نام پژوهشگر: مهدی برنجکوب

بررسی و تحلیل روشهای همزمانی امن در شبکه حسگر بی سیم
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1389
  زهرا احمدی   مهدی برنجکوب

در سال های اخیر، توسعه فناوری ارتباطات بی سیم و امکان طراحی و ساخت حسگرهایی با توان مصرفی پایین، اندازه کوچک، قیمت مناسب و کاربری های گوناگون موجب کاربردهای وسیع شبکه های حسگر بی سیم شده است. از سوی دیگر محدودیت های این شبکه ها باعث گردیده است ملاحظات فراوانی جهت طراحی و استفاده از الگوریتم های گوناگون در آنها لحاظ شود. این محدودیت ها به سه دسته محدودیت انرژی، توانایی های پردازشی و کمبود حجم حافظه تقسیم بندی می شوند که همه آنها ناشی از رویکرد هر چه کوچک تر و ارزان تر نمودن گره های حسگر است. این محدودیت ها در کنار نیاز این شبکه ها به حفاظت از اطلاعات بسیار حساس، لزوم به کارگیری روش های امنیتی مبتکرانه و جدیدی را به وجود آورده است که بتوانند با حداکثر صرفه جویی در منابع شبکه، سطح مناسبی از امنیت را فراهم کنند. یکی از مسائل مهم در این شبکه ها همزمان نمودن گره های شبکه است. ساعت های دقیق و همزمان برای شبکه حسگر ارزش بیشتری نسبت به شبکه های دیگر دارند. اختلال در همزمانی حسگرها یکی از اهداف اولیه دشمن برای اخلال در این شبکه ها است. دشمن سعی می کند به طرق مختلف مانند اخلال در رسیدن پیغام های همزمانی، تغییر یا جعل آنها، تأخیر دادن به پیغام های حساس به زمان، تسخیر برخی گره ها و ارسال پیغام های همزمانی غلط توسط آنها مانع از همزمانی صحیح در شبکه شود. علاوه بر اینکه در مسئله همزمانی، امنیت اهمیت دارد در برخی کاربردهای امنیتی و رمز نگاری نیز به همزمانی نیاز است. بنابراین می توان گفت یک تعامل میان همزمانی و امنیت وجود دارد. یعنی همزمانی برای کاربردهای امنیتی و امنیت برای همزمانی. در این پایان نامه به مقوله دوم یعنی همزمانی امن توجه شده است. تاکنون روشی که بتواند همه نیازهای همزمانی و امن شبکه حسگر را به طور جامع پوشش دهد و در عین کار آمدی، در مقابل حملات داخلی و خارجی امن باشد ارائه نشده است. روشی که در این پایان نامه ارائه خواهد شد قادر است نیازهای یک پروتکل همزمانی را برآورده کند و علاوه بر آن در مقابل تهدیدات امنیتی مذکور مقاوم باشد. در این راستا ابتدا نیازهای شبکه حسگر در مبحث همزمانی امن و عدم کار آمدی روش های موجود بررسی شده است. آنگاه سعی شده یک پروتکل همزمانی با سربار ارتباطی کم، دقت مناسب و زمان همگرایی مطلوب ارائه شود و سپس تمهیدات امنیتی مناسب به آن اضافه شود. روش پیشنهادی از احراز اصالت در حالت همه پخشی برای جلوگیری از جعل و تغییر پیغام ها و از محاسبه و بررسی تأخیر برای جلوگیری از تأخیر عمدی آنها استفاده می کند. همچنین برای مقابله با گره های تسخیر شده از افزونگی استفاده می نماید. در انتها با استفاده از شبیه سازی، بررسی شده است که روش پیشنهادی دارای دقت و زمان همگرایی مناسب است و سربار ارتباطی و محاسباتی باعث کاهش کارایی آن به عنوان یک پروتکل همزمانی نشده است.

بهبود همبسته سازی هشدارهای امنیتی بر مبنای یک بازنمایی کارآمد از الگوهای حملات محتمل در سطح سازمان
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1389
  سید محمد صدیق اورعی   مهدی برنجکوب

از سیستم های تشخیص نفوذ برای شناسایی حمله ها در یک شبکه کامپیوتری استفاده می شود. حجم هشدارهای تولید شده توسط این سیستم ها بسیار زیاد است و مدیر شبکه از عهده بررسی آن ها بر نمی آید. این موضوع انگیزه ای برای تحلیل خودکار هشدارهای تولید شده ایجاد کرد. هدف از تحلیل خودکار هشدارها برطرف کردن چالش های سیستم های تشخیص نفوذ از قبیل: تعداد زیاد هشدارها، هشدارهای اشتباه، آگاهی سطح پایین از حملات و عدم وجود همبستگی بین هشدارها است. در حالت ایده آل یک هشدار از طرف سیستم همبسته ساز، مراحل مختلف یک حمله از آغاز تا هدف نهایی را مشخص می کند. از مهمترین ضروریات سیستم های تحلیل هشدار این است که پیچیدگی زمانی مناسبی برای کار در زمان برخط داشته باشند. از جدیدترین روش های همبسته سازی، روش های مبتنی بر آسیب پذیری های موجود در شبکه است. در این روش ها ابتدا آسیب پذیری های شبکه تحلیل شده و حمله های ممکن علیه شبکه استخراج می شود، سپس از این اطلاعات در همبسته سازی هشدارها استفاده می گردد. هر سوء استفاده برای اجرا نیاز به یک سری پیش نیاز دارد و بعد از اجرا پیامدهایی را ایجاد می کند که این پیامدها زمینه را برای حمله های بعدی آماده می کنند. با بررسی رابطه ی بین این سوءاستفاده ها می توان مسیرهای حمله احتمالی را استخراج کرد. در مدل پیشنهادی این پایان نامه سوءاستفاده های مرتبط با آسیب پذیری های شبکه استخراج شده و در قالب الگوهای ناامنی ذخیره می شوند. با بررسی پیامدها و پیش نیازهای این الگوهای ناامنی کلیه ارتباط های بین آن ها استخراج شده و در قالب یک گراف ذخیره می شوند. این گراف را گراف نوعی حملات نامگذاری می کنیم. با جستجو در گراف نوعی حملات کلیه ی مسیرهای ممکن برای تحقق هدف (های) نهایی حمله استخراج شده و به عنوان الگوهای حملات محتمل برای شبکه مورد نظر ذخیره می شوند. سپس هر هشدار تولید شده توسط سیستم تشخیص نفوذ به یکی از رأس های گراف نوعی حملات نگاشت شده و از الگوهای حملات ساخته شده برای همبسته کردن هشدارها و کشف سناریوهای حمله استفاده می شود. ساخت الگوهای حملات محتمل فقط یکبار و بعد از هر تغییر در شبکه به صورت برون خط انجام می شود و سپس از آن ها برای همبسته سازی هشدارها در زمان برخط استفاده می شود. کاربرد الگوهای حملات محتمل محدود به همبسته سازی هشدارها نیست. این الگوهای حمله در قسمت های مختلف مدیریت امنیت شبکه کاربرد دارند، از مهمترین این کاربردها می توان به ارزیابی مقاومت شبکه در مقابل حملات اشاره کرد.

پیاده سازی سریع سخت افزاری ضرب نقطه ای در امضای دیجیتال مبتنی بر خم بیضوی
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1389
  محمد علی فرمهینی فراهانی   مهدی برنجکوب

این تحقیق برآن است تا یک راه مناسب برای پیاده سازی سریع سخت افزاری ضرب نقطه ای در امضای دیجیتال مبتنی بر خم های بیضوی ارائه نماید. در هر سه بخش تولید کلید، تولید امضا و وارسی امضا، تنها چالش محاسباتی عملیات رمزنگاری خم های بیضوی، ضرب نقطه ای بر روی خم بیضوی در گستره میدان های متناهی می باشد. از این رو این پایان نامه به ارائه راهکارهایی به منظور بهینه سازی ضرب نقطه ای می پردازد که خود از دو قسمت جمع و دوبرابر کردن نقطه ای تشکیل شده است. برای انجام دو عمل جمع و دوبرابر کردن نقطه ای، با توجه به اینکه بعضی عملیات ریاضی در میدان های متناهی دودویی سریعتر قابل پیاده سازی بوده است، این میدان ها انتخاب شده اند. در این میدان ها نیاز به اعمال جمع، مجذور، کاهش، ضرب و معکوس گیری می باشد. با عنایت به اینکه عمل معکوس گیری زمانگیرترین عمل ریاضی در میان اعمال ذکر شده می باشد، مطابق روال متعارف بر آن شدیم تا به نحوی آن را با اعمال دیگر جایگزین کنیم که این مهم با تغییر مختصات به مختصات تصویری امکانپذیر است. در این تحقیق از مدل مختصات تصویری لوپز-دهاب استفاده می شود، زیرا در ازای برطرف کردن نیاز به عمل معکوس گیری، این روش کمترین تعداد ضرب چندجمله ای را به سیستم تحمیل می کند. بنابراین دیگر گلوگاه سیستم ضرب چندجمله ای می باشد که با ارائه راه حل-های پیشنهادی سعی می شود بدون مصرف زیاد فضا، سرعت افزایش یابد. شایان ذکر است که پیاده سازی های این تحقیق روی تراشه ی fpga، مدل virtex2 xc2v2000 سنتز شده است. در این تحقیق میدان متناهی دودویی از مرتبه 163 برگزیده شده است. بر اساس این انتخاب عملیات کاهش بهینه و از o(1) ارائه شده است. معماری پیشنهادی برای مجذورگیری نیز از مرتبه زمانی o(1) می باشد و در ضمن عمل کاهش که در ادامه مجذورگیری مورد نیاز است را نیز مرتفع کرده است. عمل جمع نیز یکی از اعمال پرکاربرد بوده که آن نیز از مرتبه زمانی o(1) ارائه شده است. در نهایت مهمترین واحد عملیاتی یعنی ضرب چندجمله ای با عنایت به محدودیت فضایی، از مرتبه زمانی o(n) طراحی شده و در نهایت خود واحد، نتیجه کاهش یافته را ارائه می نماید. در ادامه ی استفاده از این معماری ها و همچنین استفاده از مختصات تصویری و نیز کاستن تعداد یک های کلید خصوصی به وسیله روش naf معماری پیشنهادی ما عمل ضرب نقطه ای را تقریبا در 65 میکروثانیه انجام خواهد داد.

