國外交流研究

一 一

一 、 、 、 、 國外交 流研究 國 外 交 流 研 究 國 外 交 流 研 究 國 外 交 流 研 究

本計畫於本年度執行期間已派遣四位優秀學生赴美國 UC Berkeley 進行交流研究，國 外指導學者以及學生研究期間如下表：

學生姓名 訪問學校 國外指導學者 交流時間

彭博群 UC Berkeley Prof. Doug Tygar

Keith Sklower 2010 年春季 陳毅睿 UC Berkeley Prof. Doug Tygar 2010 年春季

陳柏愷 UC Berkeley Prof. Doug Tygar 2010 年秋季

王嘉偉 UC Berkeley Prof. Doug Tygar 2010 年秋季 表一：交流研究學者及時間表

交流研究之題目除涵蓋本計畫所規劃之無線異質網路模擬平台、惡意檔案文件分析、

程式漏洞檢測、及行動平台安全管理機制之外，亦對其他相關領域研究進行意見交流，其 具體的交流研究項目如下：

安全雲端儲存系統設計與實作。

無線異質網路模擬平台與 DETER 之相容性分析與技術整合。

惡意文件檔案與內嵌程式碼分析。

程式迴圈偵測機制。

Air Signature–The Finger Gesture for Security AccessGroup Key Management

Group Key Management

DNSsec Security Management

Malware Detection and Behavior Analysis

27

以下將針對本計畫所包含各子項之交流研究內容進行說明：

異質無線網路模擬平台與異質無線網路模擬平台與異質無線網路模擬平台與異質無線網路模擬平台與 DETERDETERDETER 之相容性分析與技術整合DETER之相容性分析與技術整合之相容性分析與技術整合之相容性分析與技術整合

DETER 聯盟架構 (DETER Federation Architecture，簡稱 DFA) 為 UCB 的 DETER 開發團隊所提出的有線網路測試平台之間的資源共享方式，使研究人員能夠 同時使用多個基於 Emulab 所開發之網路測試平台的實驗機器，以進行大規模的網路 模擬實驗。DFA 使用兩種不同的控制器來協助跨平台實驗之建立與管理： (1) 實驗控 制器 (Experiment Controller) 提供使用者一個建置與管理跨平台實驗之介面，協助使 用者取得與控制其他網路測試平台之實驗資源；(2) 存取控制器 (Access Controller) 負 責處理遠端實驗控制器所發出之請求與協調本地測試平台之資源，並建立於跨平台實 驗時節點與節點之間的溝通管道。存取控制器會為跨平台之網路模擬實驗在參與實驗 之測試平台上建立連線節點 (Connector Node) ，連線節點間使用 SSH 通道的方式傳 輸實驗的網路封包，如下圖四 所示。圖四 中的 A1 節點傳送封包給 B1 節點時，網 路封包會透過 A 平台的連線節點的 SSH 通道傳送給 B 平台的連線節點，B 平台的 連線節點再將封包送達目的節點 B1。

圖四：DETER Federation Architecture 與其 SSH 通道

本計畫所設計之異質無線網路模擬平台之底層使用 EmuLab 之有線網路架構，

符合 DETER Federation Architecture 之基本需求。本計畫目前已完成加入 DETER Federation 所需之技術分析，並於本計畫平台移植與測試實驗控制器與存取控制器之 運作。此外，為了加快雙方合作之腳步，本計畫研究人員亦將本平台無線網路實驗節 點執行之作業系統移植到 DETER 平台，測試 802.11、 802.16d 的虛擬驅動程式和 虛擬天線，確認本計畫所能運行之異質無線網路實驗皆可於 DETER 平台上進行重 置；待本計畫通過 DETER Federation 之審查後即可正式與其他平台共享實驗節點，

並將本計畫之無線模擬機制推廣到其他平台上，促進與其他各校之學術交流。

28

應用於空氣簽名安全驗證之影像追蹤演算法應用於空氣簽名安全驗證之影像追蹤演算法應用於空氣簽名安全驗證之影像追蹤演算法應用於空氣簽名安全驗證之影像追蹤演算法

(Air Signature - The finger gesture for security access)

本計畫之交流研究人員針對使用空氣簽名的門禁安全管制系統，開發了一套可即

KLT (Kanade-Lucas-Tomasi) 演算法雖然可以即時追蹤目標之影像，但若目標被部分 遮蔽或移動速度過快，則 KLT 演算法容易因誤判而遺失追蹤目標；SURF (Speeded

29

圖五：平行運算之物體追蹤與辨識運算流程

行動平台的安全管理機制行動平台的安全管理機制行動平台的安全管理機制行動平台的安全管理機制 ---- 安全雲端儲存系統設計與實作安全雲端儲存系統設計與實作安全雲端儲存系統設計與實作安全雲端儲存系統設計與實作

本計畫之交流研究人員已完成一套兼顧資料安全性與可靠度的雲端儲存雛型系 統，並有相關期刊及會議論文產出。在系統設計理論上的研究中，我們的重點在於如 何將訊息明文加密成分散式密文，然後存入分散式系統的儲存伺服器中，當需要時，

