一种强安全的无证书非交互密钥交换协议

非交互密钥交换协议(Non-interactive Key Exchange,NIKE)允许通信双方在没有信息交互的情况下生成一个共享密钥。在基于身份的非交互密钥交换协议(Identity-based Non-interactive Key Exchange,ID-NIKE)中,用户私钥是由私钥生成中心(Private Key Generator,PKG)分发给用户的,因此PKG可以计算出用户之间的共享密钥,即存在密钥托管的问题。针对ID-NIKE的上述不足,基于无证书的公钥密码体制(Certificateless Public Key Cryptography,CL-PKC),首先提出了无证书非交互密钥交换协议的安全模型,然后设计了一个强安全的无证书非交互密钥交换协议方案,并在随机预言模型下基于BDH假设给出了协议的安全性证明。该方案是第一个基于CL-PKC的非交互密钥交换协议方案,并结合了CL-PKC和NIKE的优点,因此该方案不仅具有非交互的性质,而且PKG计算不出用户间的共享密钥,所以其可以更好地保护用户隐私。另外,该协议还允许用户部分秘密信息泄露,因此具有更高的安全性。     

基于零知识的分布式群组密钥管理方案

在分析现有群组密钥交换协议的基础上,提出了一种基于零知识的分布式群组密钥管理方案。该方案实现了零知识性和分层结构的有机结合,对组控制器的密钥存储量、加密计算量、单播和广播次数等的分析结果表明,该方案提高了群组通信的效率,并具有良好的可扩展性,可应用于网络秘密会议等多种群组通信环境。     

Pw/GAKE:基于口令的高效组群密钥生成协议

针对组群通讯环境中的身份认证式密钥交换问题,基于Diffie-Hellman判定性问题的难解性假设构造了一个基于口令的身份认证组群密钥交换协议Pw/GAKE。该协议具有很高的计算效率,所有组群成员仅需参与一轮消息传输和一次广播、仅需进行幂指数运算和散列运算而无需借助任何复杂的公钥密码方案,因此特别适合于无线/移动自组网络环境中的中小规模组群。在随机oracle模型下证明了该协议的安全性。该证明将协议Pw/GAKE的安全性质归结为Abdella-Pointcheval所建立的2-方密钥交换协议SPAKE的安全性质,显示出Pw/GAKE的构造具有很强的递归特征。     

格上具有完全前向安全的0轮往返时间密钥交换协议

0-RTT密钥交换协议允许客户端在零往返时间发送加密保护的有效载荷和第一条密钥交换协议消息,具有非交互、可离线等优点。为了降低密钥交换往返时间,基于穿透加密思想提出一种格上0-RTT密钥交换协议。首先利用一次性签名算法和分级身份基密钥封装机制构造可穿透前向保密密钥封装方案,然后使用可穿透前向保密密钥封装方案设计0-RTT密钥交换协议。协议只需客户端对服务器进行单向认证,并且能够有效抵抗量子攻击和重放攻击。与同类协议相比,所提协议具有可穿透的完全前向安全,减少了通信轮数,提高了通信效率。     

改进的空间网络密钥交换协议

针对空间网络的特点及空间网络对密钥交换的特殊需求,提出一种适用于空间网络的密钥交换协议。该协议以Internet密钥交换协议为基础,通过增加DH循环队列、提高Cookie计算强度的方法增强其抗拒绝服务攻击的能力,给出抵御中间人攻击、选项攻击及反射攻击的修正方法。理论分析表明,该协议具有更高的安全性和较少的交换次数,更适用于空间网络通信环境。     

认证协议中数据同步的分析

认证双方数据的同步是认证协议以及认证密钥交换协议的基本要求,但是在协议设计过程中难以把握且经常被忽视。对近年来可证明安全的一个RFID认证协议和一个RFID认证密钥交换协议以及可证明安全的一个移动卫星通信系统认证密钥交换协议进行了仔细分析,分别发现了针对这些协议的数据同步攻击,这些攻击破坏了协议的可用性。最后分别给出了改进方案,以克服存在的安全隐患。     