گمنام سازی پروتکل های مسیریابی در شبکه های اقتضایی سیار به منظور مقابله با حملات تحلیل ترافیک
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1390
  الهه شکل آبادی   مهدی برنجکوب

در دهه ی اخیر، تحقیقات در زمینه حفظ حریم خصوصی در شبکه های manet افزایش یافته است. نقض حریم خصوصی به منظور دستیابی به اطلاعات شخصی شبکه و اعضای آن هدف اصلی مهاجم در حمله تحلیل ترافیک می باشد. در واقع در حمله تحلیل ترافیک دشمن سعی دارد با مشاهده و بررسی الگوی ترافیک شبکه و تغییرات آن به اطلاعات ارزشمندی در مورد مشخصه-های ترافیک ارسالی مثل هویت طرفین ارتباط، فرکانس ارسال داده، هویت گره های روی مسیر، مکان و الگوی حرکت یک گره وغیره دست یابد. نشت چنین اطلاعاتی، بسیاری از سناریو هایی که از نظر امنیتی حساس می باشند را در معرض خطر قرار می دهد. از سوی دیگر، با در نظر گرفتن کاربردهای خاص manet، که به طور عمده در محیط های نظامی، شبکه های موقت کنفرانس ها و عملیات امداد و نجات به کار گرفته می شود، حفظ حریم خصوصی در این شبکه ها از اهمیت بالایی برخوردار است. یکی از شیوه-های موثر برای مقابله با حملات تحلیل ترافیک، پنهان نگه داشتن اطلاعات مسیریابی از دید مهاجم و حتی گره های مجاز شبکه است. تاکنون به منظور تأمین امنیت مسیریابی در manet، پروتکل های مسیریابی امن متعددی پیشنهاد شده اند اما یک پروتکل مسیریابی امن ذاتاً قادر به مقابله با حملات تحلیل ترافیک نمی باشد. بنابراین علی رغم وجود پروتکل مسیریابی امن برای manet، ارائه ی سرویس گمنامی توسط پروتکل مسیریابی در راستای مقابله با حملات تحلیل ترافیک به منظور پنهان نمودن اطلاعاتی مثل هویت گره های شبکه و توپولوژی شبکه الزامی است. هدف از این پایان نامه دسترسی به الگوریتمی بهبودیافته جهت مقابله با حملات تحلیل ترافیک می باشد. برای این منظور ابتدا حملات تحلیل ترافیک و شیوه های مقابله با آن ها در manet مورد بررسی قرار گرفته و دسته بندی شده اند. سپس به طور خاص، پروتکل های مسیریابی گمنام به عنوان یکی از روش های موثر برای مقابله با حملات تحلیل ترافیک مورد مطالعه و ارزیابی قرار گرفته اند. در این راستا تعدادی از پروتکل های مسیریابی گمنام موجود برای manet بررسی شده اند. نتایج حاصل از مطالعه و بررسی این پروتکل ها، امکان گمنام سازی پروتکل های مسیریابی موجود را آشکار نمود. به منظور دستیابی به پروتکل مسیریابی گمنام مطلوب، پروتکل مسیریابی پایه ی aodv و پروتکل مسیریابی aran ،که از یکی از شناخته شده ترین پروتکل های مسیریابی امن در manet می باشد، در این پایان نامه مورد توجه قرار گرفته است. پروتکل anonaodv به عنوان نسخه ی گمنام پروتکل aodv در راستای بهبود پروتکل گمنام pseudoaodv ارائه شده است. این پروتکل امکان ارائه ی سرویس های گمنامی در حضور مهاجمین غیرفعال سراسری را فراهم می آورد. پروتکل anonaodv صرفاً بر روی گمنام سازی aodv متمرکز شده است، در حالی که گمنام سازی پروتکل aran، منجر به دستیابی به یک پروتکل مسیریابی امن گمنام تحت عنوان aaran شده است. حفظ ویژگی های امنیتی پروتکل aran در کنار دستیابی به سرویس های گمنامی، خط مشی طراحی این پروتکل در نظر گرفته شده است.

مدیریت کلید در شبکه های حسگر بی سیم
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1390
  علی فانیان   مهدی برنجکوب

پیشرفت های اخیر در زمینه الکترونیک و مخابرات بی سیم، توانایی طراحی و ساخت حسگرهایی با توان مصرفی پایین، اندازه کوچک، قیمت مناسب و کاربری های گوناگون را به وجود آورده است. این حسگرهای کوچک که توانایی انجام اعمالی چون دریافت اطلاعات مختلف محیطی، پردازش اطلاعات و ارسال آن ها را دارند، موجب پیدایش ایده ای برای ایجاد و گسترش شبکه های موسوم به شبکه های حسگر بی سیم شده اند. یک شبکه حسگر متشکل از تعداد زیادی گره حسگر است که در یک محیط به طور گسترده پخش می شوند. با توجه به این که ممکن است گره های حسگر در محیط های عملیاتی ناامن قرار گیرند، مخصوصا در کاربردهای نظامی، امنیت یکی از پارامترهای مهم و ضروری در این شبکه ها است. از این رو سرویس های امنیتی نظیر احراز اصالت و محرمانگی باید در این شبکه ها مورد استفاده قرار گیرند تا بتوان از عملکرد گره ها و در نهایت شبکه مطمئن بود. ارائه این سرویس ها در سطح شبکه مستلزم وجود یک زیر ساخت امنیتی بین گره های شبکه است که به شکل مناسبی کلید های مشترکی را برای احراز اصالت و محرمانگی گره ها فراهم نماید. چارچوبی که طی آن نیازمندی فوق برآورده می شود را مدیریت کلید می گویند. در چند سال اخیر روش های زیادی برای مدیریت کلید در شبکه های حسگر بی سیم ارائه شده است. اهم پروتکل های ارائه شده مبتنی بر سه روش توزیع کلید تصادفی، blom و چند جمله ای متقارن هستند. برخی از این روش ها از همبندی محلی و مقاومت مناسبی در قبال افشای کلید برخوردار هستند اما نیاز به صرف منابع زیادی در گره های حسگر دارند به طوری که استفاده از آن ها در گره های حسگر مقدور نیست. در مقابل، برخی دیگر از این روش ها از نظر مصرف منابع مناسب هستند اما با چالش های امنیتی و یا کارایی روبرو هستند. در این رساله ابتدا با بررسی و شناخت چالش های فراروی شبکه های حسگر سعی در طراحی پروتکل های مدیریت کلیدی است که قابل به کارگیری در گره های حسگر باشند و همچنین کارآمدی و امنیت آن ها در سطح قابل قبولی باشد. به این منظور، پس از شناخت مسائل پیرامون مدیریت کلید در شبکه های حسگر چارچوبی برای طراحی پروتکل های مدیریت کلید جدید ارائه می گردد و به دنبال آن چهار پروتکل با نام های skep، kelr، hkep و hkey به منظور استفاده در کاربردهای مختلف ارائه می گردد. در پروتکل های پیشنهادی با استفاده از ساختارهای منظم در گروه بندی گره ها در شبکه سعی می شود دو گره قبل از هر گونه تماس با یکدیگر از امکان تولید کلید مشترک با یکدیگر با خبر باشند. برای ارزیابی کارایی پروتکل های پیشنهادی و اهم پروتکل های در دسترس پارامترهای مختلفی از قبیل همبندی محلی، حافظه مصرفی، امنیت کلید های ارتباطی در مقابل تبانی گره های تسخیر شده و انرژی مصرفی از طریق شبیه سازی و یا اثبات ریاضی مورد مقایسه قرار می گیرند. به منظور مقایسه عادلانه پروتکل ها از نظر میزان حافظه و انرژی مصرفی در گره ها، شرایط امنیت کامل در نظر گرفته می شود. از سوی دیگر برای اینکه بتوان با یک مقایسه اجمالی کارایی پروتکل های مختلف را مشاهده نمود، با انتخاب یک گره حسگر معروف مقدار پارامترهای تأثیرگذار در کارایی پروتکل های مختلف به طور سرجمع مورد مقایسه قرار می گیرند. نتایج بدست آمده نشان دهنده کارایی مناسب پروتکل های طراحی شده، به ویژه پروتکل hkey، نسبت به سایر پروتکل های موجود است.

تحلیل و همبسته سازی هشدارها و گزارش های امنیتی با استفاده از داده کاوی
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1390
  احمدرضا نوروزی   مهدی برنجکوب

این پایان نامه پیشنهاد طرحی را دارد که با استفاده از روشهای داده کاوی هشدارهای و گزارشهای تجهیزات امنیتی شبکه را تحلیل و همبسته سازی نماید

پیشنهاد یک طرح امن جهت دست به دست کردن بین سرویس دهندگان بی سیم اینترنتی در شبکه های چند اپراتوری
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1390
  مهدی شریفی سده   مهدی برنجکوب

نقش اینترنت در زندگی روزمره ی ما به سرعت در حال افزایش است. دسترسی فراگیر به سرویس اینترنتی یکی از خواسته های اصلی کاربران است. گاهی اوقات و به دلایل مختلف از قبیل ترافیک سنگین یا مشکلات فنی، سرویس دهنده (wisp) اصلی یک کاربر قادر به ارائه ی سرویس اینترنتی به وی نیست. اگر سرویس دهنده ی دیگری (سرویس دهنده ی جدید) در همان لحظه قادر باشد تا سرویس مورد نظر را به کاربر ارائه دهد، یک پیشنهاد قابل ارائه، انتقال کاربر به سرویس دهنده ی جدید است. در این پایان نامه یک طرح امن جدید جهت دست به دست کردن بین سرویس دهندگان بی سیم اینترنتی به منظور تغییر سرویس دهنده ی کاربر در شبکه های چند اپراتوری پیشنهاد می شود. این سرویس دهندگان متعلق به اپراتورهای مستقل از یکدیگرند. چهار پروتکل برای طرح پیشنهادی طراحی شده اند: پروتکل خرید نشانه، پروتکل دست به دست کردن و پرداخت، پروتکل تسویه حساب و واریز و پروتکل رفع اختلاف حساب. علاوه بر شیوه های قدیمی تر دسترسی به اینترنت، طرح پیشنهادی سرویس های روبه رشد بلادرنگ و تعاملی را نیز پشتیبانی می کند. طرح پیشنهادی از یک موسسه ی مالی واسطه (fi) به شکل برون خط برای انجام امور مالی مانند خرید نشانه، تسویه حساب و واریز استفاده می کند. شیوه ی پرداخت در طرح پیشنهادی به صورت نشانه-محور است که این نشانه ها توسط سرویس دهنده ی اصلی برای کاربر از fi و جهت پرداخت به سرویس دهنده ی جدید خریداری می شوند. سپس سرویس دهنده ی جدید می تواند این نشانه ها را نزد موسسه ی مالی واسطه نقد کند. از آن جا که جهت تولید نشانه ها از زنجیره های چکیده ساز استفاده می شود، هیچ زیانی به طرف های درگیر در مراحل تسویه حساب یا واریز وارد نخواهد شد. ضمن آن که هرگونه اختلاف حسابی بین موجودیت ها در این طرح قابل رفع است. شیوه ی ریزپرداخت استفاده شده در طرح پیشنهادی از طریق ارسال بیش از یک نشانه در هر بار پرداخت به خوبی به حالت درشت پرداخت قابل توسعه است. برای ارتباط امن کاربر با سرویس دهنده ی جدید از رمزنگاری کلید متقارن استفاده می شود. کلید مشترک بین کاربر و سرویس دهنده ی جدید بر طبق الگوریتم توزیع کلید دیفی هلمن بین آن ها به اشتراک گذاشته می شود. جهت رخداد دست به دست کردن دوم، یعنی زمانی که سرویس دهنده ی جدید نیز با مشکل روبه رو شده و قادر به ادامه ی ارائه ی سرویس به کاربر نیست، پروتکل "دست به دست کردن و پرداخت دوم" توسعه داده شد. پروتکل های طرح پیشنهادی به شکلی کارآمد طراحی شده اند و پروتکل "دست به دست کردن و پرداخت" انجام یک دست به دست کردن سریع و با حداقل تأخیر را ضمانت می کند. بعلاوه آن که طرح پیشنهادی سرویس های امنیتی احراز اصالت دو طرفه، گمنامی کاربر، غیر قابل ردگیری بودن کاربر، محرمانگی، انکار ناپذیری، جلوگیری از خرج دوباره و کنترل اشتراکی کلید جلسه را ارائه می دهد و در برابر حمله ی deposit-case که برخی از طرح های گردش قبلی در برابر آن آسیب پذیرشناخته شده اند امن است.

