۲۱ نتیجه برای حمله
بهروز ترک لادانی، امیر جلالی بیدگلی،
دوره ۳، شماره ۲ - ( ۱۲-۱۳۹۳ )
چکیده
اعتماد و شهرت، مفاهیمی شناختهشده در علوم اجتماعی هستند که امروزه در قالب سامانههای اعتماد، کاربردهای روزافزونی در علوم رایانه و ارتباطات پیدا کردهاند. این سامانهها با ارائۀ مدلی محاسباتی و بر پایه مجموعهای از تجربیات و توصیهها، مقادیر اعتماد (یا شهرت که نوع خاصی از اعتماد است) را محاسبه میکنند. این مقادیر به موجودیتها در شناسایی و سپس منزوی ساختن موجودیتهای غیردرستکار جامعه یاری میرساند. انتظار بر آن است که مقادیر اعتماد، میزان درستکاری هر موجودیت را نمایش دهد که درنتیجه یک موجودیت با اعتماد پایین با احتمال بالایی یک موجودیت بدخواه یا خودخواه خواهد بود. از سامانههای اعتماد بهعنوان مهمترین ابزار در نسل جدید روشهای امنیتی به نام امنیت نرم نام بردهاند. باوجود کاربردهای گسترده، این سامانهها در مقابل برخی حملات آسیبپذیر هستند. این حملات دنبالهای از رفتارهای گمراهکننده و ریاکارانه توسط موجودیتهای بدخواه هستند که قادر به فریب مدل محاسبه اعتماد و درنتیجه افزایش یا کاهش مقادیر اعتماد به نفع حملهکنندگان خواهد بود. یک سامانه اعتماد آسیبپذیر، نه تنها ابزار تصمیمیار مناسبی برای موجودیتها نیست؛ بلکه ممکن است به ابزاری در دست حملهکنندگان جهت افزایش قدرت حملاتشان تبدیل شود، از این رو لازم است پیش از استفاده از یک سامانه، استحکام آن دربرابر حملات ارزیابی گردد. این مقاله به مرور و بررسی حملات اعتماد و روشهای موجود در ارزیابی استحکام سامانههای اعتماد در برابر آنها میپردازد. شبیهسازی و وارسی صوری، دو بستر اصلی جهت ارزیابی استحکام سامانههای اعتماد است. شبیهسازی که روش غالب در اکثر پژوهشهاست، روش تخمینی است که در هر بار تنها قادر است چند مسیر اجرا را از سامانه بررسی کند. در مقابل در روشهای وارسی صوری، کل فضای حالت اجرای مدل جهت بررسی دارا بودن ویژگیهای امنیتی مورد نظر پوشش داده میشود؛ از این رو نتایج بهدست آمده با این روشها دقیق و قابل اثبات است. با وجود مزیتهای فراوان روشهای صوری بر روشهای شبیهسازی، پژوهشهای مرتبط با وارسی استحکام سامانههای اعتماد هنوز ناقص و در مراحل نخستین پژوهش هستند، هرچند این پژوهشها در سالهای اخیر رشد خوبی داشتهاند. در این مقاله این پژوهشها در کنار روشهای مبتنی بر شبیهسازی مرور و معایب و مزایای هر یک بررسی میشود.
دکتر معصومه صفخانی، اقای محمد امین ارغوانی،
دوره ۵، شماره ۲ - ( ۱۲-۱۳۹۵ )
چکیده
در سالهای اخیر بررسی امنیت سومین تابع چکیدهساز امن[۱] یکی از مهمترین موضوعات مورد توجه پژوهشگران حوزه رمزنگاری بوده است. توابع چکیدهساز در رمزنگاری کاربردهای متعددی دارند. از اینرو امنیت توابع چکیدهساز در مقابل حملات مختلف برای سامانههایی که از آن استفاده میکنند، بسیار مهم است. حملات و تحلیلهای متعددی تا امروز بر روی SHA-۳ اعمال شده است؛ اما تاکنون هیچکدام موفق به شکستن آن بهصورت نظری و یا در عمل نشدهاند. SHA-۳ بر اساس تابع کچک[۲] طراحی شده است. تابع کچک از خانواده توابع اسفنجی[۳] است. در این مقاله، با تمرکز بر حمله تحلیل خطای تفاضلی[۴] آخرین حملات و تحلیلهای مطرحشده بر روی SHA-۳ را بهصورت خلاصه مرور خواهیم کرد. بهصورت دقیقتر، در این مقاله، حملات مکعبی[۵]، خطای تفاضلی و همچنین حمله متمایزکنندههای مجموع صفر[۶] و پیشتصویر[۷]با استفاده از ساختارهای خطی[۸]شرح داده خواهند شد.
