面考虑,缺乏完备认证机制的缺陷,阐明了当攻击者本身就是与服务器共享一对认证口令的合法用户时,该协议不能有效地抵抗在线口令猜测攻击,并提出了一种对S-3PAKE协议进行在线口令猜测攻击的具体方法。使用该方法,攻击者只需与服务器进行通信,即可对其他用户的口令进行猜测分析。     

用VB实现一次性口令的用户认证机制

身份认证和鉴别目前可以通过多种手段实现。口令是其中的一种形式。讨论了用VB实现一次性口令的方法及解决一次性口令的算法不易记忆的问题     

新的口令认证密钥协商协议

针对服务器泄漏攻击,给出了抵抗这种攻击的方法,提出了一个新的基于口令的认证密钥协商协议。在该方案中,用户记住自己的口令,而服务器仅仅存储与口令对应的验证信息。分析结果表明,该方案可以抵抗服务器泄漏攻击、字典攻击和Denning-Sacco攻击等,并且具有前向安全性等性质。     

激进模式下对IKEv1的中间人攻击分析

分析了对IKEv1的一种中间人攻击方法,该方法基于IKEv1密钥交换在预共享密钥认证机制下的激进模式。实施中间人攻击的步骤是首先利用IKEv1的离线口令穷举获取预共享密钥,获得预共享密钥后,把Diffie-Hellman(DH)中间人攻击原理应用于IKEv1的激进模式,实现对IKEv1的中间人攻击。通过分析该模式的中间人攻击原理,得出了对IKEv1的激进模式进行中间人攻击的条件、实施方法并评估了其对IPsec的危害性。由于该模式存在用户名枚举漏洞,攻击者可以离线穷尽预共享密钥,在现实中IKE中间人攻击的威胁是存在的,建议在使用IPsecVPN时不使用激进模式的密钥协商,并加强中间路由器的安全防护。     

可信的智能卡口令双向认证方案

提出一种基于智能卡的可信双向认证方案,使用散列函数认证身份,采用远程证明方法验证平台可信性。该方案支持安全会话密钥协商,支持用户身份匿名及口令自由更换,服务器平台证书可更新。分析表明,该方案可以抵抗针对智能卡口令认证方案的常见攻击,安全高效,满足安全设计目标。     

动态口令在机房管理系统中的应用

本文介绍了在机房管理系统客户端中使用动态超级口令的方法．该方法的使用，即使在发生网络故障的情况下，用户也能登录系统，提高了机房管理系统的适应性．同时也论证了口令的安全性保证．     

Windows NT用户口令的破解方法及其防护措施

本文通过对Windows NT系统用户口令工作原理的简要分析,阐述了目前互联网上流行的口令破解软件的工作机制及其特点;并介绍了几种防范口令破解的措施.     

基于身份的密钥协商协议对Kerberos的改进

详细论述了Kerberos协议的认证过程及主要缺陷,介绍了基于身份的公钥密码学理论,提出了基于身份的可认证密钥协商协议,在此基础上对Kerberos协议进行改进,使其具有更高的安全性.通过详细的安全性能分析,该方案使系统更安全,更加容易管理和维护.     

河北省电子认证发展现状及对策建议

电子认证是保障网络及信息安全的重要手段。通过对河北省电子认证工作现状、取得的成绩和存在问题进行深入剖析,提出创新政府监管,加强人力、物力投入,鼓励开展跨省、跨境互认,推动电子认证服务创新升级,开展跨地区、跨行业电子认证协同,共建全国性密码与密钥基础设施等发展建议。     

办公自动化系统中的安全性

针对ＯＡ系统的安全需要及特点,结合Ｌｏｔｕｓ Ｄｏｍｉｎｏ,讨论了ＯＡ系统的网络安全和用户认证协议,着重论述ＯＡ系统内部用户和网络用户的安全认证机制、协议及其基本原理;提出了一个ＯＡ系统中的用户认证协议,分析了其认证过程。     

公用网中的用户安全存取控制方案

根据公钥密码技术，提出了一种适用于公用网系统的用户存取控制方案。该方案假设网中用户持有由可信任的认证中心（ＴＡＣ）发行的个人卡──记忆卡式智能卡。无论是记忆卡还是智能卡的认证协议，均可避免使用公钥簿，使公用网中的用户存取控制更加安全和方便。     

使用双线性对构造的智能卡口令认证方案

研究了双线性对在智能卡口令认证方案中的应用;针对Girietal方案在敌手能够获取存储在智能卡中信息的情况下不能抵抗冒充攻击的安全缺陷,提出了一种使用双线性对构造的智能卡口令认证方案。在该方案的登录阶段中只是执行群上的加法运算,没有使用杂凑函数和公钥加解密操作,因而计算代价更低,但却提供了更好的安全性,能够抵抗重放攻击、离线攻击和冒充攻击。     

RBAC授权策略在网格环境中的优化

分析了网格安全基础设施授权过程和存在的问题,根据网格动态性、自主性与多重管理特点提出了基于角色、能够解决大规模虚拟组织授权问题的方案,实现了虚拟组织用户有效管理与细粒度授权,完善了本地资源授权策略,为虚拟组织的安全运转提供了保障。根据网格体系结构特点,新模型改进当前存在的RBAC授权机制,从整体和局部两个方面完善了系统,为降低网格系统成本、快捷实施、增强安全性提供了一条新的解决方案。     

基于JAAS和J2EE Web容器的验证与授权

在Borland应用服务器的基础上,使用JAAS与J2EEWeb容器内在的安全机制,并借助Oracle数据库的用户验证,实现了Web应用中对用户的验证和授权。把用户能访问到的资源控制到页面级,将开发阶段需要考虑的安全问题转移到部署阶段,实现了应用逻辑与安全逻辑的彻底分离。实践表明,使用JAAS可以提高整个系统的开发效率,而Web容器提供的验证与授权可以很好地和数据库安全域相结合。