امضاهای دیجیتال حلقوی آستانه ای مبتنی بر شناسه
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1390
  فرشته شیروی   مهدی برنجکوب

از زمان مطرح شدن رمزنگاری مبتنی بر شناسه توسط شامیر، تاکنون تعداد زیادی امضای دیجیتال مبتنی بر شناسه پیشنهاد شده است. در سال 2001، ریوست و همکارانش مفهوم امضای حلقوی را معرفی کردند. امضای حلقوی یک امضای گروهی است که دارای دو ویژگی مهم و کلیدی یکبارگی و گمنامی امضاکنندگان است. خاصیت یکبارگی این اطمینان را می دهد که امضاکننده ی اصلی نیاز به همکاری سایر اعضای گروه برای تشکیل گروه و تولید امضا به نیابت از کل گروه ندارد. خاصیت فوق، این امضا را برای گروه های اقتضایی مانند شبکه های اقتضایی موبایل مناسب کرده است. خاصیت گمنامی بر مبهمی امضاکننده اشاره دارد به این معنا که امضای رسیده از جانب گروه، می تواند بدون فاش شدن هویت امضاکننده ی اصلی وارسی گردد. در بسیاری از کاربردها از قبیل انتخابات الکترونیکی، مزایده ی الکترونیکی، پروتکل های احراز اصالت و ... به منظور ناشناس ماندن امضاکننده برای جلوگیری از سوء استفاده ی دشمن و یا دیگر اعضای سیستم، لازم است شناسه ی وی مخفی بماند. به همین منظور، امضای حلقوی مناسب ترین روش برای استفاده در چنین مواردی است. امضای حلقوی آستانه ای (t, n)، نسخه ی آستانه ای امضای حلقوی است که در آن، t نفر از اعضای یک گروه n نفره با همکاری یکدیگر به صورت یکباره امضایی را به نیابت از کل گروه انجام داده به صورتی که هویت امضاکنندگان اصلی فاش نمی شود. در سال های اخیر طرح های امضای حلقوی مبتنی بر شناسه ی زیادی ارائه شده است. با توجه به این که در سیستم های رمزنگاری مبتنی بر شناسه که شامل انواع امضاها، روش های امن مبادله ی کلید، روش های شناسایی امن و ... می باشند، کلید خصوصی کاربران توسط شخص ثالثی(مرکز) تولید می شود ، همواره امکان جعل امضای کاربران از سوی مرکز تولید کلید وجود دارد. به دلیل کاربردهای امضای حلقوی، ممکن است مرکز به قصد سوء استفاده، پیام هایی را از جانب موجودیت ها امضا کرده و منتشر نماید. با توجه به ویژگی اصلی امضای حلقوی که همان خاصیت حفظ گمنامی امضاکننده ی اصلی است، ارائه ی راهکاری که بتواند جلوی جعل مرکز را به طور کامل بگیرد، بسیار مطلوب است. به همین دلیل، هدف از این پایان-نامه، ارائه ی راهکارهایی جهت جلوگیری از جعل امضای کاربران توسط مرکز است. برای نیل به این هدف، ابتدا مفهوم امضای حلقوی آستانه ای به طور کامل شرح داده شده و امکان جعل امضای کاربران توسط مرکز بررسی شده است. سپس برای جلوگیری از این امر، دو راهکار پیشنهاد شده است . در راهکار اول، امکان جعل امضای کاربر از سوی مرکز، دشوار شده ولی به صورت کامل گرفته نشده است. اما راهکار دوم به صورت کامل، از جعل امضا توسط مرکز، جلوگیری می کند. سپس در ادامه، امضای حلقوی آستانه ای جدیدی ارائه می شود که در آن از زوج نگارهای دوخطی استفاده نشده و امنیت آن برمبنای سختی مسئله ی rsa است. طرح پیشنهادی، دارای این ویژگی اضافی است که امضاکنندگان اصلی می توانند در یک زمان دلخواه، گمنامی خود را فاش کرده و به سایرین اثبات کنند که امضاکنندگان اصلی هستند. این طرح اولین طرح امضای حلقوی آستانه ای مبتنی بر شناسه بر مبنای rsa و بدون استفاده از زوج نگارهای دوخطی است.

تشخیص ناهنجاری در پروتکل مسیریابی aodv
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1391
  مسیح عابدینی   مهدی برنجکوب

شبکه های اقتضائی سیار به سبب ذات پویا، نبود زیرساخت، وجود کانال های بی سیم، پیش فرض همکاری بین گره ها و...، مستعد آسیب پذیری های امنیتی بسیاری می باشند. طی دهه ی اخیر پژوهشگران کوشیده اند نقایص امنیتی شبکه های اقتضائی سیار را با ارائه ی راهکارهای گوناگونی برطرف سازند، پیرو این هدف پژوهش های بی شماری در حیطه های مختلف انجام گرفته یا در حال انجام است. از جمله می توان به پژوهش در زمینه های: پروتکل های امن، مدیریت کلید، مدیریت اعتماد، سیستم های تشخیص نفوذ و... اشاره کرد. سیستم های تشخیص نفوذ در این گونه شبکه ها، پس از اقدامات پیشگیرانه(رمزنگاری، احراز اصالت و ...)، به عنوان دومین سد دفاعی در برابر حملات بدخواهانه، بکار می روند. تشخیص دقیق و سریع حملات، موجب کاهش آسیب به شبکه می شود. تحقیقات انجام شده بر روی سیستم های تشخیص نفوذ در شبکه های اقتضائی سیار را به دو رویکرد اصلی می توان تقسیم کرد: معماری سیستم های تشخیص نفوذ و موتورهای تشخیص نفوذ. موتورهای تشخیص نفوذ را نیز می توان به سه دسته ی: تشخیص سوءاستفاده، تشخیص ناهنجاری و تشخیص مبتنی بر مشخصه، تقسیم کرد. روش های تشخیص ناهنجاری به منظور کشف حملات بدخواهانه در این شبکه ها به علت جدید بودن محیط و ناشناخته بودن تعداد بی شماری از حملات جدید، از اهمیت بسزائی برخوردار است. همچنین عدم وجود داده های برچسب خورده ی ترافیکی و تولید پرهزینه ی این گونه داده ها برای شبکه های مدرن، استفاده از روش های آماری بدون نظارت را توجیه پذیر کرده است. در روش های متداول تشخیص ناهنجاری که تاکنون ارائه شده اند در ابتدا یک نمای بهنجار از ترافیک شبکه تشکیل شده و سپس عمل تشخیص ناهنجاری با توجه به نمای تشکیل شده، انجام می گرفته است. به علت تغییر هم بندی و پویایی بالای شبکه های اقتضائی سیار، تعریف یک نمای بهنجار ثابت و سپس استفاده از آن برای مدت طولانی، با ذات پویای این شبکه ها هم خوانی ندارد. در این پژوهش با استفاده از دو روش آماری بدون نظارت، دو موتور تشخیص ناهنجاری پویا معرفی می شوند. اولین موتور تشخیص ناهنجاری پویا مبتنی بر تحلیل مولفه های اصلی مقاوم است. استفاده از این روش، پیش فرض عدم وجود داده های جدا افتاده یا عدم فعالیت گره ی مهاجم در زمان تشکیل نمای بهنجار اولیه را مرتفع می سازد. همچنین نمای بهنجار در موتور تشخیص ناهنجاری، در زمان های معینی به روزرسانی می شود. در روش دوم، موتور تشخیص ناهنجاری از مدل مارکف پنهان بهره می برد. مدل مارکف پنهان برای تشخیص ناهنجاری در داده های دنباله ای به کار می رود. توانایی بالای مدل مارکف پنهان در مدل کردن فرایندهای گوناگون، استفاده از آن را به منظور تشخیص ناهنجاری در شبکه های گوناگون گسترش داده است. هر دو روش پیشنهادی شامل سه مرحله ی آموزش، تشخیص و به روزرسانی می باشند. در این پژوهش، با تمرکز بر لایه ی شبکه و یکی از متداول ترین پروتکل های مسیریابی معرفی شده، یعنی پروتکل مسیریابی aodvسعی در تعریف ویژگی های مناسب برای تشخیص ناهنجاری در لایه ی شبکه می کنیم. عملکرد روش های پیشنهادی با شبیه سازی مورد ارزیابی قرار می گیرد. نتایج حاصله از شبیه سازی موتور تشخیص ناهنجاری با استفاده از تحلیل مولفه های اصلی مقاوم، لزوم استفاده از pca مقاوم را تائید می کند. همچنین در هر دو روش، بکارگیری روش به روزرسانی نمای بهنجار، سبب بهبود نتایج شده است.

برقراری یک مدل اعتماد توزیع شده مقاوم جهت بکارگیری در شبکه های اقتضایی متحرک
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1391
  صادق بناری   محمد دخیل علیان

شبکه اقتضایی متحرک یک شبکه بی سیم متشکل از گره های متحرک است که بر خلاف شبکه های مرسوم به هیچ گونه زیرساخت از قبل معین و مدیریت متمرکزی متکی نیست. همانند شبکه های معمولی، به سرویس های امنیتی جهت تامین امنیت شبکه های اقتضایی نیازمندیم. بکارگیری هر سرویس امنیتی مستلزم تعریف یک مدل اعتماد است تا مشخص شود که چه کسی به چه کسی و چگونه اعتماد کند. در شبکه های مرسوم دارای زیر ساخت، معمولا یک طرف سوم مورد اعتماد متمرکز با انجام وظایفی مانند مدیریت کلید، سرویس های امنیتی را در شبکه برقرار می سازد. به علت ساختار خاص شبکه های اقتضایی، نمی توان از یک طرف سوم مورد اعتماد متمرکز در این شبکه ها استفاده کرد. بنابراین از طرف سوم مورد اعتماد توزیع شده برای فراهم آوردن سرویس های امنیتی مورد نیاز در شبکه های اقتضایی استفاده می شود. چهار عملیات تسهیم راز آستانه ای، امضای آستانه ای، به روز رسانی سهام و اضافه کردن عضو جدید، عملیات هایی هستند که به منظور برقراری یک طرف سوم مورد اعتماد توزیع شده مورد استفاده قرار می گیرند. در عملیات تسهیم راز آستانه ای، کلید خصوصی طرف سوم مورد اعتماد بین تعدادی از گره های شبکه که سرویس دهنده نامیده می شوند، تسهیم می شود. تسهیم کلید خصوصی به گونه ای انجام می گیرد که برای بازیابی راز باید حداقل تعداد آستانه ای از سرویس دهنده با هم همکاری داشته باشند. تسهیم راز به تنهایی برای مقابله با دشمن متحرک که قصد تسخیر آستانه ای از سرویس دهنده ها را دارد کافی نیست. به روز رسانی سهام یکی از بخش های اساسی در برقراری طرف سوم مورد اعتماد توزیع شده است که برای مقابله با دشمن متحرک از آن استفاده می شود. در این پایان نامه با ارائه حملاتی به برخی از پروتکل های به روز رسانی موجود، ناکارآمدی این پروتکل ها برای بکارگیری در شبکه اقتضایی نشان داده می شود. پس از آن یک پروتکل به روز رسانی مقاوم و سازگار با ویژگی های منحصر بفرد شبکه های اقتضایی، ارائه می شود. عملیات به روز رسانی در پروتکل به روز رسانی پیشنهادی به گونه ای است که سرویس دهنده ها در دسته های مستقل متشکل از آستانه ای از سرویس دهنده ها می توانند عملیات به روز رسانی سهام را انجام دهند. در مقایسه با سایر پروتکل های به روز رسانی موجود، پروتکل به روز رسانی پیشنهادی اولاً در مقابل حمله پیشنهادی مقاوم است و ثانیاً از کارآمدی بیشتری برخوردار است. سپس با بکارگیری پروتکل به روز رسانی پیشنهاد شده یک مدل اعتماد مقاوم برای بکارگیری در شبکه های اقتضایی ارائه می شود.