[۱] Secure Hash Algorithm ۳(SHA-۳)
[۴] Differential Fault Analysis(DFA)
[۶] Zero-sum Distinguisher
شادیه عزیزی، مائده عاشوری تلوکی، حمید ملا،
دوره ۵، شماره ۲ - ( ۱۲-۱۳۹۵ )
چکیده
در خدمات میتنی بر مکان با توجه به موقعیت مکانی کاربران، خدمات ارائه میشود. این خدمات میتواند توسط یک فرد یا گروهی از افراد استفاده شود؛ در هر دو حالت لازم است، مکان افراد برای فراهمکنندۀ خدمات آشکار شود، بنابراین بهمنظور تأمین امنیت کاربران، لازم است حریم مکانی آنها حفظ شود. از این رو راهکارهایی برای حفظ حریم مکانی افراد در هنگام استفاده از خدمات مبتنی بر مکان ارائه شدهاند. در این مقاله راهکارهای حفظ حریم مکانی گروهی از کاربران در هنگام استفاده از خدمات مبتنی بر مکان بررسی شدهاند که در آنها، گروهی از کاربران با حفظ حریم مکانی قصد استفاده از خدمات مبتنی بر مکان را دارند. راهکارهای موجود در دو دسته طبقهبندی و بررسی شدهاند؛ دستۀ نخست راهکارهای فردی هستند که حریم مکانی فرد را با همکاری گروه کاربران مجاور حفظ میکنند و دستۀ دوم راهکارهای گروهی یافتن نزدیکترین همسایۀ گروهی با حفظ حریم مکانی هستند. در ادامه، روشهای موجود از نظر کارایی و امنیت مقایسه شده و چالشهای آنها بررسی میشود؛ درنهایت پیشنهادهایی برای راهکارهای آینده ارائه خواهد شد.
سپیده نیک منظر، محمد حسام تدین،
دوره ۶، شماره ۱ - ( ۶-۱۳۹۶ )
چکیده
با توجه به استفاده روزافزون از سامانههای هوشمند همراه در بین اقشار مختلف جامعه و قابلیتهای بسیاری که دستگاههای تلفن همراه در اختیار کاربران قرار میدهند، تضمین امنیت سامانههای هوشمند همراه حائز اهمیت است. یکی از مواردی که امنیت سامانههای هوشمند را بهخطر میاندازد، کانالهای عرضه و توزیع برنامکها یا «فروشگاههای برنامک» هستند. بسیاری از سازمانها به یک روش ارزیابی ریسک جهت حفاظت از داراییهای خـود نیاز دارند؛ لذا، شناسایی ریسکهای امنیتی موجود در زیست بوم توزیع برنامک ضروری است. هدف این مقاله، شناسایی تهدیدها، آسیبپذیریها و مهمترین ریسکهای امنیتی در حوزه توزیع برنامکهای سامانه هوشمند همراه است. ابتدا مدلی از زیستبوم برنامک ارائه شده و سپس تهدیدات امنیتی براساس تحلیل STRIDE معرفی میشوند. در انتها نیز ریسکهای امنیتی موجود در زیستبوم توزیع برنامکها شناسایی خواهند شد.