只要取出適當伺服器數內的分散式密文，就可以結合解回原來的訊息明文。更進一步 來看，如果解密金鑰是由一些安全伺服器所共同持有，每一金鑰伺服器擁有一把金鑰 持份。當要取出分散式密文時，我們希望金鑰伺服器利用其金鑰持份作分散式的解密 動作得到訊息明文持份，然後使用者再將訊息明文持份結合成訊息明文。以下圖為 例，多個訊息明文經過加密後，送到獨立運作的儲存伺服器中儲存，儲存伺服器將這 些資料作一些特殊的運算後儲存起來，類似網路編碼的功能，以節省儲存的空間，當 使用者要取出資料時，命令她的金鑰伺服器從儲存伺服器取出資料作部分解密，然後 由使用者作最後的計算，得到多個訊息明文。要特別注意的是，儲存伺服器是獨立運 作的，沒有相互聯繫，金鑰伺服器也是獨立運作，每一個金鑰伺服器隨機從數個儲存 伺服器取出儲存的加密資料，然後利用其金鑰持份對資料作部分解密的動作，得到部 分訊息明文。已發表相關論文如下：

Yi-Ruei Chen, J. D. Tygar, and Wen-Guey Tzeng. “Secure group key management using uni-directional proxy re-encryption schemes”. in Proceedings of the 30th IEEE International Conference on Computer Communications (IEEE INFOCOM 2011)

在系統的實現的研究中，我們加入控制伺服器來管理使用者存取的權限以及儲存 伺服器的數量，另外還幫忙使用者將一份資料傳給數個儲存伺服器，因為我們假設使 用者端的網路頻寬是相當有限的，不像是 server 端的網路那麼好，因此我們控制伺服

30 之 Best Student Paper Award 肯定。

程式漏洞檢測系統程式漏洞檢測系統程式漏洞檢測系統 程式漏洞檢測系統 並實做了迴圈偵測元件以及重複條件分支偵測元件，並已整合進 Catchconv 母系統。

藉由省略重複已偵測的程式區塊，以提升偵測過程中的 coverage rate 和效率。迴圈偵 測的元件，能夠偵測 for、do、do-while、goto、function call 等各種迴圈種類，同時也 支援巢狀迴圈結構，能夠自動地將各個迴圈部分辨識、擷取出來。偵測重複條件分 支的演算法，利用 Prefix Tree 紀錄目前已經展開的程式執行樹節點，藉此得知哪些條 件分支之前已經 query 過，哪些還沒被 query 過，使 Catchconv 能夠略過不去處理已經 query 過的條件分支。

本計畫今年更進一步進行了偵測演算法的測試與參數調校的工作，使 Catchconv 在程式檢測的過程中，能夠達到良好的效用。將偵測演算法實作於 Catchconv 之中，

31

須考量到實作上的效率，而在實作方法與偵測準確度上有所妥協；本計畫也透過實 驗，進行偵測演算法的參數調整，找出適合的參數設定。

本計畫針對 Catchconv 所進行的程式檢測最佳化以及參數調整部分，皆已完成開 發及實作，並整合於 Catchconv 計畫中，放置於 Source Forge 網站上，使用者可利用 CVS 下載經過最佳化的最新版本之 Catchconv：

1. 輸入以下指令登入 Catchconv 的 cvs 系統：

cvs -d:pserver:[email protected]:/cvsroot/catchconv login

2. 按下 Enter 鍵，使用空白密碼登入 3. 輸入以下指令下載 Catchconv：

cvs -z3 -d:pserver:[email protected]:/cvsroot/catchconv co -P valgrind-catchconv

DNSsec Security ManagementDNSsec Security ManagementDNSsec Security Management DNSsec Security Management

此部分主要的研究成果為論文-“New Threat comes with DNSSEC”。此論文探討 的是 DNSSEC 技術當中，雖然加強了 DNS 的安全性，並有許多先進的安全性技術，然而 其中的一個特性- NSEC3，卻隱含一個可能的安全漏洞。這個 NSEC3 的漏洞，可能造成 資訊洩漏的問題，導致使用者的姓名、E-mail 等資訊被揭露，以致有 spam、social engineering attack 等後續的問題發生，本論文證明了這個漏洞確實存在，並提出解 決方法。

此論文在出國前僅有基本構想，然而經過兩個月的交流研究，已完成了架構設 計、程式實作、實驗數據等等。此論文目前草稿已完成，現階段與 Prof. Tygar 討論 修改當中，可望在近期內定稿，並擬投稿於國際期刊。

32

Open D-Link Routers Forum 建置、維護與測

試技術與諮詢服務 友訊科技 1,500,000

Open D-Link Routers Forum 建置、維護與測試技術與

諮詢服務 友訊科技 1,500,000

表三：產學合作-Open D-Link Routers Forum

合作計畫名稱 合作對象 合約金額