دسته بندی هشدارها بر اساس نوع حمله در سیستم های تشخیص نفوذ
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1391
  زینب ابویی مهریزی   سید رسول موسوی

برای ایجاد امنیت در شبکه های کامپیوتر، سیستم های تشخیص نفوذ پیشنهاد شده اند تا در صورتی که نفوذگر از سایر تجهیزات امنیتی عبور کرد، بتواند آن را تشخیص داده و از پیش روی آن جلوگیری کند. سیستم های تشخیص نفوذ دارای چالش های زیادی هستند، از جمله این که این سیستم ها با گذر زمان کارایی خود را از دست می دهند. ما در این پایان نامه روشی را پیشنهاد داده ایم که هشدارهای تولید شده در سیسنم های تشخیص نفوذ را به پنج کلاس normal، dos، probe، r2l و u2r تقسیم می کند. همچنین سیستم پیشنهادی هر چند وقت یکبار به صورت خودکار و با کمک تحلیل گر سیستم به روز می شود.

تجزیه و تحلیل گمنامی در شبکه های اقتضایی خودرویی و ارائه ساز و کار امن، مقاوم و مقیاس پذیر برای تبادل پیام های ایمنی در آن
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1391
  محدثه احمدی پناه مهرآبادی   مسعودرضا هاشمی

همراه با پیشرفت روز افزون فناوری ارتباطات ، نیاز به ارتباط کارآمد بین وسایل ارتباطی بی سیم و متحرک حائز اهمیت شده است. در این راستا توسعه و پیاده سازی شبکه های بی سیم در دهه اخیر گسترش یافته است که شبکه اقتضایی خودرویی (vanet) از جمله این شبکه ها می باشد. در vanet انواع مختلفی از اطلاعات از جمله اطلاعات ایمنی می تواند بین خودروها مبادله شوند. یکی از مهمترین چالش های امنیتی برای این گونه شبکه ها گمنامی است. تا کنون به منظور تحقق گمنامی راه حل های متنوعی ارائه شده اند که از جمله آن ها می توان به روش های گمنام سازی مبتنی بر گواهی نامه گمنام، روش های گمنام سازی مبتنی بر امضای گروهی و روش-های گمنام سازی مبتنی بر اسامی مستعار اشاره کرد. اگر چه گمنامی مهم است امّا گمنامی بدخواهانه نیز می تواند مشکل ایجاد کند. به این صورت که خودروی عضو شبکه، با انتشار اطلاعات ترافیکی جعلی ممکن است جان رانندگان دیگر را به مخاطره اندازد. لذا وجود سامانه ای که علیرغم گمنام بودن خودروها در شبکه بتواند درستی سنجی داده گزارش شده را تعیین کند، ضروری است. پس از آن که بدرفتاری یک گره مبنی بر عملکرد نادرست وی در شبکه محرز شد بایستی بتوان گمنامی را نقض کرد. بدین ترتیب می توان خودرو بدرفتار را توسط مراجع قانونی ردیابی کرد و برای وی جریمه در نظر گرفت و از انتشار اطلاعات ترافیکی جعلی جلوگیری کرد. به گمنامی با شرایط فوق گمنامی شرطی اطلاق می شود. ردیابی خودروها به هنگام بروز تصادفات جاده ای یکی از کاربردهای گمنامی شرطی می باشد. راه حل های متنوعی برای تشخیص بدرفتاری در شبکه ارائه شده اند. این راه حل ها در دو دسته موجودیت محور و داده محور تقسیم می شوند. در روش های موجودیت محور برای درستی سنجی داده گزارش شده تنها به نقش خودروها و تاریخچه ای که در شبکه تکیه می شود، امَا در روش های داده محور علاوه بر در نظرگرفتن نقش خودروهای گزارش دهنده به پارامترهای موجود در گزارش از جمله فاصله خودروگزارش دهنده از رویداد گزارش شده نیز توجه می شود. هدف این پایان نامه ارائه یک سازوکار داده محور امن، مقاوم و مقیاس پذیر مبتنی بر دو زیرساخت اختصاصی و ارتباطات مستقیم بین خودرویی برای تبادل پیام های ایمنی در vanet است به نحوی که نیازمندی های اساسی شبکه از جمله گمنامی شرطی برآورده شود. در ساختار روش پیشنهادی به منظور تحقق ویژگی گمنامی از روش مبتنی بر اسامی مستعار استفاده شده است و برای مدیریت اسامی مستعار از سیستم سامانه ثبت کلید عمومی (pkr) استفاده می شود که در مقایسه با زیرساخت کلید عمومی pki)) مقیاس پذیر و کارآمدتر است. راه حل پیشنهادی دارای این ویژگی است که با حداقل مفروضات نسبت به سایر روش های مقاوم در برابر حمله sybil، از خود مقاومت نشان می دهد. از سوی دیگر روش پیشنهادی به راحتی قادر است اطلاعات مکانی غلط را تشخیص دهد، همچنین از آن جا که در انتخاب شواهد بر نقش و جهت خودروها و فاصله ای که از رویداد دارند، توجه می کند و برای شواهد جمع آوری شده به بررسی صحت اطلاعات مکانی گزارش شده می پردازد، در نتیجه نسبت به سایر روش های مبتنی بر رأی اکثریت با تعداد شواهد کمتری قادر به تصمیم گیری راجع به درستی رویداد گزارش شده خواهد بود. نتایج مقایسه طرح پیشنهادی با سایر روش های برقراری اعتماد داده محور به لحاظ کارآمدی و برآورده کردن نیازمندی های امنیتی نشان از برتری روش پیشنهادی دارد.

کاربرد پذیری کارت های گرافیکی در سیستم های تشخیص نفوذ پرسرعت
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1391
  پیام مهدی نیا   مهدی برنجکوب

سیستم تشخیص نفوذ شبکه ای به عنوان جزیی از چارچوب امنیت اطلاعات تلقی می شود که وظیفه اصلی آن پویش فعالیت های شبکه ای و تمایز بین فعالیت های نرمال و غیر نرمال در شبکه است. روش های تشخیص نفوذ به طور کلی در دو دسته تشخیص مبتنی بر امضا و تشخیص ناهنجاری قرار می گیرند. سیستم های مبتنی بر تشخیص ناهنجاری برای کشف حملات ناشناخته مورد استفاده قرار می گیرند؛ اما غالباً با میزان بالایی از هشدارهای مثبت کاذب همراه هستند. در مقابل سیستم های مبتنی بر امضا هر چند در تشخیص حملاتی که امضای آن ها را ندارند ناتوان هستند، اما نوعاً دقت بالاتری نسبت به سیستم های تشخیص نفوذ مبتنی بر ناهنجاری دارند. از این رو غالب سیستم های تشخیص نفوذ تجاری از روش تشخیص مبتنی بر امضا پشتیبانی می کنند. افزایش سرعت خطوط شبکه ای و حجم زیاد تهدیدات اینترنتی، سیستم های تشخیص نفوذ شبکه ای مبتنی بر امضا را که باید بر روی هر بسته دریافتی از شبکه بررسی های تطبیقی و زمان گیر صورت دهند، با چالش نرخ گذردهی مواجه نموده است. در یک سیستم تشخیص نفوذ شبکه ای مبتنی بر امضا، مهم ترین و زمان برترین فرایند، انجام عملیات تطبیق الگو و بررسی عمیق بدنه و سرآیند بسته ها است. بررسی های مختلف نشان می دهد که این فرایند تا 75 درصد از زمان پردازش بسته ها را در بر می گیرد. در این تحقیق با تکیه بر توان محاسباتی کارت های گرافیکی همه منظوره – که از جنبه های سرعت، مقیاس پذیری، انعطاف پذیری، سهولت برنامه نویسی و قیمت از دیگر فناوری های سخت افزاری مانند fpga، مناسب تر به نظر می آیند - و با ایده انتقال موتور تشخیص مبتنی بر امضای سیستم های تشخیص نفوذ از cpu به gpu، تلاش شده که روشی کارا جهت افزایش سرعت سیستم های تشخیص نفوذی چون snort ارایه گردد. در روش پیشنهادی طرحی ارایه شده است که فرایند تطبیق بدنه و تطبیق سرآیند بسته ها را در بستر یک معماری موازی بر روی gpu انجام می دهد. این طرح با بهره گیری از ترکیب روش های مختلف موازی سازی، همچون تکنیک خط لوله، استفاده از معماری simd کارت گرافیکی و کتابخانه openmp بسته های ورودی را پردازش کرده و شرایطی را فراهم آورد که به واسطه آن وجود موتور تشخیص مبتنی بر امضای snort که زمان گیرترین بخش آن به حساب می آید، تاثیر تقریبا ناچیزی در افزایش زمان کار کل سیستم داشته باشد. به کمک طرح پیشنهادی، سیستم تشخیص مبتنی بر امضای snort می تواند وابسته به ترافیک ورودی، از 4/3 تا 10/8 برابر سریع تر شود.