شادیه عزیزی، مائده عاشوری تلوکی، حمید ملا،
دوره ۶، شماره ۱ - ( ۶-۱۳۹۶ )
چکیده
در حوزه امنیت اطلاعات، انجام محاسبات ریاضی بر روی دادههای خصوصی بهصورت امن و گروهی (محاسبات چندسویه امن) بیش از پیش مورد توجه قرار گرفته است. نخستینبار، محاسبات چندسویه امن، در قالب مسئله میلیونرها مطرح شد که در آن دو میلیونر بدون افشای میزان سرمایه خود و بدون استفاده از طرف سوم مورد اعتماد، قصد داشتند بدانند کدامیک ثروتمندتر است. پس از آن مسائل دیگری در حوزه محاسبات چندسویه امن مطرح شد. در این پژوهش مسئله جمع چندسویه امن، در نظر گرفته شده است؛ در جمع چندسویه امن گروهی از کاربران قصد محاسبه مجموع داده محرمانه خود را دارند؛ بهطوریکه محرمانگی دادههای آنها حفظ شود. در این مقاله پیشینهای از راهحلهای موجود در این حیطه بررسی و مقایسه شدهاند. بهعلاوه چالشهای موجود در این زمینه بررسی و پیشنهادهایی جهت راهکارهای آینده ارائه شدهاند.
مریم طائبی، علی بهلولی، مرجان کائدی،
دوره ۶، شماره ۲ - ( ۱۲-۱۳۹۶ )
چکیده
در حملات انگشتنگاری تارنما، مقصد ارتباط کاربر بدون رمزگشایی محتوای ترافیک، با استفاده از روشهای تحلیل ترافیک شناسایی میشود. در این حملات، بهطورمعمول کاربران از یکی از تکنولوژیهای روز (شبکههای گمنامی، پراکسیها یا VPNها) برای پنهان کردن محتوای ترافیک و مقصد واقعی خود استفاده میکنند. با استخراج مجموعهای از ویژگیها از دنباله ترافیک ورودی، حمله آغاز میشود؛ سپس دادهها پیشپردازش میشوند و در نهایت، از یک الگوریتم یادگیری ماشین برای شناسایی مقصد ترافیک کاربر استفاده میشود. پژوهشهای متنوعی در زمینه شناسایی مقصد ترافیک یا به طور واضحتر، تعیین صفحه وب مرورشده توسط کاربر با بهرهگیری از روشهای شناختهشده دستهبندی در حوزه یادگیری ماشین انجام گرفتهاست. در این مقاله، مروری جامع بر روشهای انگشتنگاری تارنما انجام میشود که در آن، پژوهشهای فوق بر اساس ویژگیهای مورد استفاده برای انگشتنگاری، دستهبندی میشوند. این نوع دستهبندی با دیدگاهی تازه انجام میشود که بنابر دانش ما، تاکنون بر روی پژوهشهای یادشده صورت نگرفته است.
میثم مرادی، مهدی عباسی،
دوره ۷، شماره ۲ - ( ۱۲-۱۳۹۷ )
چکیده
سالیان زیادی، تحلیلرمز بهعنوان موضوعی جذاب در جهت بهمخاطرهانداختن امنیت و استحکام یک الگوریتم رمزنگاری مورد توجه قرار گرفته است. الگوریتم رمزنگاری SDES، یک الگوریتم رمزنگاری متقارن است که عملیات رمزنگاری را با استفاده از یک کلید، انجام میدهد. در دنیای رمزنگاری، الگوریتمهای جستجوی متعددی جهت تحلیل رمز وجود دارد. در این پژوهش از الگوریتم جستجوی حمله فراگیر بهعنوان یک الگوریتم جستجوی کامل، از الگوریتم ژنتیک بهعنوان یک الگوریتم هوش تکاملی و از الگوریتم بهینهسازی توده ذرات بهعنوان یک الگوریتم هوش جمعی استفاده شده است. همراستا با این الگوریتمها، یک الگوریتم ژنتیک پیشنهادی نیز با تنظیم و طراحی ابتکاری پارامترها و طراحی الگوریتمی جهت کشف کلید رمز نیز معرفی و سعی شده است، عملکرد الگوریتمهای مختلف جهت تحلیل رمز الگوریتم رمزنگاری SDES مورد ارزیابی قرار بگیرد.
