VP(N)概念 VP(N)的概念 VP(N)（虚拟专网，Virtual Private Network）是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。 VP(N)的特点 费用低 安全保障 服务质量保证（QoS） 可扩充和灵活性 可管理性 VP(N)的分类 网关-网关VPMN： 远程访问VP(N)： VP(N)关键技术 隧道技术 加/解密技术 ...

入侵检测系统概述 PPDR安全模型： 安全策略（Policy） 防护（Protection）：（1）访问控制、身份认证；（2）定期检测可能存在的系统脆弱性 检测（Detection）：（1）动态响应、循环反馈；（2）持续检测网络和系统中的脆弱性 响应（Response） PPDR安全模型数学法则： Pt=防护时间（有效防御的时间） Dt=检测时间（从开始到发现的时间） Rt=反应时间（从发现到响应完成的时间） ...

fang火墙概述 fang火墙是由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，属于网络边界防护设备，由系统管理员设置访问控制规则，对进出网络边界的数据流进行过滤。 fang火墙是Internet安全的最基本组成部分，但对于防御内部的攻击以及绕过fang火墙的连接却无能为力。 根据安全策略，fang火墙对数据流的处理方式有如下3种： 允许：允许满足规则的数据流通过fang火墙。 拒绝：拒绝不满足规则的数据流通过，并回复一条消息，提示发送者该数据流已被拒绝。 ...

摘要 在线社交网络(OSNs)因其开放性而在世界各地流行起来。虽然加密技术可以为osn中的用户提供隐私保护，但仍存在一些问题，如细粒度访问控制、效率和可用性。本文提出了一种基于身份的大数据osn私有数据共享方案PRECISE，数据所有者可以将私有数据一次性广播给一组用户，既方便又安全。为了在osn中实现数据的安全细粒度传播，我们采用基于属性的条件代理重加密，保证只有属性满足访问策略的数据传播者才能将数据传播到自己的社交空间。重新加密密钥与一组属性相关联，只有匹配的密文才能被重新加密，这允许数据所有者以细粒度的方式对传播的密文实施访问控制。安全性和性能分析表明，该方案是安全高效的。 ...

摘要 含等值测试的公钥加密（PKEET）允许测试者在不解密的情况下，检查用不同公钥加密的两个密文是否包含相同的消息。本文首先将组机制引入到PKEET中，提出了一种新的原语，即带相等测试的组公钥加密（G-PKEET）。G-PKEET可以抵御测试人员通过穷尽猜测离线消息从给定的信息中恢复消息的攻击。此外，分组机制使PKEET支持组粒度授权，可以授权测试人员只对组用户的密文进行相等性测试，大大降低了陷门的存储成本和计算和通信成本。我们定义了G-PKEET的安全模型，给出了它在双线性对中的具体构造，并证明了它在随机oracle模型中的安全性。 引言 Public key encry...

摘要 含等值测试的基于ID的加密（IBEET）允许测试人员比较不同公钥加密的密文，以检查它们是否包含相同的消息。本文首先将组机制引入到IBEET中，提出了一种新的原语，即具有相等检验的基于组ID的加密（G-IBEET）。采用组机制：（1）组管理员可以授权测试员对组内用户的密文进行比较，但不能将组内用户的密文与组外用户的密文进行比较。这种组粒度授权可以使IBEET适应组场景；（2）对于组粒度授权，只需发放给测试人员一个活板门，命名为组活板门，可以大大降低传统IBEET方案中活板门的计算、传输和存储成本；（3）G-IBEET能够抵御授权测试人员发起的内部攻击，这是IBEET中的一个开放性问题...

摘要 近年来，针对灵活的应用提出了一系列扩展代理重加密（PRE），如条件重加密（CPRE）、基于身份重加密（IPRE）和广播重加密（BPRE）。本文结合CPRE、IPRE和BPRE，提出了一种通用原语——基于条件身份的广播PRE（Conditional Identity-based Broadcast PRE，CIBPRE），并将其语义安全性形式化。CIBPRE允许发送方通过指定多个接收方的身份来对消息进行加密，发送方可以将重新加密密钥委托给代理，这样他就可以将初始密文转换为新的密文，并将新的密文传递给一组新的目标接收方。此外，重新加密密钥可以与一个条件相关联，这样只有匹配的密文才能重新...