تشخیص اطلاعات غلط در شبکه های اقتضایی خودرویی
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - پژوهشکده برق و کامپیوتر 1392
  عباس میرحیدری   محمد علی منتظری

موفقیت و عملکرد صحیح سیستم های بی سیمی که از حسگرها برای جمع آوری اطلاعات استفاده می کنند، به کیفیت داده های جمع آوری شده بستگی دارد. اطلاعات غلط یکی از مهم ترین عوامل تأثیر گذار بر کیفیت داده ها می باشد که می توان آن ها را برخاسته از عللی نظیر خرابی حسگرها، کانال ارتباطی غیر مطمئن و یا حسگرهای به تسخیر درآورده شده دانست. شبکه های اقتضایی خودرویی نمونه ی پویایی (به علت تغییرات سریع توپولوژی) از این گونه سیستم ها هستند که با هدف اصلی افزایش سطح ایمنی مسافرین و جاده ها معرفی شده اند. در این شبکه ها، خودروها به وسایلی نظیر کامپیوتر، انواع حسگرها، سیستم موقعیت یاب جهانی و رابط بی سیم مجهز می شوند و اطلاعات ضروری جاده ها از طریق ارتباطات خودرو به خودرو و خودرو به تجهیزات کنار جاده ای، منتشر می شود. در این شرایط خودروهای بدخواه ممکن است اقدام به شایعه پراکنی و انتشار اطلاعات غلط کنند. به عنوان مثال گزارش کردن یک رخداد غیر واقعی مانند ترمز ناگهانی می تواند باعث اتخاذ تصمیمات نادرست و حرکات اشتباه از سوی خودروهای دریافت کننده ی گزارش شود که در اکثر موارد می تواند منجر به حوادث جبران ناپذیری بشود. بنابراین یک مسئله اساسی به منظور حفظ ایمنی در شبکه های اقتضایی خودرویی اینست که چگونه می توان به پیام های دریافت شده اعتماد پیدا کرد و یا به بیان دیگر چگونه می توان اطلاعات غلط را تشخیص داد. برای حل این مسئله معمولا از روش های مدیریت اعتماد استفاده می شود. بسیاری از روش های ارائه شده از مدل های اعتماد شهرت-محور (توزیع شده) که از شبکه های اقتضایی سیار گرفته شده است، استفاده کرده اند. اما این مدل ها در شبکه هایی که دارای توپولوژی ناپایدار هستند، عملکرد ضعیفی دارند. برخی دیگر از روش های ارائه شده از مدل های اعتماد داده-محور بهره گرفته اند. این مدل ها نیز در برابر حمله تبانی و همچنین در مناطق خلوت نتایج ضعیفی را نشان می دهند. بر اساس تحقیقاتی که تا کنون صورت گرفته، ارائه ی یک سیستم اعتماد توزیع شده ی محض جهت تشخیص اطلاعات غلط در شبکه های اقتضایی خودرویی که از استحکام کافی برخودار باشد و هنگام تغییرات سربع توپولوژی کارایی خود را از دست ندهد، تقریبا غیرعملی است. در این پایان نامه، یک سیستم تشخیص اطلاعات غلط برای شبکه های اقتضایی خودرویی پیشنهاد شده است که در آن، سابقه ی راستگویی خودروها در قالب یک عدد حقیقی بین 0 و 1 در پایگاه داده مشترک rsuها قرار داده می شود و هر خودرو به صورت دوره ای سابقه ی خود را از نزدیک ترین rsu دریافت می کند. هر خودرو هنگام ارسال گزارش هایش، شناسه خودروهای اطرافش و سابقه خود را به گزارش ها الحاق می کند. گیرنده ی گزارش ها بر اساس رده و سابقه ی خودروی گزارش دهنده و همچنین بر اساس درصد همسایه های خودروهای گزارش دهنده که گزارش او را تأیید کرده اند، گزارش را اعتبارسنجی می کنند. از آنجا که اعتماد، یک مسئله عدم قطعیت بشمار می رود و منطق فازی از بهترین روش های حل چنین مسائلی است، از استدلال فازی برای فرموله کردن شواهد و اعتبارسنجی پیام ها استفاده شده است. بعد از اعتبارسنجی گزارش ها اگر مشخص شود خودرویی گزارش غلط ارسال کرده، rsu وزن او را کاهش می دهد. نتایج شبیه سازی ها نشان می دهند که سیستم پیشنهاد شده در این پایان نامه جهت تشخیص اطلاعات غلط، حتی در شرایطی که سرعت خودروها و میزان تبانی در شبکه زیاد باشد دارای دقت بسیار بالایی است.

بررسی و تحلیل زیر لایه امنیت استاندارد ieee 802.16
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده مهندسی برق و کامپیوتر 1386
  نوید نصیری زاده   مهدی برنجکوب

به دنبال توسعه شبکه های بی سیم محلی، نیاز به شبکه های بی سیم شهری روز به روز افزون تر گردید. تا آنجا که برای اولین بار استاندارد شبکه بی سیم شهری در سال 2001 تدوین گشت و با نام تجاری wimax و با استفاده از استاندارد ieee 802.16-2001 وارد بازار گردید. شبکه بی سیم شهری دارای دو قسمت اصلی بی سیم و با سیم است. قسمت بی سیم این شبکه از استاندارد ieee 802.16 تبعیت می کند. از آنجا که چالش اصلی در شبکه بی سیم شهری، قسمت بی سیم آن است، لذا پیشرفت و کارآمدترشدن شبکه مذکور کاملا وابسته به استاندارد ieee 802.16 است. در استاندارد مذکور، از یک زیر لایه به نام زیر لایه امنیت استفاده شده است، که تمام مکانیزم های امنیتی مربوط به حوزه کانال رادیویی در آن پیاده سازی می گردد. استاندارد ieee 802.16 دارای نسخه های متفاوتی است که دو نسخه اخیرآن در سال های 2004 و 2006 به ترتیب با عنوان نسخه های 2004 و e انتشار یافتند. در این پایان نامه مکانیزم های امنیتی دو نسخه 2004 و e مورد بررسی می گیرد و ضمن معرفی سرویس های امنیتی مورد نیاز در این استاندارد و ارزیابی سرویس های امنیتی پیاده سازی شده، در حد امکان سناریوهای حمله متناظر ارایه می شود. در پایان با پیشنهاد مقدماتی یک معماری جامع امنیتی سعی می شود تا تمام حوزه های امنیتی مطرح در شبکه بی سیم شهری اعم از بخش های بی سیم و با سیم آن بیان و سرویس های امنیتی مورد نیاز در هر یک از حوزه ها معرفی شوند.

تحلیل و ارتقای پروتکل تبادل کلید برای امنیت لایه ip همراه با قابلیت جابجایی و چندخانگی در آن
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1386
  محمدمهدی کرباسیون   مهدی برنجکوب

امروزه درکنار کلیه فعالیتهایی که در جهت بالا بردن کارآیی و نیز کیفیت خدمات رسانی در اینترنت انجام می شود، تلاشهای گسترده ای نیز در جهت ارتقاء امنیت در لایه های مختلف شبکه صورت می پذیرد. در این بین مکانیزم امنیتی ipsec، با بهره بردن از روشهای مبتنی بر رمزنگاری، اقدام به امن سازی جریان داده ها در لایه ip می کند. اساس عملکرد مکانیزم امنیتی ipsec بر استفاده از توابع و الگوریتمهای رمزنگاری استوار است. از این رو با توجه به ماهیت این توابع سیستمی برای تولید و توزیع کلیدهای گوناگون مورد نیاز است. برای برآورده ساختن نیاز مذکور پروتکل تبادل کلید اینترنت (ike) به عنوان گزینه ای مناسب برای استفاده در مکانیزم امنیتی ipsec معرفی شده است. نسخه جدید پروتکل تبادل کلید اینترنت (ike)، پس از بررسی های زیاد بر روی نتایج حاصل از مطالعاتی که روی نسخه اولیه آن (ikev1) صورت گرفت و نیز در رقابت با سایر جایگزینهای مطرح، از جمله jfkو sigma، تحت عنوانikev2 ارایه گردید..همچنین در کنار ikev2 ، توسیع مربوط به جابجایی و چندخانگی عاملها در آن، تحت عنوان mobike ارایه شد تا به وسیله آن بتوان جلسات امنی را که تحت مکانیزم امنیتی ipsec و توسط پروتکل ikev2 ایجاد شده اند، در حضور کار برانی که چند آدرسه هستند و یا در زمان برگزاری جلسات درحال جابجایی باشند، مدیریت کرد و حتی الامکان از قطع آنها جلوگیری نمود. در این رساله پروتکل ikev2 به همراه مباحث مربوط به جابجایی و چندخانگی در آن ، مورد بحث و بررسی قرار خواهند گرفت و ضمن اشاره به خصوصیات مثبت و نقاط قوت متعدد آن، پیشنهادهایی برای ارتقاء کارایی آن خصوصاً در محیطهای خاص ارایه خواهد شد. از جمله مهمترین این پیشنهادها،می توان به ارایه نسخه هایی از این پروتکل برای استفاده در ارتباطات درون سازمانی و نیز برای به کارگیری در محیطهای کارگزار-کارفرما اشاره کرد.در ارایه این دو نسخه سعی شده است تا علاوه بر مرتفع ساختن نیازهای مرتبط با هر کدام از این محیطها، حداکثر وفاداری به قالب کلی ikev2 حفظ گردد.

تحلیل، مقایسه و توسعه پروتکلهای توافق کلید مبتنی بر گواهی و هویت
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1388
  علی محمد فولادگر   مهدی برنجکوب

توافق کلید که یکی از ابزارهای مهم مورد استفاده در بسیاری از پروتکلهای امنیتی به شمار می رود، نخستین بار توسط دیفی و هلمن در سال 1976 میلادی ارایه شد. در هر پروتکل توافق کلید، دو یا چند موجودیت از طریق مبادله پیامهایی بر روی یک کانال عمومی یک کلید پنهان مشترک میان خود برقرار می کنند. در این پروتکلها از روش های گوناگون رمزنگاری استفاده می شود که می-توان آنها را به دو دسته اصلی رمزنگاری متقارن و رمزنگاری نامتقارن تقسیم نمود. با این وجود اکثر پروتکلهای توافق کلیدی که ارایه شده اند از رمزنگاری نامتقارن استفاده می کنند. در رمزنگاری نامتقارن(یا رمزنگاری کلید عمومی) کلید عمومی هر کاربر باید به نحوی با هویت دارنده کلید خصوصی متناظر پیوند داده شود. در یک روش -که به عنوان زیرساختار متداول کلید عمومی شناخته می-شود- این کار از طریق یک گواهی دیجیتال انجام می شود. علیرغم توجه بسیار زیادی که به این روش شده است، به دلایلی چون پیچیده بودن فرآیند مدیریت گواهی ها و نیاز به ذخیره سازی های متعدد، استفاده از این زیرساختار را با چالشهایی همراه می سازد. شامیر در سال 1984 میلادی برای نخستین بار مفهوم رمزنگاری مبتنی بر هویت را مطرح ساخت. در این شیوه، کلید عمومی هر موجودیت مستقیماً از اطلاعات شناسایی وی همچون نام، آدرس پست الکترونیکی و... وی اقتباس می شود. کلید خصوصی متناظر توسط یک طرف سوم مورد اعتماد که در اینجا مرکز تولید کلید محرمانه خوانده می شود، ساخته و از طریق کانال امن در اختیار کاربر قرار داده می شود. شامیر در همان زمان یک الگوریتم امضای مبتنی بر هویت ارایه داد اما ابداع یک روش رمزگذاری هویت گرا تا سال 2001 به صورت یک مسیله حل نشده باقی ماند. به همین دلیل تا پیش از سال 2001 از بین دو روش اساسی رمزنگاری نامتقارن –یعنی رمزنگاری نامتقارن مبتنی بر گواهی و رمزنگاری نامتقارن مبتنی بر هویت- پروتکلهای توافق کلید بر اساس روشهای رمزنگاری مبتنی بر گواهی ارایه می شدند. اما در این سال بونه و فرانکلین موفق به ابداع یک الگوریتم رمزگذاری مبتنی بر هویت با استفاده از زوج نگارهای دوخطی که از خم بیضوی استفاده می کنند شدند. از آن پس پروتکلهای توافق کلید زیادی نیز بر اساس این روش ارایه گردیدند. در این پایان نامه در ابتدا به بررسی و مقایسه پروتکلهایی که از این روشها استفاده کرده اند پرداخته می شود. پس از معرفی اجمالی مبانی مورد نیاز برای هر یک از این روشها به مرور ملاکهای ارزیابی و حملات مطرح برای پروتکلهایی که از این روشها استفاده می کنند پرداخته شده و یک دسته بندی جدیدی برای ملاکهای ارزیابی مطرح ارایه می شود. علیرغم تفاوت اساسی بین پروتکل هایی که از این دو روش استفاده می کنند به نظر می رسد رابطه ای نسبتاً یک به یک (یا رابطه ای دوگان) بین پروتکل های هر دو دسته وجود دارد. به عبارت دیگر با استفاده از این رابطه می توان از پروتکلی در یک دسته، پروتکلی را در دسته دیگر به دست آورد. در انتهای این پایان نامه ضمن مطرح کردن این رابطه دوگانی، به بررسی و ارزیابی این رابطه پیشنهاد شده برای چندین نمونه از پروتکل در هر دو دسته پرداخته شده است.