جواد علیزاده، محسن صدیقی، هادی سلیمانی،
دوره ۸، شماره ۲ - ( ۱۲-۱۳۹۸ )
چکیده
پیشرفت فناوریهای اطلاعاتی و ارتباطی در عصر حاضر سبب استفاده از سامانههای نوین مانند تلفن همراه هوشمند شده است. این سامانهها که دسترسی و آزادی عمل بیشتری در مقایسه با سایر سامانهها به مهاجم میدهند، منجر به تعریف مدل رمزنگاری جعبه سفید میشوند. در این مدل تلاش میشود تا کلید رمزنگاری در یک نوع پیادهسازی الگوریتم رمزنگاری پنهان شود. روش تحلیل محاسبات تفاضلی یک نوع حمله کانال جانبی است که روی طرحهای رمزنگاری جعبه سفید مطرح شده است. اهمیت این روش تحلیل از این جهت قابل تأمل است که توانست تمام طرحهای جعبه سفید ارائهشده در زمان خودش را بشکند. روش تحلیل محاسبات تفاضلی که یک روش تحلیل نرمافزاری است، شباهتهایی با روش تحلیل توان تفاضلی دارد که یک نوع حمله کانال جانبی شناختهشده در حوزه سختافزاری است. در این مقاله به معرفی اصول کلی و نحوه انجام عملی روش تحلیل محاسبات تفاضلی پرداخته شده است. برای این منظور ابتدا این روش تحلیل بهصورت نظری معرفی، سپس مراحل انجام آن تشریح میشود.
مسعود محمدعلیپور، سعید شکرالهی،
دوره ۹، شماره ۱ - ( ۶-۱۳۹۹ )
چکیده
اغلب شبکههای فاقد زیرساخت ثابت مبتنی بر رایانش ابری با چالشهای امنیتی مختلفی روبهرو هستند. در سالهای اخیر، روشهای متفاوتی از شبکه نرمافزار محور توزیعشده جهت مقابله با این چالشها بهره بردهاند. این فناوری ضمن داشتن قابلیتهای فراوان، مقابل برخی تهدیدات و عوامل مخرب رایج از قبیل حمله منع سرویس توزیعشده با آسیبپذیریهایی روبهرو است. بررسی پژوهشهای مختلف نشان میدهد که بهمنظور رفع آسیبپذیریها، نیازمند تلفیق راهحلهای دفاعی مناسب با ساختار شبکه نرمافزارمحور توزیعشده هستیم؛ بنابراین در این مقاله یک دستهبندی کلی از انواع راهحلهای دفاعی در برابر حملات بالا ارائه کردیم. در ادامه ضمن طبقهبندی راهحلهای تشخیص نفوذ به دو دسته آستانهای و غیرآستانهای، برخی مثالهای کاربردی از راهحلهای فوق را بررسی کردیم. به این نتیجه رسیدیم که آستانهایبودن روش تشخیص نفوذ، میزان آسیبپذیری را تشدید میکند و ما ملزم به استفاده از راهحلهای دفاعی غیرآستانهای با معماری شبکه نرمافزار محور توزیعشده مسطح هستیم.
عطیه محمدخانی، فاطمه فرجی دانشگر، مقصود عباسپور،
دوره ۱۰، شماره ۱ - ( ۶-۱۴۰۰ )
چکیده
امروزه شبکه های بات به عنوان یکی از مهم ترین تهدیدات در امنیت اینترنت مطرح هستند. تاکنون تحقیقات بسیاری برای تشخیص شبکه های بات صورت گرفته است. دسته ای از روش های تشخیص شبکه های بات مبتنی بر رفتار، از ویژگی های آماری برای تشخیص ترافیک نرمال بات استفاده می کنند. در اکثر این روش ها، ویژگی های آماری مربوط به اندازه طول بسته ها و زمان بندی جز ویژگی های اصلی می باشد. در یک شبکه بات، یک مهاجم می تواند با دستکاری این ویژگی ها، رفتار یک شبکه نرمال را تقلید کند. در این مقاله با تغییر اندازه طول بسته های بات بر اساس توزیع نرمال P۲P ،یک شبکه بات P۲P تقلیدی ارائه شده است که در آن توزیع طول بسته های بات و ویژگی های رفتاری مربوط به اندازه طول بسته ها، مشابه با ترافیک نرمال می باشد. سپس میزان مقاومت و عملکرد روش های تشخیص شبکه بات P۲P مبتنی بر رویکردهای آماری موجود در برابر حمله تقلیدی مورد ارزیابی می گیرد. نتایج آزمایشات صورت گرفته، کاهش حدود ۲۸ الی ۶۳ درصدی نرخ تشخیص را نشان می دهد.
