密钥交换协议前向安全性的自动化分析

会话密钥的安全影响了整个通信网络的安全,前向安全性是密钥交换协议中保证会话密钥安全的一种特殊的安全属性。首先扩展了应用PI演算,增加了阶段进程语法描述协议的前向安全性;然后提出了一个基于一阶定理证明器Pro Verif的前向安全性自动化分析方法;最后运用这种方法分析了两种典型的密钥交换协议,STS协议和MTI协议的前向安全性,分析结果表明该方法简单可靠。     

基于身份密钥交换的安全模型

研究了基于身份的密钥交换协议的可证明安全问题.在通用可组合安全框架下,提出了基于身份密钥交换协议的模型.在攻击模型中,添加了攻陷密钥生成中心的能力.根据基于身份密钥交换的特点,设计了基于身份密钥交换的理想函数.在新的攻击模型和理想函数下,提出的模型既保证了基于身份密钥交换的通用可组合安全性,又保证了一个重要的安全属性--密钥生成中心前向保密性.此外,带有密钥确认属性的Chen-Kudla协议可以安全实现基于身份密钥交换的理想函数.     

可证安全的基于属性密钥交换

分析了密钥交换协议的特点,提出了一种基于属性的密钥交换协议,能够更灵活地控制不同用户参与密钥交换的权限,该协议基于Sahai-Waters ABE体制,只需要一轮消息通信。研究了密钥交换协议的安全需求,应用＂敌手-挑战者＂游戏,提出了基于属性密钥交换协议的语义安全性定义,进一步在标准模型中证明了协议的安全性。     

基于NTRU公钥密码体制的无线通信协议

安全问题是无线通信网络亟待解决的关键问题之一,因为无线通信中的身份问题存在严重的安全威胁,容易受到多种攻击。针对此问题提出了一种新的无线通信方案,基于NTRU(Number Theory Research Unit)公钥加密体制的双向认证和密钥管理协议,使用非对称加密算法、HASH函数和NSS(NTRU Signature Scheme)签名算法等技术建立这个协议。在执行双向认证和会话密钥管理协议中包含协议初始化和协议执行两个过程。该协议较目前公钥加密提供了更低的计算复杂度,加快了运行速度,增加了安全性。     

基于双线性配对的密钥树口令认证组密钥交换协议

针对组密钥交换协议存在的安全性及执行效率问题,提出了基于双线性配对的密钥树口令认证组密钥交换协议nPAKE'.协议中使用双线性配对取代了一般组密钥交换协议中的幂指数运算,并为协议的参与方建立了二叉密钥树结构.对协议的安全性及效率进行的分析表明协议中所采用的双线性配对技术能够满足对组密钥交换协议的安全性要求,并且协议在执行效率上相对于其他组密钥交换协议有很大的提高.     

基于RSA的网关口令认证密钥交换协议的分析与改进

设计安全高效的基于RSA的口令认证密钥交换协议是密码学领域的公开难题．2011年Wei等学者首次提出了一个基于RSA的可证明安全的网关口令认证密钥交换协议,并声称在随机预言模型下基于大整数的素因子分解困难性证明了协议的安全性．利用该协议中服务器端提供的预言机服务,提出一种分离攻击,攻击者只需发起几十次假冒会话便可恢复出用户的口令．攻击结果表明,该协议无法实现所声称的口令保护这一基本安全目标,突出显示了分离攻击是针对基于RSA的口令认证密钥交换协议的一种严重安全威胁．进一步指出了协议形式化安全证明中的失误,给出一个改进方案．分析结果表明,改进方案在提高安全性的同时保持了较高效率,更适于移动通信环境．     

属性隐藏的基于谓词的认证密钥交换协议

针对已有基于谓词的认证密钥交换协议在隐私保护方面的不足,通过结合一个内积加密方案和NAXOS技巧,提出了一个全新的基于谓词的认证密钥交换协议。并在修改的eCK模型下,将协议的安全性归约到了GBDH假设,同时,由于继承了内积加密方案隐藏用户属性的安全性质,新协议能够防止用户敏感信息的泄露。     