بررسی و شبیه سازی انتشار کدهای مخرب در شبکه های اجتماعی
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده مهندسی برق و کامپیوتر 1388
  محمدرضا فغانی   حسین سعیدی

در سال های اخیر، فناوری اطلاعات با زندگی انسانها عجین شده است. امروزه کمتر کسی را می توان شناخت که نیازی به فناوری-های نوین و در این میان فناوری اطلاعات نداشته باشد. برای مثال کنترل بسیاری از امور مانند تولیدات کارخانه ها و نقل و انتقالات مالی بوسیله کامپیوتر انجام می شود. در نتیجه می توان تصور نمود که هر تهدیدی برای فناوری اطلاعات و کامپیوتر، تهدیدی برای انسان ها نیز خواهد بود. امروزه تهدیدهای کامپیوتری از دیدگاه متخصصین امنیت، عبارتند از : آسیب پذیری نرم افزارها، هرزنامه ها، حملات انکار سرویس و بدافزارها. بدافزارها را می توان مهمترین تهدید کامپیوتری محسوب نمود. چراکه بدافزارها می توانند از طریق هرزنامه ها گسترش یایند و یا می توانند از آسیب پذیری های موجود در نرم افزارها برای گسترش خود سوء استفاده کنند. همچنین بدافزارها با توجه به گسترش وسیعی که می یابند می توانند حملات انکار سرویس را به صورت توزیع شده اجرا نمایند. کاربران اینترنت، انتشار بدافزارهای گوناگونی مانند کرم های منتشر شونده از طریق سرویس های فعال، پست الکترونیک و شبکه های نظیر به نظیر را تجربه کرده اند. با توجه به گسترش روز افزون سرویس های وب نزد کاربران، در سال های اخیر نویسندگان کدهای مخرب توجه خود را به سرویس های مرتبط با وب معطوف نموده و توانسته اند کاربران زیادی را تحت تأثیر کدهای مخرب خود قرار دهند. نمونه ای از سرویس های ارایه شده توسط وب (نسخه 2.0) ، سرویس شبکه های اجتماعی برخط است. در این شبکه ها کاربران از گوشه و کنار جهان بر اساس رابطه آشنایی با یکدیگر پیوند برقرار می کنند. از نمونه های عملی این شبکه ها می توان شبکه های اجتماعی facebook و myspace را نام برد. این نوع شبکه ها از این حیث که کاربران زیادی را به صورت متمرکز گردآوری کردهاند می توانند هدف مناسبی برای انتشار بدافزارهایی مانند کرم های فعال باشند. نفوذگران با سوء استفاده از اعتمادی که کاربران در این نوع شبکه ها به یکدیگر دارند، از بستر شبکه های اجتماعی برای مقاصد خود سوء استفاده می کنند. برای نمونه کرم های فعال مختلفی در این شبکه ها گسترده شده است که در مقایسه با سایر کرم های منتشر شده در اینترنت از قدرت تخریب بالاتری برخوردار بوده و توانسته بسیاری از کاربران را در زمان اندکی آلوده سازد. برای مثال کرم samy که در شبکه اجتماعی myspace منتشر شد، توانست در عرض بیست ساعت حدود یک میلیون کاربر را آلوده سازد که این تعداد در مقایسه با کرم های منتشر شده تا آن زمان مانند code red و blaster بی سابقه بوده است. از آن جا که وب یکی از محبوبترین سرویس های اینترنتی بوده و کاربران زیادی از آن استفاده می کنند، قدرت تخریب این نوع کرم ها می تواند بسیار زیاد باشد. برای مثال اگر تنها کاربران آلوده شده به کرم samy اقدام به بارگذاری یک عکس از یک پایگاه وب می نمودند، عملاً آن پایگاه را از ارایه سرویس باز می داشتند. با توجه به اهمیت این موضوع، در این پایان نامه، انتشار بدافزار در شبکه های اجتماعی، بررسی و شبیه سازی شده است. بررسی و شبیه سازی رفتار انتشار کرم ها در شبکه های اجتماعی به درک بهتر پارامترهای انتشار یک کرم در محیط شبکه های اجتماعی برخط کمک خواهد کرد و در نتیجه، قدرت تخریب یک کرم را پس از انتشار، با استفاده از نتایج بدست آمده می توان تخمین زد. از این رو بهتر می توان راه حل های ارایه شده برای مقابله با انتشار کرم را در این گونه محیط ها ارزیابی نمود.

امن سازی الگوریتم مسیریابی aodv در شبکه های اقتضایی سیار با رویکرد توأم رمزنگاری و تشخیص نفوذ
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1392
  محمدکاظم حوری زارچ   مهدی برنجکوب

مسیریابی چندگامی را می توان به عنوان یکی از اساسی ترین پروتکل های مورد نیاز برای برپایی یک شبکه اقتضایی سیار در نظر گرفت. طراحان این پروتکل ها، با فرض کانال بی سیم امن و بر مبنای همکاری کامل گره های مورد اعتماد در اجرای پروتکل های مورد نظر، تمام تلاش خود را برای ارتقای عملکرد آن ها در یافتن هرچه سریع تر بهترین مسیر بین مبدأ و مقصد ضمن نیاز به کمترین تعداد ممکن پیام های مسیریابی و استفاده از حداقل منابع شبکه معطوف داشته اند. مسیریابی در شبکه های اقتضایی سیار به سبب ذات پویا، نبود زیرساخت، وجود کانال های بی سیم، پیش فرض همکاری بین گره ها و طبیعت توزیع شده این شبکه ها مستعد آسیب پذیری های امنیتی بسیاری است. بنابراین تضمین امنیت این شبکه ها حایز اهمیت فراوان است. طی دهه ی اخیر پژوهشگران کوشیده اند نقایص امنیتی این شبکه ها را با ارائه راهکارهای گوناگون برطرف سازند. بر این اساس پژوهش های بی شماری در حیطه های مختلف انجام گرفته و یا در حال انجام است. از جمله می توان به پژوهش در زمینه های پروتکل های امن، مدیریت کلید، مدیریت اعتمادو سیستم های تشخیص نفوذ اشاره کرد. استفاده از مکانیزم های مختلف رمزنگاری نظیر رمزنگاری متقارن، امضای دیجیتال و توابع درهم در ارائه پروتکل های امن و همچنین سیستم های تشخیص نفوذ، دو رویکرد مطرح برای امن سازی این شبکه ها در ادبیات موضوع می باشند. در این پژوهش با انتخاب یکی از متداول ترین پروتکل های مسیریابی معرفی شده، یعنی پروتکل مسیریابی aodv سعی شده عملکرد امنیتی هر کدام از دو مکانیزم رمزنگاری و تشخیص نفوذ در امن سازی این پروتکل مورد بررسی قرار گیرد به طوری که مشخص شود استفاده از هر کدام از لایه های دفاعی به چه اندازه می تواند پروتکل aodv را در برابر تهدیدات مقاوم سازد. با بررسی نحوه عملکرد این دو رویکرد امنیتی در برابر تهدیدات، دو طرح برای ارتقای عملکرد آن ها پیشنهاد شد که یکی از آن ها، ارائه راهکار پروتکلی جهت ارتقای مکانیزم تولید بسته های پاسخ به مسیر میانی در یکی از نسخه های امن شده پروتکل aodv به نام پروتکل saodv و دیگری پیشنهاد مجموعه خصیصه های بهینه به منظور بهبود دقت تشخیص ناهنجاری در شبکه است. در نهایت با بررسی جامعی از معایب و مزایای این دو رویکرد در امن سازی پروتکل aodv، طرح استفاده همزمان از مکانیزم رمزنگاری و تشخیص نفوذ برای دست یابی به یک سطح امنیت قابل قبول در این پروتکل، پیشنهاد گردید.

ارائه یک سیستم دو لایه با معماری پیمانه ای برای دسته بندی دقیق و سریع ترافیک شبکه
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1392
  فاطمه حاجی کرمی   محمدحسین منشئی

با گسترش استفاده از اینترنت و ورود برنامه های کاربردی جدید و متنوع به ترافیک اینترنت، دسته بندی ترافیک یکی از موضوعاتی است که در سال های اخیر مورد توجه قرار گرفته است. منظور از دسته بندی ترافیک، شناسایی کاربردهای تولید کننده داده های عبوری در شبکه با مشاهده مستقیم یا غیرفعال بسته ها می باشد. دسته بندی ترافیک مقدمه ای لازم برای بسیاری از امور مدیریتی و کنترلی در شبکه مانند تخصیص سطوح مناسب کیفیت سرویس به کاربردهای مختلف، فیلتر کردن و تشخیص نفوذ می باشد. در سال های گذشته که کاربردها در اینترنت از شماره درگاه های استاندارد استفاده می کردند، شناسایی آن ها یک عمل ساده بود که با بررسی شماره درگاه انجام می شد. اما با افزایش کاربردهایی که از شماره درگاه های غیر استاندارد یا شماره درگاه های سایر کاربردها استفاده می کنند یا شماره درگاه خود را به صورت پویا تغییر می دهند و افزایش استفاده از رمزگذاری در شبکه، روش های سنتی دسته بندی ترافیک (دسته بندی مبتنی بر درگاه و دسته بندی مبتنی بر محتوا) قادر به دسته بندی صحیح ترافیک نمی باشند. روش های مبتنی بر رفتار میزبان و مبتنی بر ویژگی های آماری جریان برای جبران کاستی های روش های نام برده ارائه شدند و با توجه به مزایای روش های مبتنی بر ویژگی های آماری جریان، این دسته روش ها بیشتر مورد توجه قرار گرفتند. در عین حال افزایش سرعت لینک های شبکه و اهمیت برقراری مصالحه بین سرعت و دقت سیستم دسته بندی ترافیک از یک سو و گسترش سخت افزارهای چند هسته ای از سوی دیگر، نیاز به طراحی سیستم هایی که با به کار گیری امکانات سخت افزاری موجود، به سیستم هایی با سرعت و دقت بالا در دسته بندی دست یابند، احساس می شود. در این پایان نامه پس از ارائه یک طبقه بندی جامع از روش های موجود برای دسته بندی ترافیک و بررسی مزایا و معایب هر یک، به ارائه یک سیستم دو لایه با معماری سبک وزن و مناسب برای خطوط پرسرعت امروزی پرداختیم. در طراحی سیستم ترکیبی پیشنهادی، از یک معماری پیمانه ای (برای نیل به یک سیستم پر سرعت با استفاده از معماری های چند هسته ای مدرن) و از ترکیب نظرات چند خبره (برای رسیدن به نتایج قابل اطمینان و دقت بالا در دسته بندی) استفاده شده است. نتایج آزمایش ها نشان می دهد که سیستم پیشنهادی موفق به دسته بندی ترافیک با دقت 5/99% (مشابه با سیستم های ترکیبی پیچیده تر) شده است و هزینه یادگیری این سیستم10 برابر کمتر از سیستم های ترکیبی نام برده است. به علاوه سیستم پیشنهادی قابلیت توسعه و سفارشی سازی مطابق با خواسته ها و اهداف مدیر شبکه را نیز دارد. همچنین سیستم پیشنهادی مقاومت بالایی در شرایط ورود یک کاربرد جدید به شبکه دارد و در چنین شرایطی 60% از جریان های کاربرد جدید را به عنوان یک ترافیک جدید تشخیص می دهد. با چنین عملکردی (به جای دسته بندی غلط) در صورت تغییرات در شبکه، مدیر شبکه متوجه شده و اقدامات لازم برای بهبود سیستم دسته بند را انجام خواهد داد.