محمد نوروززادگان، فاطمه بابایی، سعدان زکایی،
دوره ۱۰، شماره ۱ - ( ۶-۱۴۰۰ )
چکیده
شبکه های کنترل صنعتی همواره بخش اصلی زیرساخت یک کشور محسوب می شوند و هرگونه آسیب رساندن به آنها می تواند آثار فاجعه باری را به همراه داشته باشد. تأمین امنیت این نوع از شبکه ها که امروزه به چالشی برای کشورها تبدیل شده است، از زمانی اهمیت پیدا کرد که نیروگاه اتمی نظنز قربانی این نوع از حملات شد. پس از آن شاهد افزایش این نوع از حملات بودیم چنانکه در سال ۲۰۱۵ حمله ای دیگر به زیرساخت برق کشور ترکیه صورت گرفت. بنابراین ما در این مقاله سعی کرده ایم مجموعه حملاتی که در یک شبکه ی کنترل صنعتی بعد از حمله ی مرد میانی قابلیت اجرا دارند را پیاده سازی کرده و سپس بر اساس عامل زمان، حداقل تأخیری که این حملات می توانند بر اساس پروتکل DNP۳ در یک شبکه ی کنترل صنعتی ایجاد کنند را به صورت تئوری بررسی کرده و نشان خواهیم داد که حملاتی که در شبکه های کامپیوتری مهم تلقی نمی شوند، در شبکه های کنترل صنعتی نقشی اساسی را ایفا می کنند.
وحید معراجی، هادی سلیمانی،
دوره ۱۰، شماره ۱ - ( ۶-۱۴۰۰ )
چکیده
دسته ی مهمی از حملات کانال جانبی با بهره بری از اختلاف زمانی موجود بین دسترسی پردازنده به اطلاعات حافظه ی اصلی و حافظه ی نهان، سعی بر استخراج مقادیر کلید سیستم رمز نگاری دارند. حمله ی زمانی برنشتاین یکی از حملات مهم مبتنی بر حافظه ی نهان محسوب می شود که قابل اعمال به پیاده سازی نرم افزاری AES است. حمله ی برنشتاین را می توان به دو مرحله ی مهم جمع آوری اطلاعات زمانی و استخراج مقادیر کلید از اطلاعات به دست آمده در مرحله ی اول تقسیم نمود. تا کنون روش های مختلفی برای بهبود حمله برنشتاین با تمرکز بر روی هر یک از مراحل این حمله جهت استخراج مقادیر بیش تر از کلید و یا اجرای حمله به ازای نمونه های اندازه گیری کم تر صورت گرفته است. فرض تمامی حملات ارائه شده، دسترسی مهاجم به آدرس های مجازی و در نتیجه داشتن دسترسی ریشه (access root) است. در این مقاله، روشی به منظور کاهش تعداد نمونه های اندازه گیری لازم برای اجرای حمله برنشتاین ارائه می کنیم که ویژگی مهم آن، عدم دسترسی به آدرس های مجازی بلوک های جداول مراجعه ی سیستم رمز نگاری است. به عبارت دیگر، ویژگی مهم روش ارائه شده این است که مهاجم نیازی به داشتن دسترسی ریشه در حین اجرای حمله ندارد. بر همین اساس در این مقاله نشان می دهیم، جلوگیری از دسترسی ریشه نمی تواند روش مناسبی به منظور جلوگیری از حمله برنشتاین باشد. روش ارائه شده به صورت عملی پیاده سازی و بر روی پردازنده ی Intel Core i۵-۴۲۰۰U اجرا شده است. نتایج عملی نشان می دهد نه تنها روش ارائه شده نیاز به دسترسی ریشه ندارد، بلکه تعداد نمونه های اندازه گیری مورد نیاز برای اجرای این حمله را از ۲۲۵ نمونه در مقاله اصلی به ۲۱۹ کاهش می یابد.
