基于RADIUS协议的网络认证技术研究

介绍了远程用户拨号认证(RADIUS)协议的工作原理和使用的安全算法,分析了其安全性和可能存在的安全漏洞,提出了改进的RADIUS协议以增加网络的安全性能.利用该协议建立了提供给运行商用于无线接入网络的网络认证、授权和计费(AAA)系统.该系统不增加协议的通信复杂性,并具有简单和易实现的特点.     

一种单服务器环境下的匿名认证协议

为实现用户与服务器之间安全高效的身份认证,保障双方的通信安全,设计有效的身份认证协议,本文针对Lwamo等提出的协议不能抵御离线口令猜测攻击,且无法实现所声称的用户不可追踪性和前向安全性等安全漏洞,通过使用传统的Diffie-Hellman密钥交换算法和模糊验证技术,提出了改进的适用于单服务环境的匿名认证协议.安全性分析及性能分析表明:改进协议有效解决了上述安全漏洞,能实现安全高效的身份认证.     

MS-CHAP鉴别协议安全性分析

微软质询-握手鉴别协议（MS-CHAP）通常被嵌入到其他协议中,通过＂三次握手＂对参与通信的实体进行身份鉴别.利用一种基于攻击者协议验证方法对MS-CHAP协议的安全性进行了形式化分析,发现该协议存在使攻击者无需破解口令即可通过身份鉴别的安全漏洞,并给出了相应的攻击剧本.研究表明MS-CHAP协议存在致命安全缺陷,不能达到预期的安全目标.     

基于NPlab的H.530协议分析

针对H.530协议本身的安全漏洞,利用网络通信设计工具NPlab对H.530协议进行了来自于四种不同模型检测器的分析,并对OFMC检测模型所分析出的重放攻击的攻击路径和攻击过程进行分析,发现了H.530协议是不安全的,它有可能遭受来自攻击者的重放攻击.H.530协议是描述H.323协议多媒体移动环境安全规程的协议,本文提出通过增加有效的身份标识对H.530协议进行改进,从而更好地为H.323协议的多媒体移动环境提供安全保障.     

IP地址安全性研究及实验分析

讨论了IP地址存在的常见安全漏洞及其防范策略,分析了网络连接中各种地址的作用范围,并通过仿真实验和协议分析,从原理上探索了IP地址安全漏洞的根源所在,认为加强IP地址的安全性管理的关键在于发现网络上出现完全相同的两条连接,由于本地端口具有随机性、不确定性和瞬时性,易于实现两条不同的网络连接,因此,从现有技术角度来看,完全实现IP地址的安全管理具有相当的难度,指出了应该从本地端口作为突破口,来寻找强化IP地址安全管理的研究途径.     

移动互联网环境下终端与服务器安全交互的研究

移动互联网的飞跃式发展与智能终端成本的降低,惠及了众多的普通消费者,移动互联时代用户的隐私与信息安全变得更为重要.针对Wi Fi热点环境下用户隐私与数据容易泄露的环节,对比传统的常用加密算法与使用效果,提出了一种基于OAuth协议的令牌机制的安全交互方式,它可以在保证用户相关隐私与信息安全的同时,保证服务器的响应速度,且在用户的应用存在风险或异常时,可及时提醒并引导用户进行相关安全操作.压力测试结果表明该设计是有效可行的.     

一个多方求特征值协议的分析与改进

对于一个多方安全计算特征值的协议进行了分析,并指出该协议存在安全漏洞.此外,基于相似矩阵具有相同特征值这一结果,给出了一个新的多方计算矩阵特征值协议,新协议的适用范围更广,并给出了安全性分析.     

基于PAC的Kerberos认证授权机制研究与改进

Kerberos是在开放网络环境中广泛使用的安全认证协议.近年来,对Kerberos协议的研究大多集中于如何提高其认证流程的安全性.本文在对Kerberos协议原有理论及流程分析的基础上,通过一种轻量级的特权属性证书(Privilege Attribute Certificate,PAC),为Kerberos协议提供了一种授权扩展的方案.并针对跨域访问中的授权问题,提出一种基于PAC的授权方案.     

移动网络下用户匿名认证协议的安全分析

由于移动网络环境中,移动信道具有开放、广播的特性,而且移动设备在存储、计算方面资源有限,所以,移动网络的通信数据缺少有效的保护。国内外专家学者设计出大量移动网络中的身份认证与密钥协商协议,解决身份鉴别问题的同时为后续数据的传输建立安全信道。但是,通过研究发现,这类协议大多存在安全缺陷。本文基于Dolev-Yao安全模型,对移动网络环境下的两个具有代表性的匿名身份认证协议进行安全分析,并给出协议产生安全缺陷的原因与改进思路。     

信息化条件下网络安全与舆情管控对策研究

随着网站搭建技术及网站运行理念改变,产生了安全漏洞、个人信息盗用、有害信息传播等信息安全问题。为了解决这些问题,需要分别从技术层面和管理层面对现行互联网的安全隐患进行研究,提出相应综合性对策。信息社会的安全保障工作需要国家、企业、个人共同努力,建立符合国情的信息安全保障体系,健全信息安全法律体系,建立有效的网络信息引导与监管制度对于国家安全具有十分重要的意义。     