一种可认证的三方密钥协商协议

新协议提出了一个安全高效的三方密钥交换协议方案,通过在CDH假设下运用椭圆曲线密码体制,将长期私钥和临时私钥混合的方法保证协议的安全,通过对该协议的安全性进行分析,表明该协议可以抵御多种攻击;另一方面,将参与方中的任意两方作为一组,生成一个共同密钥,然后两方中的任意一方再与第三方进行消息认证和密钥协商,这样仅需要五次信息交互就可以实现整个协议的相互认证和密钥的确认功能,同时通过协议的比较还表明该协议具有较高的效率。     

无线传感网动态可认证群组密钥交换协议

无线传感器网络中节点电池电量有限、节点计算能力及存储能力受限,使得现有的大部分群组密钥交换技术不适用于无线传感器网络。针对该问题,提出一种动态的可认证群组密钥交换协议。采用双线性映射技术实现无线传感器网络中节点之间的群组密钥交换。该协议具有可认证性,避免群组密钥交换过程中遭到欺骗攻击及中间人攻击;具有动态性,适用于无线传感器网络节点动态部署;在双线性计算Diffie-Hellman(bilinear computation Diffie-Hellman,BCDH)困难性假设下是可证安全的。分析结果表明,该协议具有较高的安全性和较好的性能。     

Internet密钥交换中的身份交换和认证

身份认证是密钥交换协议的重要组成部分。文章以Internet密钥交换协议IKE为基础,介绍了密钥交换协议中的身份认证,并提出了一些改进方案,以提高密钥协商的效率。讨论了身份保护的作用,以及在密钥交换协议中应如何实现身份保护,来保护参与者的身份。     

Internet密钥交换中的身份交换和认证

身份认证是密钥交换协议的重要组成部分.文章以Internet密钥交换协议IKE为基础,介绍了密钥交换协议中的身份认证,并提出了一些改进方案,以提高密钥协商的效率.讨论了身份保护的作用,以及在密钥交换协议中应如何实现身份保护,来保护参与者的身份.     

IKE协议的研究与改进

分析并指出了因特网密钥交换协议的安全漏洞和设计缺陷，提出了一种安全高效的密钥交换协议。对比现有的几种密钥交换协议，改进的协议具有更好的安全性、抗DoS攻击能力、较少的密钥交换时间和消息数。     

流媒体资源调度策略的研究与应用

流媒体系统资源调度策略是流媒体系统中的关键技术和重要研究方向。本文提出了一套资源调度解决方案,利用节目切片、分布式存储解决节目存储问题,利用单播、组播和单、组播切换解决流的播放问题,并给出一种调度策略解决流的调度问题。测试结果显示该方案具有良好的效果。     

分布式信息系统中数据交换平台设计与实现

为了提高分布式信息系统的性能,加快系统间的数据流通实现信息的共享和集成,需要为分布式信息系统建立数据交换平台.通过对数据交换平台现有的一些解决方案分析,在研究JMS (Java message service)等技术基础上,设计并实现了新的数据交换平台.利用JMS消息模式实现消息持久化,以开源消息中间件为交换中心,在SOA (service-oriented architecture)平台技术上完成了分布式信息系统的数据变换平台.详细介绍了平台设计架构、信息交换过程、数据封装格式,重点描述了发送接口、轮循器以及发送接收功能等关键技术的实现工作,完成了大型分布信息系统中消息持久化、零配置以及快速、稳定消息传送的数据交换平台.     

Security of robust generalized MQV key agreement protocol without using one-way hash functions

The MQV key agreement protocol has been adopted by IEEE P1363 Committee to become a standard, which uses a digital signature to sign the Diffie–Hellman public keys without using any one-way hash function. Based on the MQV protocol, Harn and Lin proposed a generalized key agreement protocol to enable two parties to establish multiple common secret keys in a single round of message exchange. However, the Harn–Lin protocol suffers from the known-key attack if all the secret keys established are adopted. Recently, Tseng proposed a new generalized MQV key agreement protocol without using one-way hash functions. Tseng claimed that the proposed protocol is robust since the new protocol can withstand the forgery attack and the known-key attack. In this paper we show that this protocol is not secure since the receiver can forge signatures. We also propose an improved authenticated multiple-key agreement protocol, which is secure against the forgery attack and the known-key attack.     