可证明安全的基于位置的Prover-to-Prover密钥交换协议

本文针对两个证明者之间可证明安全的基于位置密钥交换协议展开研究.首次将基于位置密钥交换分为P2V(Prover-to-Verifier)模式和P2P(Prover-to-Prover)模式,并给出P2P模式下基于位置密钥交换的安全定义.随后,在1维空间下设计了可证明安全的基于位置P2P密钥交换协议P2PKE¹,并以此为基础构造了d(1≤d≤3)维空间下基于位置P2P密钥交换协议P2PKE^d.同时,分别提出了具有密钥确认性质的基于位置P2P密钥交换协议P2PKE^d-c和无密钥托管的基于位置P2P密钥交换协议P2PKE^d-e.最后,从安全性和效率两方面对所设计的协议进行了讨论.     

一种适用于非平衡无线网络的组密钥交换协议

组认证密钥交换协议允许两方或多方用户通过公开的信道协商出共享的组会话密钥。针对非平衡无线网络中用户计算能力强弱不等的情况,该文提出一种适用于非平衡无线网络的组组认证密钥交换协议。该协议不但可以抵抗临时密钥泄露所带来的安全隐患,而且任意两个组中用户可以根据需要使用先前组通信消息计算独立于组会话密钥的两方会话密钥。与已有非平衡网络组密钥交换协议相比,该协议具有更高的安全性和实用性并且在随机预言模型下是可证安全的。     

基于口令认证的密钥交换协议的安全性分析

在串空间理论模型引入了描述DH问题的方法以及分析猜测攻击的攻击者能力,对基于口令认证的密钥交换协议的安全性进行了形式化分析。提出一个对DH-EKE协议的简化,并证明了该协议的安全性:口令的秘密性,认证性,以及会话密钥的秘密性.根据分析给出基于口令认证的密钥交换协议抵抗猜测攻击的基本条件.将分析方法应用到基于口令的三方密钥交换协议上,给出单纯基于口令进行密钥交换协议的安全性需要满足的一个必要条件.     

Improving WTLS Security for WAP Based Mobile e-Commerce

In recent years, WAP has been gaining increasing popularity as a platform for mobile e-commerce; its security has thus become an important issue. In this paper, we focus primarily on improving WTLS, a sub-protocol of WAP, to achieve enhanced WAP security. We propose using an Anonymous Client Authentication (ACA) scheme, which can be applied in general to most Public Key Infrastructure based mobile e-commerce applications, to be incorporated into WTLS to provide client anonymity in WAP. Further, in order to support the desired security feature forward secrecy, and to resist various attacks which could hardly be coped with by the original WTLS, we exploit Elliptic Curve Cryptography (ECC) for session key establishment. The proposed protocol has been shown able to outperform not only the original WTLS protocol, but also the published improved WTLS protocols in terms of computation cost and communication bandwidth. Besides, the proposed ACA scheme can also be exploited in other internet and wireless network based platforms.     

无线网络中基于量子隐形传态的鲁棒安全通信协议

该文在深入研究无线网络802.11i鲁棒安全通信的基础上,提出基于量子隐形传态的无线网络鲁棒安全通信协议,利用量子纠缠对的非定域关联性保证数据链路层的安全。首先,对量子隐形传态理论进行描述,并着重分析临时密钥完整性协议和计数器模式及密码块链消息认证协议的成对密钥、组密钥的层次结构;其次,给出了嵌入量子隐形传态的成对密钥、组密钥的层次结构方案;最后,在理论上给出安全证明。该协议不需要变动用户、接入点、认证服务器等基础网络设备,只需增加产生和处理纠缠对的设备,即可进行量子化的密钥认证工作,网络整体框架变动较小。     

第3代移动通信系统的安全技术研究

从无线链路与ATM网络2方面阐述了第3代移动通信系统的安全问题,重点讨论了将安全层置于ATM协议栈中不同位置时所对应的4种方案,并据此提出了一种可行的ATM安全协议结构.     