ارائه یک راهکار جدید مبتنی بر داده کاوی جهت همبسته سازی هشدارهای تشخیص نفوذ
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1392
  محمد ایمانیان بیدگلی   عبدالرضا میرزایی

با روند رو به رشد استفاده از شبکه های کامپیوتری به خصوص اینترنت و مهارت رو به رشد کاربران و مهاجمان این شبکه ها و وجود نقاط آسیب پذیری مختلف در نرم افزارها، ایمن سازی سیستم ها و شبکه های کامپیوتری ، نسبت به گذشته از اهمیت بیشتری بر خوردار شده است. یکی از ابزارهای مهم در تشخیص حملات، سیستم های تشخیص نفوذ هستند. در حال حاضر مهمترین چالش در استفاده از این ابزار، حجم بالای هشدارهای تولیدی توسط آن هاست که عملاً امکان رسیدگی به هشدارها را از بین می برد. به همین منظور تحقیقات گسترده ای در زمینه ی گام های پس پردازش و همبسته سازی هشدارهای تشخیص نفوذ صورت گرفته است. به طور کلی روش های همبسته سازی هشدار به دو دسته روش های مبتنی بر دانش و روش های استنتاجی تقسیم می شوند. روش های استنتاجی دسته روش هایی هستند که از تحلیل های آماری و تکنیک های هوش مصنوعی برای همبسته سازی هشدارها، بهره می برند. پژوهش پیش رو تلاشی است برای ارائه یک راهکار کارآمد و موثر، مبتنی بر تکنیک های داده کاوی و تحلیل های آماری در راستای همبسته سازی هشدارهای تشخیص نفوذ. در این تحقیق سعی شده با مطالعه ی میدانی هشدارهای تشخیص نفوذ نیازمندی های اصلی یک سیستم همبسته ساز، شناسایی و با کمک الگوریتم های کارآمد پیاده سازی شود. روش ارائه شده سعی دارد تا الگوهای رخداد هشدارها را کشف کند و آنها را در قالب قوانین همبسته سازی در اختیار مدیر سیستم بگذارد. در این روش با محاسبه میزان رخداد الگوهای مختلف هر جفت هشدار و همچنین با اعمال مشخصه های تشابه دو هشدار، اقدام به محاسبه ی میزان همبستگی هر جفت هشدار می کنیم. با اعمال مشخصه های تشابه از همبسته شدن الگوهای تصادفی جلوگیری می شود. بعد از محاسبه میزان هر جفت هشدار، در یک ساختار گام به گام عمل همبسته سازی هشدارها را انجام می دهیم. هر جفت هشدار همبسته شده در قالب یک هشدار جدید شناخته شده و در گام های بعدی الگوریتم، همبستگی این هشدارهای جدید با سایر هشدارها کشف می شود. این کار به صورت بازگشتی تا استخراج تمامی گام های حمله ادامه پیدا می کند. از جمله ویژگیهای این روش می توان به استفاده ی همزمان از پایگاه دانش زمینه ای و دانش مستخرج از هم رخدادی هشدارها، عدم استفاده از پنجره زمانی و در نتیجه امکان تشخیص حملات آهسته، عدم نیاز به آموزش، تشخیص انواع حملات یک به چند و چند به یک و امکان کشف الگوهای منظم تولید شده توسط بدافزارها اشاره کرد. برای سنجش کارایی این الگوریتم از مجموعه داده ی دارپا 2000 استفاده شده است و این روش با دو روش مرجع مشابه، مقایسه شده است. نتایج آزمایشات انجام شده، گواهی بر این مدعا است که روش مذکور توانایی رقابت با بهترین پژوهش های صورت گرفته در این زمینه، حتی روش های دانش پایه را دارا است.

بررسی پروتکل های احراز اصالت در شبکه های بی سیم نامتجانس
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1386
  هانی صالحی سیچانی   مهدی برنجکوب

با گسترش استفاده از شبکه های بی سیم، برقراری امنیت در اینگونه شبکه ها ضروری به نظر می رسد. یکی از جنبه های اساسی پروتکل های امنیتی، مسأله احرازاصالت دو طرف ارتباط و برقراری کلید میان طرفین می باشد. از سوی دیگر، امروزه ساختار اکثر شبکه های بی سیم از حالت متجانس به سمت شبکه های نامتجانس در حال تغییر می باشد. پدیده عدم تجانس در شبکه های بی سیم را می توان از دو دیدگاه مورد بررسی قرار داد، یکی آنکه تمامی گره های موجود در شبکه، از توان محاسباتی و رادیوئی یکسانی برخوردار نباشند (شبکه هم سطح نباشد) و دیگر آنکه شبکه بی سیم از مجموعه ای از شبکه ها با استانداردهای ارتباطی متنوع تشکیل شده باشد. با این وصف، هدف از این پایان نامه بررسی و تحلیل پروتکل های احرازاصالت در شبکه های بی سیم نامتجانس (از لحاظ نوع گره های موجود در شبکه و یا استاندارد ارتباطی موجود) است. از دیدگاه اول عدم تجانس، با توجه به اهمیت مسأله انکارناپذیری سرویس در شبکه های نامتجانس محلی بی سیم-سلولی، در این پایان نامه پروتکل احراز اصالتی برای اینگونه شبکه ها پیشنهاد شده است. این پروتکل در عین حالی که بار پردازشی ناشی از عملیات رمزنگاری کلید عمومی را بر روی دستگاه های موبایل تحمیل نمی کند، از سرویس انکارناپذیری نیز پشتیبانی می نماید. از دیدگاه دوم عدم تجانس، با استفاده از شبکه های اقتضایی سلسله مراتبی می توان کارایی شبکه را چه در پروتکلهای مسیریابی و چه از لحاظ امنیتی افزایش داد. در این شبکه ها، الگوریتمهای احراز اصالت و برقراری کلید بایستی به نحوی طراحی و پیاده سازی شوند که کمترین بار محاسباتی و پردازشی را بر گره های کم توان (گره های اقتضایی) تحمیل نمایند. در این پایان نامه برای احراز اصالت گره های دارای توان بالا به گره های شبکه اقتضایی، نوعی گواهی بر مبنای الگوریتم رمزمتقارن و پروتکل تسلا پیشنهاد می گردد که در عین حالی که دارای کمترین بار محاسباتی بر روی گره ها است، پیامهای کنترلی کمی را نیز بر روی شبکه تحمیل می نماید. از سوی دیگر از آنجایی که گره های اقتضایی به تبادل داده با یکدیگر اقدام می کنند، لازم است بتوانند کلید مشترکی را با یکدیگر برقرار نمایند. به منظور برقراری کلید میان گره های اقتضایی روشی بر مبنای چندجمله ای های متقارن پیشنهاد شده است. روش مذکور در عین حالی که حافظه کمی را از گره ها اشغال می کند، از هدر رفتن انرژی گره های حسگر در زمان برقراری کلید نیز جلوگیری می نماید.

بررسی و تحلیل الگوریتم های جویباری برای تشخیص حملات بزرگ مقیاس در شبکه های پر سرعت
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1393
  صابر دشتی   مهدی برنجکوب

سیستمهای تشخیص نفوذ شبکه، از دیرباز به عنوان یکی از خاکریزهای دفاعی در برابر حملات گوناگون مطرح بودهاند. با افزایش روزافزون سرعت خطوط ارتباطی و حجم ترافیک تولید شده، این سیستم ها با چالش های جدیدی روبه رو شده اند. امروزه، با وجود حجم انبوه ترافیک خطوط پرسرعت، وارسی بسته ها عملی غیر ممکن به نظر می رسد. به همین دلیل، رویکردهایی مورد توجه قرار گرفته اند که بر مبنای دیدهای تجمیع شده تری از ترافیک بنا شده اند. این رویکردها که از آن ها با عنوان رویکرد های مبتنی بر جریان نیز یاد می شود، الگوهای ارتباطی شبکه را، به جای بسته ها، وارسی می کنند. الگوریتم های جویباری از جمله روش هایی هستند که برای مواجهه با انبوه داده ها طراحی شده اند و معمولا بر مبنای دید تجمیع شده ای از داده ها، شکل می گیرند. این الگوریتم ها با یک بار عبور از کل داده، اطلاعات مورد نیاز خود را استخراج و در ساختارداده ی خلاصه ای ذخیره می کنند. سپس به پرس وجوهای متفاوتی درباره ی داده های ورودی پاسخ می دهند. sketchها، از جمله مهم ترین ساختارهای خلاصه هستند. در بسیاری از موارد، تشخیص ناهنجاری به معنی تشخیص تغییرات یک رفتار در بازه های زمانی متوالی است. برای تشخیص این تغییرات، دسته ی مهم sketchهای معکوس پذیر ارائه شده اند. اگر فقط یکی از داده های ورودی، تغییرات چشمگیری در بازه های متوالی داشته باشند، این sketchها به راحتی قادر به تشخیص این داده خواهند بود. اما اگر داده های متعددی دچار تغییر شده باشند، sketchهای معکوس پذیر در تشخیص آن ها دچار مشکل خواهند شد. در این پایان نامه، راه حلی بهینه و جامع برای این مشکل ارائه شده و در نهایت، راه حل پیشنهادی برای تشخیص حمله ی منع سرویس مورد استفاده قرار گرفته است.

