基于Authentication Test方法的高效安全IKE形式化设计研究

基于Authentication Test方法，围绕高效安全Internet密钥交换（ESIKE）协议的安全目标，提出一种具体地构建唯一满足两个通信实体变换边的形式化协议设计方法，设计出了高效安全的IKE协议；并且基于Strand Space模型和Authentication Test方法，形式化分析ESIKE协议，证明了其所具有的安全特性．该ESIKE协议克服了原有Internet密钥交换（IKE）协议存在的安全缺陷，提供了安全的会话密钥及安全关联（SA）协商，保护了通信端点的身份，并且保证了协议发起者和响应者间的双向认证．同时，ESIKE仅需3条消息及更少的计算量，更加简单、高效．     

基于扩展Spi演算的IKEv2协议形式化分析与改进

安全性是新一代密钥交换协议的关键,而Spi演算是研究协议安全性的一种形式化方法,文中采用Spi演算研究了IKEv2协议的安全属性。针对Spi演算不能形式化定义Diffie-Hellman密钥交换和密钥生成的问题,扩展了Spi演算的语法和语义。基于扩展的Spi演算形式化分析了IKEv2协议,分析结果表明协议满足认证性和私密性,但不能保护相对重要的发起方身份。针对IKEv2协议的不足,提出了一种基于Weil对签名算法的改进方案。改进后的协议解决了发起方身份保护问题,具有更好的安全性。     

云计算环境下密钥协商协议的应用与改进

为解决现有密钥协商协议在云计算环境下的适应性问题,深入分析云计算场景对密钥协商协议的安全需求,结合现有IKEv2协议的安全性能缺陷,采用puzzle机制、密钥材料及身份信息推迟传递等手段对IKEv2进行改进,提出了一种适应云计算网络环境的密钥协商协议IKE-C,有效提升了协议中响应者的抗拒绝服务(DoS)攻击能力,同时解决了中间人攻击导致发起者身份泄露的问题。还对两种协议的收敛时间进行了比较,仿真结果表明,在相同的网络规模下,IKE-C协议的收敛时间低于IKEv2,并且随着客户端数量的增加,其优势逐渐明显     

密钥交换协议的算法研究与协议改进

本文对密钥交换协议(IKE)的结构和算法进行了研究,并提出了基于预共享密钥认证的IKEv1主模式协议的改进思想及基于预共享密钥认证的IKEv2协议的算法改进方案。     

IKEv2协议安全性分析与改进

简单介绍了新一版密钥交换协议草案IKEv2,对IKEv2密钥协商机制的安全性进行分析。通过分析,发现其EAP交换过程繁琐且身份信息不易隐藏;证书验证中可能受到假冒证书攻击;为避免安全隧道非授权访问而需要重新认证等几处安全问题。针对这几处安全问题提出了改进建议和解决方法。     

用密钥封装机制实现IPSec密钥建立

出在网络层的安全协议IPSec中引入密钥封装机制(KEM),通过密钥传输实现IPSec密钥建立.在目前基于密钥交换的IKEv2协议之外,提供了另一种密钥建立的方法.对所给协议的分析表明,在同样需要交换证书进行消息认证的情况下,KEM密钥传输协议与IKEv2协议同样安全,并且更加有效.     

支持ECC数字证书的IKEv2认证设计

数字证书对因特网密钥交换协议版本2IKEv2（Internet Key Exchange version 2）的初始化交互协商的安全及效率有很大的影响。提出了一种基于ECC数字证书的身份认证机制,并在IPSec VPN系统的IKEv2初始化过程中应用ECC数字证书实现了通信双方的身份认证。在同等测试条件下,相同安全等级的ECC证书与RSA证书对IKEv2协商效率的对比结果表明,采用基于ECC的X.509证书进行身份认证,能够有效地提高IKEv2初始化过程的效率和安全强度。     

MIP6家乡代理切换中的重认证问题研究

针对家乡代理切换中的认证问题,提出一种基于共享密钥的IKEv2重认证方案。在移动终端切换到新的家乡代理前,为双方分发重认证密钥,移动终端与新的家乡代理使用重认证密钥完成认证过程。采用BAN逻辑对密钥分发的安全性进行证明,并比较该协议的性能。分析结果表明,该协议比同类协议更高效。     

在线交换密钥的挑战-应答身份认证协议及其形式化验证

身份认证协议保障应用系统安全的同时,还能够提供在线交换密钥功能,是很多网络应用系统为解决身份认证方案提出的新需求。针对这个问题,本文基于共享密钥提出一种新的基于挑战-应答机制的在线交换密钥新方案,并详细分析了新方案的交互过程及其安全性证明,并进行了模拟实现。BAN逻辑证明,该方案保证高安全的同时提供了密钥交换功能,协议达到了认证目标。     

Linux下IKEv1和IKEv2协议的仿真分析

IETF对IKEv2协议的发布已经使IKEv2成为一个正式的RFC规范,正在逐步地取代IKEv1成为新一代互联网密钥交换标准.IK v2对IKEv1进行了全面的优化和改进.为了对比IKEv2与IKEv1两版协议的密钥协商特性,提出了Linux下IKEv2的一种实现方案,并且基于这种方案对两版IKE协议进行了仿真测试,根据测试结果分析比较了IKEv1和IKEv2的密钥协商效率.     