سید حمید باغستانی، فرخ لقا معظمی،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
شبکه ی برق سنتی مبتنی بر مصرف سوخت فسیلی است و خسارات زیادی را برای محیط زیست به همراه دارد. شبکه ی هوشمند، بستری است که به کمک آن می توان منابع تجدیدپذیر را با سیستم توزیع ادغام نمود و همچنین امکان برقراری جریان دوطرفه از انرژی و داده بین مدیران شبکه و مشترکین را در جهت مدیریت بهینه ی مصرف انرژی فرآهم کرد. با این حال، این جریان داده ممکن است توسط مهاجمین مورد استفاده قرار گیرد و موجب برهم زدن امنیت و عدم تعادل در شبکه شود. بنابراین، نیازمند به کارگیری پروتکل های امنیتی مختلف در این بستر خواهیم بود. پروتکل توافق کلید احراز اصالت شده، یکی از این پروتکل ها است که به کمک آن طرفین ارتباط یکدیگر را شناسایی کرده و یک کلید را برای رمز کردن داده ها به اشتراک می گذارند. ً اخیرا ژانگ و همکاران یک پروتکل توافق کلید احراز اصالت شده ی سبک مبتنی بر توابع چکیده ساز ارائه کردند که در این مقاله، ما پروتکل آن ها را مورد بررسی قرار می دهیم و نشان خواهیم داد که پروتکل آن ها در برابر حمله ی منع سرویس آسیب پذیر است و همچنین کارایی لازم برای پیاده سازی در بستر شبکه ی هوشمند را ندارد و در ادامه یک پروتکل سبک و امن، مبتنی بر توابع چکیده ساز ارائه می دهیم.
حمید قنبری، بهروز خادم، محمد جدیدی،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
کاربرد رمزهای سبک وزن و کم مصرف در اینترنت اشیا اجتناب ناپذیر شده است. اخیرا Midori۶۴ به دلیل مصرف توان بسیار کم در بین سایر رمزهای سبک وزن مورد توجه زیادی قرار گرفته است. امنیت Midori۶۴ از طرف حملات مختلفی از جمله حملات کانال جانبی مورد تهدید قرار گرفته است. یکی از انواع حملات کانال جانبی حمله تحلیل توان همبستگی است که در آن مهاجم با استفاده از نشت توان تراشه رمزنگاری و در حین اجرای الگوریتم، داده ی در حال پردازش و عملیات در حین اجرا می تواند کلید رمزنگاری را کشف کند. نقاب گذاری در برابر حملات تحلیل توان به عنوان یکی از موثرترین روش های مقاوم سازی الگوریتم های رمزنگاری شناخته شده است. هدف از نقاب گذاری بر هم زدن رابطه بین توان مصرفی و عملیات در حال انجام است. در این مقاله یک نسخه پیاده سازی شده رمز Midori۶۴ روی میکروکنترلر AVR مدل Atmega۳۲ مورد حمله تحلیل توان همبستگی قرار گرفته و کلید رمزنگاری با ۳۰۰ بلوک متن اصلی کشف شده است. پس از مقاوم سازی Midori۶۴ با روش نقاب گذاری بولی، مجددا این حمله انجام شده و نتایج به دست آمده از آزمایشات نشان داده که روش نقاب گذاری بولی می تواند مانع کشف کلید شود.
مجید ایرانپور مبارکه، بهروز ترک لادانی،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
امروزه تشخیص حملات سطح مرورگر چالشی جدی برای حفاظت از اطلاعات کاربران محسوب می شود. حمله فردی در مرورگر (MitB ،(نوع مهمی از این حملات است که با استفاده از تروجان ها می تواند منجر به تغییر در محتویات صفحه وب، مداخله در ترافیک شبکه، سرقت نشست و سرقت اطلاعات کاربر شود. در این مقاله ابزاری کارآمد برای شناسایی بلادرنگ حملات MitB از طریق تحلیل پویای صفحات وب بر اساس توصیف الگوی حملات ارائه می شود. مزیت ابزار پیشنهادی نسبت به روش های مشابه این است که محدود به شناسایی یک یا چند حمله خاص نیست و کد روش شناسایی در ابزار تعبیه نشده است، بلکه الگوی حملات مختلف به صورت جداگانه توصیف می شود. جهت ارزیابی ابزار ارائه شده، دو سرویس وب آسیب پذیر ارائه شده توسط OWASP که دارای طیف وسیعی از آسیب پذیری های شناخته شده هستند، به همراه چارچوب آزمون نفوذپذیری BeEF مورد استفاده قرار گرفت و مجموعه ای از حملات MitB به صورت عملی پیاده سازی ً و توسط ابزار مورد ارزیابی قرار گرفت. همین آزمایش ها با استفاده از سه ابزار مشابه دیگر نیز عینا انجام و با ابزار ارائه شده مقایسه شد. علاوه بر برتری ابزار ارائه شده از جهت استقلال توصیف حملات از خود ابزار، نتایج حاصل نشان دهنده بهتر بودن معیارهای دقت و بازخوانی تشخیص آن نسبت به ابزارهای مشابه است.