امنیت مسیریابی در شبکه های بی سیم اقتضایی
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1387
  محمد فنایی   مهدی برنجکوب

چکیده مسیریابی چندگامی را می توان به عنوان یکی از اساسی ترین پروتکل های مورد نیاز برای برپایی یک شبکه بی سیم اقتضایی در نظر گرفت. به منظور غلبه بر مشکلات ناشی از حرکت گره ها و امکان تغییر مکرر توپولوژی شبکه، طبیعت توزیع شده و همچنین عدم اتکای شبکه بی سیم اقتضایی به زیرساختار متمرکز از پیش طراحی شده، پروتکلهای مسیریابی متعددی جهت استفاده در این شبکه ها پیشنهاد گردیده اند. طراحان این پروتکلها، با فرض کانال بیسیم امن و بر مبنای همکاری کامل گرههای قابل اعتماد در اجرای پروتکل های مورد نظر، تمام تلاش خود را به ارتقای عملکرد آنها در یافتن هرچه سریع تر بهترین مسیر بین مبدأ و مقصد ضمن نیاز به کمترین تعداد ممکن پیامهای مسیریابی و استفاده از حداقل منابع شبکه معطوف داشتهاند. با این وجود، در عمل فرضیات مذکور در یک شبکه بی سیم اقتضایی، چندان معتبر نیستند. در حقیقت، در چنین شبکه ای، وجود گرههای دشمن که قصد دارند از درون یا بیرون شبکه، عملکرد عادی پروتکل مسیریابی را مختل سازند یا به منظور حفظ منابع محدود انرژی خود، از همکاری کامل با دیگر گره های موجود در شبکه سر باز زنند، موجب می شود این پروتکل ها در معرض تهدید جدی قرار گیرند. از سوی دیگر، با در نظر گرفتن کاربردهای خاص شبکههای بی سیم اقتضایی، که به طور عمده در محیطهای نظامی و عملیات¬های امداد و نجات در مناطق فاجعه زده و دور افتاده فاقد زیرساختارهای مرسوم در شکلگیری دیگر انواع شبکههای بیسیم به کار گرفته می شوند، تضمین امنیت مسیریابی در این شبکهها حایز اهمیت فراوان است. در این پایان¬نامه، با بررسی امنیت مسیریابی در شبکههای بیسیم اقتضایی، روشهای امنسازی پروتکلهای مسیریابی در این شبکه¬ها مورد بررسی دقیق قرار گرفته اند. در این راستا، اهم پروتکلهای مسیریابی امن پیشنهاد شده مطالعه و ارزیابی گردیده اند و عملکرد آنها در دستیابی به اهداف امنیتی مورد نظر، ارتقا یافته است. به طور خاص، در این پایان نامه اثبات شده است که بر خلاف ادعاهای قبلی مبنی بر امنیت اثبات پذیر پروتکل مسیریابی امن endaira به عنوان یکی از امن ترین پروتکل های مسیریابی امن مبتنی بر مبدأ، این پروتکل نسبت به حمله تونل آسیب پذیر است. همچنین، یک مکانیزم امنیتی جدید جهت پیشگیری از اجرای موفقیت آمیز حمله تونل علیه پروتکل های مسیریابی مورد استفاده در شبکه های بی سیم اقتضایی و به طور خاص پروتکل endaira، ارائه گردیده است. به کار گیری این مکانیزم امنیتی در پروتکل endaira، منجر به تدوین نسخه ارتقا یافته مقاوم نسبت به حمله تونل این پروتکل، trendaira، شده است. در بخش دیگری از این پایان نامه پیشنهاد شده است در پروتکل مسیریابی امن aran، به عنوان یکی از امن ترین پروتکل های مسیریابی مبتنی بر بردار فاصله، برای احراز اصالت گره های میانی قرار گرفته بین مبدأ و مقصد، به جای امضای دیجیتال از پروتکل احراز اصالت همه پخشی tik استفاده شود. چون پروتکل tik بر مبنای محاسبه سریع و کم هزینه توابع رمزنگاری کلید متقارن استوار است، استفاده از آن در پروتکل aran می تواند سربار محاسباتی و پردازشی این پروتکل را به میزان قابل ملاحظه کاهش دهد. با در نظر گرفتن محدودیت های محاسباتی، پردازشی و انرژی محدود گره های موجود در یک شبکه بی سیم اقتضایی، ارتقای عملکرد پردازشی پروتکل aran می تواند زمینه پیاده سازی هرچه کم هزینه تر و گسترده تر این پروتکل مسیریابی امن اثبات پذیر در شبکه های بی سیم اقتضایی را فراهم کند.

طراحی و پیاده سازی سیستم تشخیص نفوذ در شبکه صنعتی مبتنی بر پروفی باس
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1394
  محمد امین سلمانی   مهدی برنجکوب

اهمیت این موضوع با آشکار شدن تهدیداتی مانند استاکس نت که به قصد شبکه های صنعتی مبتنی بر پروفی باس صورت پذیرفت، بیشتر به چشم می آید. برای ادامه فعالیت امن این شبکه ها تلاشهای بسیاری در حوزه فناوری اطلاعات و یا به صورت مستقل مبتنی بر شبکه های صنعتی انجام گرفته است. این تلاش ها شامل دو رویکرد تعمیم سیستم های تشخیص نفوذ متداول در حوزه فناوری اطلاعات به حوزه صنعتی و یا ارائه یک سیستم اختصاصی برای شبکه های صنعتی است. اهمیت مطالعه بر روی پروتکل پروفی باس زمانی دریافت می شود که بدانیم بیشترین کاربرد در حوزه اتوماسیون صنعتی کشور متعلق به این پروتکل است. نیاز به سیستم تشخیص نفوذ مناسب برای این دسته از پروتکل ها با توجه به گستره کاربرد آن لازمه فعالیت امن شبکه های صنعتی است.

طراحی یک راه حل ترکیبی پیشگیری- تشخیص برای مسیریابی امن در شبکه های اقتضایی سیار
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان - دانشکده برق و کامپیوتر 1393
  عصمت هادی   مهدی برنجکوب

شبکه های اقتضایی بی سیم به دلیل راه اندازی آسان ، کاهش هرینه ها و تسهیلی که در روند ارتباطات مهیا می سازند علاوه بر حوزه های کاربردی خاص خود، در سایر حوزه ها نیز مورد توجه قرار گرفته اند. اما نبود زیرساخت متمرکز، ساختار توزیع شده و طبیعت پویای شبکه های اقتضایی بی سیم، آن هارا با چالش های فراوانی از جمله در حوزه ی امنیت و مدیریت انرژی روبه رو ساخته است. از طرفی به دلیل کاربردهای خاص این شبکه ها در محیط های پرمخاطره مانند محیط های نظامی، عملیات های امداد و نجات و... عملکرد درست شبکه و اطمینان از امنیت آن حیاتی است. در راستای بهبود امنیت در رویکرد پیشگیرانه ارائه ی نمونه های امن پروتکل با بهره بردن از مکانیزم های رمزنگاری و در رویکرد درمانی سیستم های تشخیص نفوذ مطرح شده اند. در این پژوهش از بین پروتکل های مسیریابی، پروتکل aodv انتخاب شد و قابلیت های دو رویکرد پیشگیرانه و تشخیصی در ارتقاء عملکرد این پروتکل مورد بررسی قرار گرفت. به منظور ارائه ی طرحی برای ارتقاء قدرت تشخیص نفوذ، تشخیص نفود مبتنی بر معماری سلسله مراتبی برای اجرا بر روی شبکه اقتضایی سیار پیشنهاد شد. اجرای معماری پیشنهادی بهبود دقت تشخیص نفوذ نسبت به سایر معماری های تشخیصی را نتیجه داد. به دنبال فراهم شدن امکان تشخیص نفوذگر در معماری سلسله مراتبی پیشنهادی، الگویی نیز برای تشخیص گره نفوذگر پیشنهاد شد. در ادامه کاهش هزینه ها در اجرای معماری سلسله مراتبی تشخیص نفوذ اثبات می شود و با بهره بردن از امکاناتی که خوشه بندی پیشنهادی فراهم می کند، الگویی نیز به منظور بهینه سازی مصرف انرژی در شبکه های اقتضایی سیار ارائه می شود. به عنوان پیشنهاد نهایی در راستای بهره بردن از مزایای همزمان دو مکانیزم تشخیص و پیشگیری معماری پیشنهادی بر روی نمونه ی امنsaodv به اجرا درآمد که دست یابی به سطح بهتری از امنیت در اینحالت نیز محقق شد

امنیت سیستمهای چندعاملی به کمک عاملهای بی خبر و بی نشان
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه اصفهان 1386
  فاطمه راجی   بهروز ترک لادانی

چکیده ندارد.

کاربرد چندی کردن برداری در فشرده سازی سیگنال صحبت
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1370
  مهدی برنجکوب   محمدرضا عارف

پردازش دیجیتال سیگنال صحبت و کاربردهای متنوع و روزافزون آن، پرداختن به فشرده سازی این سیگنال را ایجاب می کند. روشهای فشرده سازی سیگنال صحبت تا قبل از دهه 1980، از روشهای متداول چندی کردن اسکالر بهره می گرفتند. ضعف اصلی روشهای مذکور عدم توانایی حذف وابستگیهای غیرخطی موجود بین نمونه های مجاور سیگنال دیجیتال است . چندی کردن برداری علاوه بر جبران این ضعف ، امکان استفاده از بعد را بمنظور فشرده سازی هرچه بیشتر داده ها مطرح می سازد . در ازای مزایای فوق، سیستمهای فشرده ساز سیگنال صحبت مبتنی برچندی کردن برداری از مشکل هزینه های زیاد محاسباتی و حافظه ای رنج می برند. برای رفع این اشکال، تلاشهای گسترده ای در عرصه فشرده سازی سیگنال صحبت صورت گرفته است . در این رساله ضمن مرور بر روشهای مرسوم فشرده سازی سیگنال صحبت و ارائه مبانی نظری چندی کردن برداری، تلاشهای مذکور به تفصیل مورد تحلیل و بررسی قرار گرفته و ایده های تازه ای نیز در کنار آنها مطرح شده اند. بالاخره سیستمهای نمونه ای برای فشرده سازی سیگنال صحبت مبتنی بر چندی کردن برداری، با ذکر جزئیات کامل، و در میزان داده های متفاوت عرضه گردیده اند.

بررسی و ارزیابی پروتکل های چند پخشی امن
پایان نامه وزارت علوم، تحقیقات و فناوری - دانشگاه صنعتی اصفهان 1380
  پژمان اسلامی   فرامرز هندسی

امروز با توسعه روزافزون کاربردهای شبکه ضرورت صرف جویی در پهنای باند مضاعف شده و در این راستا سرویس چند پخشی جایگاه ویژه ای یافته است بطوریکه برقراری امنیت در کاربردهای بر اساس این سرویس اجتناب ناپذیر است. تاکنون چندین پروتکل چند بخشی امن پیشنهاد شده است. با توجه به تنوع پروتکل های پیشنهاد شده بررسی و مقایسه پروتکل ها ضروری به نظر می رسد تا بتوان برای هرکاربرد مناسب ترین پروتکل چند پخشی امن را بکار برد. در این راستا این پایان نامه به بررسی و ارزیابی پروتکل های چند پخشی امن می پردازد در میان پروتکل های ارائه شده برای حل مسئله چند پخشی امن ‏‎iolus‎‏ از ویژگیهای متمایزی برخوردار است که در این پایان نامه مورد بررسی قرار می گیرد. با این حال دراین پروتکل محدودیتهای قابل ملاحظه ای وجود دارد . در ‏‎iolus‎‏ امکان اینکه اعضای یک گروه چند پخشی بتوانند اصالت مبدا داده ها را وارسی و تایید کنند وجود ندارد در حالیکه در بسیاری از کاربردها نیاز به احراز اصالت مبدا داده ها می باشد. همچنین در این پروتکل هیچ مکانیزمی برای کاهش و جلوگیری از حملات سیلاب و تکرار داده ها وجود ندارد یکی از محدودیتهایی که در این پروتکل وجود داد این فرض است که بعضی از عناصر گروه ( به نام ‏‎gsi‎‏ها ) فقط زمانی می توانند گروه را ترک کنند که هیچ ‏‎gsi‎‏ فرزندی نداشته باشند در این پایان نامه برای مشکلات ذکر شده فوق راه حلهایی ارائه می شود