VPN安全网关IKEv2-EAP/SIM扩展研究与设计

以往安全网关的实现偏重于单一功能,且认证方式不够灵活。该文对最新IKEv2动态密钥协商机制进行研究和分析,结合EAP可扩展认证机制的优点,提出将EAP/SIM认证框架引入IKE认证体系的思路,给出实现方案,设计了基于EAP/SIM的增强型可扩展IKEv2系统。IKEv2-EAP系统以RADIUS为认证服务器实现AAA功能,使用新的IKEv2-EAP/SIM交互建立了安全的IPSec隧道,使VPN网关功能更趋灵活、强大及多样化。     

基于增强型IKEv2的IPSec VPN网关设计

IKE(Internet Key Exchange)协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsec VPN安全传输的先决条件和保证。在研究IKEv2协议的基础上,将公钥基础设施PKI体系引入其中,对在IKEv2中使用PKI身份认证进行研究。并针对IKEv2中数据通信的特点,将在线证书状态协议OCSP(Online Certificate Status Protocol)与IKEv2协议结合起来,设计了一个基于PKI身份认证的增强型IKEv2协议,从而有效提高系统的效率和部署的可扩展性。最后给出了一个基于Linux2.6内核的IPSec-VPN设计方案。     

IKEv2 authentication exchange model and performance analysis in mobile IPv6 networks

Internet Key Exchange version 2 (IKEv2) is taking the responsibility for distribution and management of reliable authentication key. IKEv2 can secure fast hand off, confidentiality of data, safe transmission, and multihoming to transmission node. In this paper, we designed and constructed the network based on real mobile node and experimented the modeling of IKEv2 protocol through the simulation. We analyzed the resetting of authentication key and re-exchange problem. And we experimented the effect that key exchange is affected by a limited bandwidth based on data analysis. To overcome delay time, we proposed multi-interface of node and analyzed performance and latency for authentication setting and exchange process. The simulation results show that re-authentication of key is impossible to reset because of limited bandwidth of network. Also, the use of proposed multi-interface can minimize key exchange latency that happened by hand off for IPSec transmission.     

基于AES与NTRU的RFID安全认证协议

对现有的RFID认证协议进行了安全性与算法复杂度分析,提出了一种基于高级加密标准AES与公钥体制NTRU的RFID安全认证协议。该协议可抵抗重传、窃听、篡改、跟踪等多种攻击手段,实现了双向认证与密钥更新,适合安全性能要求高、电子标签用户数多的RFID应用场合。分析了此协议的安全性及算法可行性,并利用BAN逻辑对其安全性进行了证明。     

IKEv2协议的分析与改进

IKEv2协议中的预共享密钥认证方式容易受到中间人攻击和离线字典攻击,从而泄漏发起方的身份信息和通信双方的预共享密钥。针对上述2种攻击,提出将数字签名认证方式与预共享密钥认证方式相结合的防御措施,引入公钥口令的思想,避免建立公钥基础设施带来的额外负担。分析结果表明,改进后的协议能够避免中间人攻击和离线字典攻击,防止通信双方身份的泄漏和预共享密钥的破解。     

基于串空间模型的Athena方法的改进

Athena分析方法由于没有抽象更多的密码学原语，因此不能分析较复杂的安全协议。该文针对互联网密钥交换协议(IKEv2)，对Athena方法进行了扩展：修改消息项结构，扩展密码学原语，使其能分析DH（Diffie-Hellman）密钥协商问题，修改内在项关系，使其能应对更复杂的消息构造情况，并对相关命题和定理进行了证明。根据扩展后的Athena方法，对IKEv2协议的秘密性和认证性等进行了分析，对协议的特点作了进一步讨论。     

普适环境下基于生物加密的认证机制

普适计算的出现对网络通信中的安全和隐私提出了新的挑战,传统的认证技术已经不能满足普适环境的安全需求。提出了一种普适环境中用于完成服务使用者与提供者之间双向认证及密钥建立的机制。该机制高度融合了生物加密技术和Diffie-Hellman密钥交换技术,在不泄露用户隐私的情况完成双向认证。该机制提供了安全的建立密钥的算法,并且通过使用生物加密技术实现了访问控制策略的区别对待。经分析证明,该协议能很好地抵抗各种攻击,尤其是拒绝服务（DoS）攻击。