Distributed recommender for peer-to-peer knowledge sharing

A novel model of distributed knowledge recommender system is proposed to facilitate knowledge sharing among collaborative team members. Different from traditional recommender systems in the client-server architecture, our model is oriented to the peer-to-peer (P2P) environment without the centralized control. Among the P2P network of collaborative team members, each peer is deployed with one distributed knowledge recommender, which can supply proper knowledge resources to peers who may need them. This paper investigates the key techniques for implementing the distributed knowledge recommender model. Moreover, a series of simulation-based experiments are conducted by using the data from a real-world collaborative team in an enterprise. The experimental results validate the efficiency of the proposed model. This research paves the way for developing platforms that can share and manage large-scale distributed knowledge resources. This study also provides a new framework for simulating and studying individual or organizational behaviors of knowledge sharing in a collaborative team.     

A lightweight remote user authentication scheme for IoT communication using elliptic curve cryptography

Internet of things (IoT) has become a new era of communication technology for performing information exchange. With the immense increment of usage of smart devices, IoT services become more accessible. To perform secure transmission of data between IoT network and remote user, mutual authentication, and session key negotiation play a key role. In this research, we have proposed an ECC-based three-factor remote user authentication scheme that runs in the smart device and preserves privacy, and data confidentiality of the communicating user. To support our claim, multiple cryptographic attacks are analyzed and found that the proposed scheme is not vulnerable to those attacks. Finally, the computation and communication overheads of the proposed scheme are compared with other existing protocols to confirm that the proposed scheme is lightweight. A formal security analysis using AVISPA simulation tool has been done that confirms the proposed scheme is robust against relevant security threats.

     

基于非密码认证体制的密钥分配方案

对称密钥加密体制是加密大量数据的行之有效的方法,使用对称密钥匙加密体制需要通信双方协商密钥。提出了一种结合非密码认证体制和HMAC的简单快速的密钥分配方案,在完备的基于口令的身份认证体制基础上,利用散列函数的性质,根据以离线方式共享的强度较低的密钥生成安全性更高的密钥,保护通信系统的对称加密密钥协商过程。     

一种抗合谋攻击的基于身份的门限签名方案

基于Paterson签名方案和分布式密钥生成协议,提出了一个新的基于身份的门限签名方案。该方案能有效抵抗合谋攻击和伪造签名攻击,并能实现签名成员的可追查性。无需可信中心参与,群签名成员共同生成群公钥和秘密分发群签名密钥。在标准模型下,该方案是健壮的和对适应性选择消息攻击是不可伪造的。     

P2P网络环境中节点信息交换的信任机制研究

P2P网络的匿名性和动态性带来了许多安全问题,传统的信任管理模型并不能很好地适应P2P网络环境,动态信任模型是新的研究热点。本文在对现有P2P环境中的信任机制进行分析的基础上,通过研究消费节点对服务节点的信任,针对节点间的信息交换活动提出了一种改进的信用评估模型,评估服务提供者在信息交换过程中的信用度变化过程;并引入风险机制,分析了P2P网络中节点间进行信息交换的风险。实验证明,该模型能有效地抗信用炒作和抗周期性欺骗。     

基于粒子群优化的全比较计算数据分发策略

全比较计算数据分发策略是提高分布式集群系统整体计算性能的关键。针对现有数据分发策略存在的计算负载不均衡、数据不能完全本地化、存储空间浪费和计算速度慢等弊端,在满足数据完全本地化的前提下以负载均衡、最优化存储作为优化目标,结合优化的粒子群算法提出了数据分发模型（Data Distribution Based on Particle Swarm Optimization,DDBPSO）。DDBPSO模型分别以任务扰动、交换任务的方式对粒子进化规则进行了优化,有效避免了算法陷入局部最优。通过计算负载、存储占用和数据本地化等实验,结果表明,与开源框架Hadoop的数据分发策略相比,提出的DDBPSO模型与算法具有计算负载均衡、完全的数据本地化、存储空间占用小、计算速度快等优势。