Security based on network topology against the wiretapping attack

In wireless networks, an attacker can tune a receiver and tap the communication between two nodes. Whether or not some meaningful information is obtained by tapping a wireless connection depends the security protocols used. One may use cryptographic techniques to secure the communications. In this article we discuss an alternate way of securing the communication between two nodes. We provide a simple security protocol against a wiretapping attack based on the network topology. Although we study the problem from a theoretical perspective, our protocol is easily implementable. Our protocol is at least as secure as any other protocol against these attacks. We show that an attacker can get any meaningful information only by wiretapping those links that are necessary for the communication between the sender and the receiver. We use techniques from network encoding. Our protocol works for any network topology, including cycle networks. We note here that acyclicity is the main assumption in much of the network encoding literature.     

Ad hoc网络中一种基于身份的组密钥协商协议

移动Ad hoc网络是一种资源有限的移动多跳无线网络。在网络中构建组密钥协商协议时应尽可能地减少资源开销。文中在基于身份的网络安全环境下,设计了一种基于环状结构的组密钥协商协议。该协议采用椭圆曲线上的双线性配对,仅通过单轮通信完成组密钥协商。经过分析,该协议具有等献性,已知密钥安全,无密钥控制等安全属性,适用于Ad hoc网络。     

基于CPK和能量的安全路由算法

无线传感网是由大量传感器节点组成的网络,具有无线通信、自组织、无中心的组网特性。针对无线传感器网络面临的众多安全问题,从组合公钥和节点能量入手,对LEACH进行改进,提出了一种基于CPK和能量的安全有效路由算法。通过仿真实验,改进的路由协议比LEACH具有更长的寿命,而且在安全性方面也进一步加强了。     

无线ATM技术的研究

为使无线个人通信具有较大的系统容量和能灵活地处理多种宽带业务，在未来的个人通信中采用ＡＴＭ的传输与交换是一种必然的趋势。本文基于ＡＴＭ网络技术，提出了无线ＡＴＭ网络协议参考模型和网络实现体系结构，并探讨了在无线通信体制下的集成智能网络协议模式与实用虚拟网络结构。     

无线网络中无线应用协议的分析

WAP技术是移动终端访问无线信息服务的全球主要标准。介绍了无线通讯技术中的WAP协议的各个层次协议所包含主要内容，并讨论了WAP协议中安全协议——无线传输层安全（WTLS）协议，最后介绍当前WAP应用中存在的一些缺陷。     

Efficient authentication and key distribution in wireless IP networks

Emerging broadband access technologies such as 802.11 are enabling the introduction of wireless IP services to an increasing number of users. Market forecasts suggest that a new class of network providers, commonly referred to as wireless Internet service providers, will deploy public wireless networks based on these new technologies. In order to offer uninterrupted IP service combined with ubiquitous seamless mobility, these multiprovider networks need to be integrated with each other, as well as with wide-area wireless technologies such as third-generation cdma2000 and UMTS. Therefore, efficient authentication and dynamic key exchange protocols that support heterogeneous domains as well as networks with roaming agreements across trust boundaries are key to the success of wide-area wireless IP infrastructures. In this article we first describe a simple network model that accounts fro heterogeneity in network service providers, and put forward the requirements any authentication and key exchange protocol that operates in such a model should satisfy, in terms of network efficiency, security, and fraud prevention. We then introduce a new authentication and key exchange protocol, wireless shared key exchange (W-SKE). We characterize properties and limitations of the W-SKE against the requirements discussed earlier. Finally, we contrast W-SKE against other well-known and emerging approaches.     

基于无线信道特征的内生安全通信技术及应用

伴随着信息技术的高速发展,无线通信网络的安全形势日益严峻。数以亿计的设备接入无线通信网络中,针对用户隐私以及基础网络环境的窃听、攻击事件频频发生,无线通信网络的安全问题已成为限制无线通信业务广泛开展的严重障碍。传统认证与加密机制与传输相脱离,以密码算法和分发密钥的私密性为前提,容易受到物理层的攻击。为此,迫切需要深入开展面向物理层的安全机制研究。从无线通信网络的根源出发,面向无线信道的内生属性,研究了基于无线信道特征的内生安全通信架构,并针对此架构提出了基于射频指纹与信道密钥的内生安全通信技术方案。该架构将认证、加密与传输融为一体,从体系结构上增强了防御效果;利用无线信道特征的内生特点,从技术手段上提高了安全性能。