امیر اله دادی غیاث آبادی، ،
دوره ۱۱، شماره ۱ - ( ۶-۱۴۰۱ )
چکیده
با توسعه ی فناوری های اطلاعاتی و ارتباطی جدید مانند تحولات مربوط به کاربردهای اینترنت اشیا، اهمیت اطلاعات و حفظ امنیت آن بیش از پیش مورد توجه قرار می گیرد. پروتکل های توافق کلید و احراز اصالت نقش مهمی در تأمین امنیت اطلاعات دارند. یکی از مؤلفه های مهم که در بسیاری از کاربردهای اینترنت اشیا استفاده می شود، شبکه های حسگر بی سیم است که امنیت آن ها با استفاده از پروتکل های مناسب این شبکه ها تأمین می شود. در سال ۲۰۲۰ سیکاروار و داس یک پروتکل توافق کلید همراه با احراز اصالت برای شبکه های حسگر بی سیم ارائه و ادعا کردند این پروتکل در برابر حملات شناخته شده مانند حملات بازخوردی، کشف کلمه عبور و مردی در میانه امن است و با استفاده از آن می توان یک کلید را به صورت امن میان اعضای پروتکل به اشتراک گذاشت. در این مقاله نشان داده می شود کلید توافق شده با استفاده از پروتکل سیکاروار و داس، امن نیست و یک مهاجم می تواند به راحتی این کلید را به دست آورد. علاوه بر این نشان داده می شود پروتکل نمی تواند در برابر حملاتی مانند حمله ی کشف کلمه عبور و حمله ی جعل امن باشد.
صبا مرندی، فرخ لقا معظمی گودرزی،
دوره ۱۱، شماره ۲ - ( ۱۲-۱۴۰۱ )
چکیده
در زمینه ی پزشکی شبکه حسگر های پوششی شبکه ی حسگر هایی است که روی بدن یا داخل بدن انسان ها قرار می گیرند و سرویس های آسان و بهینه ای را برای بیماران و پرسنل پزشکی فراهم می کنند. اطلاعات فیزیولوژیکی بیماران بسیار حساس و شخصی می باشد، بنابراین تبادل آنها از طریق کانال نا امن نیازمند گمنا می ، عدم وابستگی و حفظ حریم خصوصی می باشد. علاوه بر این، شبکه حسگر های پوششی زیرمجموعه ای از شبکه اینترنت اشیا است که به دلیل داشتن منابع محدود نیازمند پروتکل های سبکی هستند که اصالت، تمامیت و صحت اطلاعات آنها را تضمین کنند، بنابراین پروتکل های زیادی برای تامین امنیت این بستر توسط محققان ارائه شده است که برخی از آنها دارای مشکلات امنیتی هستند. این موضوع باعث به وجود آمدن زمینه تحقیقاتی گسترده ای روی این مساله ها شده است. اخیراً آنکور گوپتا و همکارانش پروتکل احراز هویت متقابل و تبادل کلید سبکی را ارائه داده اند و امن بودن آن را در برابر حملات شناخته شده اثبات کرده اند. ما در این مقاله نشان می دهیم که پروتکل پیشنهادی آنها در برابر حمله جعل هویت گره حسگر دارای ضعف می باشد و لذا امنیت مورد نیاز این بستر را فراهم نمی کند و به ارائه طرحی برای جلوگیری از این امر می پردازیم.