摘要 在PRE代理重加密系统[4]中，由Alice授权的代理可以在不看到底层明文的情况下，将Alice的密文转换为Bob的密文。PRE发现了许多需要授权的实际应用。但是，它不足以处理需要细粒度委托的场景。为了克服现有PRE系统的局限性，我们引入了条件代理重加密(C-PRE)的概念，即只有满足Alice设定的特定条件的密文才能被代理转换，然后由Bob解密。我们形式化了它的安全模型，提出了一个高效的C-PRE方案，并在三商双线性Diffie-Hellman假设下证明了该方案的选择密文安全性。我们进一步扩展该构造，以稍微高一些的开销允许多个条件。 关键字 有条件代理重加密，双线性配对，选择密文安...

应用层协议概览 RIP协议的安全问题与防护措施 动态路由选择协议（Routing Information Protocol，RIP）是一种动态内部路由/网关协议，用于自治系统内的路由信息的传递。 启动：路由器启动时只包含了其直连网络路由信息，随后定期以RIP报文和相邻路由器交换路由信息。 接收：路由器根据收到的RIP报文更新路由表。 更新：若路由信息相同，则更新；若路由信息不同，则添加。 完成：经过路由更新，每个路由器都具有一张完整的路由...

TCP协议的安全问题及防护措施 传输控制协议（Transmission Control Protocol，TCP）是一种面向连接的、可靠的的传输层通信协议。 第一类攻击：攻击前 针对TCP连接建立阶段的三次握手过程的SYN FLOOD攻击。 连接过程描述：TCP连接是一个3步握手过程。在服务器收到初始的SYN数据包后，该连接处于半开放状态。最后，服务器返回自己的序号，并等待第3个数据包确认。最后，客户机发送使TCP连接开放，在客户机和服务器之间建立连接。 SYN Flood攻击：攻击者不断...

TCP/IP协议族 网络接口层：TCP/IP模型的最底层 网际层：IP协议等、ARP协议 传输层：TCP协议、UDP协议 应用层：HTTP协议、SMTP协议、POP3协议、FTP协议等 IP协议的安全问题及防护措施 网际协议(Internet Protocol, IP)是TCP/IP协议族的核心，也是网际层最重要的协议。 IP协议: IP数据报由首部和数据两部分组成；首部前一部分是固定长度20字节，是数据报必有的；首部固定部分之后，是一些可选字段，长度可变。 ...

近年来，分布式账本技术(Distributed Ledger Technologies, dlt)和区块链系统受到了学术界、政府和商业部门的极大关注。本文探讨了dlt在另一项改变生活的技术——物联网(IoT)中的集成。基于物联网的应用，如智能家居、智能交通、供应链、智能医疗和智能能源，有望提高现有基础设施的效率，改变我们日常生活的方方面面。本文研究了此类应用程序面临的挑战，并对应对这些挑战的现有DLT解决方案进行了全面的评估。我们还确定了未来研究的问题，包括DLT的安全性和可伸缩性，多DLT应用，以及DLT在后量子世界的生存。 附加关键词与短语：分布式账本技术，区块链，物联网 介绍...

摘要 随着物联网(IoT)市场的不断发展，账本系统面临着新的挑战，即如何有效地存储和保护物联网设备收集的大量客户记录。这些记录的真实性、可用性和完整性对业务提供者和客户都至关重要。在本文中，我们描述了一种轻量级、弹性的分布式账本系统DLedger。DLedger不是单一的区块链，而是在有向无环图(DAG)上构建账本，因此其操作可以容忍网络分区和间歇性连接。与计算密集型的工作量证明(PoW)不同，DLedger利用了认证证明(PoA)，其轻量级操作与物联网友好，以达成共识。此外，DLedger建立在名为命名数据网络(NDN)的以数据为中心的网络上，这有助于在异构物联网网络中进行对等数据传播。...

摘要 条件代理广播重加密（CPBRE）是一种半信任代理，可以将满足一定条件的Alice密文转换为一组用户密文。但是，代理不能了解有关底层明文的任何信息。传统的CPBRE方案不支持对条件的灵活控制。本文提出了一种新的基于细粒度策略的条件代理广播重加密算法（CPBRE-FG）。在CPBRE-FG方案中，用访问树生成重加密密钥，并在一组描述条件下构造密文。当且仅当这些条件满足访问树时，代理才能对密文进行转换。我们将CPBRE-FG的概念形式化，并提出一个有效的CPBRE-FG方案。最后，我们在随机预言模型中证明了它对选择密文攻击（CCA）的安全性。 关键词：条件代理重加密；代理广...