入侵防御系统可信通信协议的设计与实现

入侵防御系统主要基于入侵检测系统和防火墙之间的联动,而它们各自能识别和维护的数据格式往往是不同的。此外,这些敏感数据通常是在开放的网络环境中传输的,面临各种安全威胁。为此,引入可信通信的概念,设计并实现了基于XML（eXtensible Markup Language）的可信通信协议。与同类工作相比,该协议可实现异构操作环境下入侵检测系统与防火墙之间的安全数据传输,并可进一步扩展支持各种网络安全产品和网络管理设备,对于实现这些设备之间的数据融合,检测复杂的分布式网络攻击具有一定的参考价值。     

一种Canetti-Krawczyk模型下的快速认证协议

基于Canetti-Krawczy模型的安全性定义与模块化特性, 利用公钥加密和消息认证码技术,构造了一个快速认证协议,并对该协议的安全性进行了详细的分析．分析表明,该协议实现了Canetti-Krawczy模型下可证明安全的快速身份认证、密钥协商和密钥更新,且具有双向实体认证、完美的向前保密性等安全属性,满足了认证的安全需求．该认证协议仅需进行2轮交互即可完成,与现有同类协议相比,通信开销小,计算量较低,为用户间的相互认证提供了一种高效的解决方案．     

一种面向Web Services的安全中间件

针对W eb Service广泛应用中存在的安全问题,构建了一种面向W eb Services的安全中间件(Security M idd leware inW eb Services,SMW S),设计了SMW S中间件的体系架构,并着重从用户管理和身份认证两方面深入探讨了具体实现技术.该中间件根据PGP信任模型进行用户管理,将公钥管理与用户管理结为一体,并在此基础上通过三方对等安全协议进行两两相互认证.分析与实验表明,该中间件能简单、安全、有效地解决W eb Services的认证、授权、抗否认、抗重放的安全问题,并能简单地实现单点登录.     

无需后端数据库的RFID认证协议

为了克服使用后端数据库模式的无线射频识别(RFID)安全协议存在的缺点,基于通用可组合
安全模型,设计了一个轻量级不需要后端数据库的RFID认证协议,该协议实现了匿名、不可
追踪和双向认证. 因该协议的实现仅使用伪随机函数原语,所以具有较高的效率. 通用可组
合安全性保证了该协议在任意的和未知的多方环境中运行时仍然是安全的.     

WAPI实施方案的安全性分析

利用增强的BAN类逻辑——AUTLOG逻辑,对中国无线局域网安全标准无线认证和保密基础设施(WAPI)实施方案的认证模型进行了深入分析,分析结果表明该实施方案改正了原国家标准中密钥协商协议存在的安全缺陷,在协议执行结束时能够保证用户端和接入点实现对彼此的身份认证,并且使双方建立了共享的单播主密钥．该协议能够达到预期的安全目标．     

军网身份鉴别系统的设计与实现

基于对称密钥密码体制的军网身份鉴别系统,其主要特点是安全强度高,密钥采用集中管理方式,身份鉴别协议简洁,鉴别步骤少,密码处理量小,效率高,适合于局域网络环境下的身份鉴别。本文从系统的硬件组成和软件结构、密钥数据库和密码模块的设计、增强用户端安全性的措施等方面对军网域内身份鉴别系统设计与实现过程中的有关问题作了较详细的介绍。结合各个部分可能出现的安全漏洞,论述了增强系统安全性所采取的措施。军网身份鉴别系统满足了军网应用系统的安全需求。     

基于安全协议操作语义模型的组合协议分析及验证

协议的可组合性问题是安全协议形式化分析及验证领域的一个公开问题,通过提出采用安全协议的操作语义模型对组合协议进行形式分析和验证,建立了Yahalom和Denning-Sacco组合协议的操作语义模型,并用基于操作语义模型的自动化验证工具Scyther验证了其安全性,发现了一个针对Yahalom协议机密性的组合攻击.结果表明,操作语义模型是分析与验证组合协议的一种可行方法.     

计费公平的安全移动数字版权管理方案

在现有移动数字版权管理的研究基础上,结合目前3G无线通信网络给出了一种计费公平的安全移动数字版权管理方案,保证了媒体内容和版权对象的机密性和完整性,防止了版权中心的剽窃;并提出一种无需可信第三方参与的公平支付机制应用在该方案中,降低了协议的实现代价,减少了参与方的交易成本。最后对该方案的安全性进行了分析,证明了该方案的安全性和可靠性。     

下一代电信网关键协议的安全性研究

下一代电信网中信令控制协议的安全性是影响网络安全的重要因素之一。文章从协议自身的安全问题、协议实现的安全问题2个方面,较全面地分析了此类协议的安全性研究方法,介绍了安全性测试方法,最后给了国内相关标准的进展情况。     

基于CPK的TLS握手协议的设计与研究

TLS协议作为当今应用最广泛的传输层安全协议,受到了人们的极大关注,但是其自身存在证书管理复杂、握手交互过多和安全缺陷等诸多问题。对TLS握手协议分析和研究,并结合基于身份的组合公钥密码体制(CPK)的特点,提出了基于CPK的握手协议方案。通过对其安全性分析和基于串空间模型理论的形式化证明,证明了该方案的安全可靠性高。在相同安全条件下进行仿真,实验结果显示与原方案对比该方案具有握手交互次数少、鉴别简捷、建立可信连接过程简单、高效等明显优点。