مهندس ایمان میرزاعلی مازندرانی، دکتر نصور باقری، دکتر صادق صادقی،
دوره ۱۲، شماره ۱ - ( ۶-۱۴۰۲ )
چکیده
با گسترش روزافزون استفاده از یادگیری عمیق و شبکه های عصبی در علوم مختلف و موفقیت های حاصل از آن، در سال ۲۰۱۹ شبکه های عصبی عمیق برای تحلیل رمز تفاضلی اتخاذ شدند و پس از آن توجه فزایند های به این زمینه از تحقیقات جلب شد. اکثر تحقیقات انجام شده بر روی بهبود و بهکارگیری تمایزگرهای عصبی متمرکز هستند و مطالعات محدودی نیز در رابطه با اصول ذاتی و ویژگیهای یادگرفته شده توسط تمایزگرهای عصبی صورت گرفته است. در این مطالعه با تمرکز بر روی سه رمز قالبی Speck ، Simon و Simeck ، به بررسی فرایند و روش تحلیل رمزهای قالبی با کمک یادگیری عمیق خواهیم پرداخت. در این میان، عوامل مؤثر و مولفههای موجود در جهت دسترسی به عملکرد بهتر، واکاوی و مقایسه خواهند شد. همچنین با تشریح حملات و مقایسه نتایج، به این سوال پاسخ خواهیم داد که آیا از شبکه های عصبی و یادگیری عمیق م یتوان به عنوان یک ابزار کارا برای تحلیل رمزهای قالبی استفاده نمود یا خیر.
قدسیه کریمی، مرتضی عادلی، محمدعلی هادوی،
دوره ۱۳، شماره ۲ - ( ۱۰-۱۴۰۳ )
چکیده
با افزایش روز افزون استفاده از برچسب های RFID، نیاز به پروتکل های خاص برای مدیریت و ارتباط با این برچسب ها افزایش می یابد. در این بین، پروتکل انتقال مالکیت اشیاء که امنیت و حریم خصوصی اشیا را ً برای مالک جدید پس از تغییر مالکیت تأمین می کند، از اهمیت بسیاری برخوردار است. اخیرا یک پروتکل سبک وزن انتقال مالکیت اشیا در شبکه های RFID ارائه شده است. این پروتکل از یک تابع سبک وزن خطی برای تأمین امنیت خود استفاده می کند و طراحان این پروتکل مدعی هستند که در عین سبک وزن بودن، در مقابل حملات شناخته شده امن است. در این مقاله، ضعف های تابع استفاده شده در این پروتکل را شناسایی کرده و نشان می دهیم که این پروتکل در برابر حمله افشای راز آسیب پذیر است. همچنین نشان می دهیم که حداکثر با ۴ × L مرتبه اجرای پروتکل (L طول کلید است)، می توان با شنود داده های دریافتی، اطلاعات لازم را برای اجرای این حمله بدست آورد و سپس کلیدهای مشترک استفاده شده در پروتکل را بازیابی نمود.
فاطمه غلامی سبزوار، معصومه صفخانی،
دوره ۱۳، شماره ۲ - ( ۱۰-۱۴۰۳ )
چکیده
حفظ حریم خصوصی در سامانه های مراقبت بهداشتی، همواره مورد توجه بیماران و پزشکان بوده است. برای حل این مشکل پروتکل های بسیاری طراحی شده است. در این مقاله به بررسی طرح پیشنهادی نصر اصفهانی و همکاران پرداختیم و این طرح را از نظر امنیتی مورد بررسی قرار داده ایم. طرحی که آن ها پیشنهاد داده اند از یک زنجیره قالب های سلسله مراتبی سه لایه، برای ذخیره و نگهداری اطلاعات مهم پزشکی بیماران، به صورت متمرکز و ایمن، استفاده می کند. همچنین به کمک اثبات ناتراوا (ZKP) و روش امضای حلقه، نشان داده اند که طرح آنها امنیت داده های پزشکی را در برابر هم حملات داخلی و هم حملات خارجی حفظ می کند. طبق سناریوهای احتمالی، پروتکل نصر اصفهانی و همکاران توانسته است در برابر بسیاری از حملات، مانند حمله ذخیره سازی و حمله تکرار عملکرد خوبی را داشته باشد اما در برابر حمله نقض یکپارچگی آسیب پذیر است. احتمال موفقیت حملات ارائه شده در این مقاله برابر یک و پیچیدگی آن تنها یک بار اجرای پروتکل است.
