Internet安全标准IPSec

ＩＰＳｅｃ是新一代互联网安全标准,也是目前唯一适用于所有Ｉｎｔｅｒｎｅｔ通信的安全技术。ＩＰＳｅｃ既适用于ＩＰ目前的版本ＩＰｖ４,也适用下一代的ＩＰｖ６,可为运行于ＩＰ上层的任何一种协议（如ＴＣＰ、ＵＤＰ、ＩＣＭＰ等）提供安全和验证保护,是目前最易于扩展和最完整的网络安全方案。文章重点介绍了ＩＰＳｅｃ的关键技术：验证头（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｈｅａｄｅｒ,ＡＨ）、封装安全载荷（Ｅｎｃａｐｓｕｌａｔｉｎｇ Ｓｅｃｕｒｉｔｙ Ｐａｙｌｏａｄ,ＥＳＰ）、动态密钥交换（ＩｎｔｅｒｎｅｔＫｅｙ Ｅｘｃｈａｎｇｅ,ＩＫＥ）以及ＩＰＳｅｃ的实施方案。     

简单的三方口令密钥交换协议

基于口令认证的三方密钥交换协议（3PAKE）是通信双方在认证服务器的帮助下能在公开非安全的信道上协商并建立一个共享会话密钥。虽然目前有不少该方面的研究,但多数后来被证实易受攻击。本文给合以往的研究,提出一个不需服务器公钥体系的简单的基于口令认证的三方密钥交换协议。本文的协议不仅能抵抗各种攻击,而且计算成本和通信成本都比较低。     

计算机网络安全(下)

鉴别是验证通信对方是否真正的通信伙伴而不是冒充者的过程。面对各种有恶意的主动攻击者,要验证一个远程进程的身份需要使用基于密码术的复杂协议。鉴别协义所用的一般模型是这样的:假设会话发起方A(一个进程)想与用户B建立安全的连接。A发送一条消息给B,接着双方进行一系列的消息交换,在此期间,攻击者通过拦截、篡改或重播等途径破坏A和B的正常通信。鉴别协议的作用是:在鉴别协议信息交互结束之后,A和B能确认对方。在多数协议中,A和B还会建立—个共享会话密钥在后面对话中使用。 常用的用户鉴别方式有:     

改进的基于口令的三方密钥交换协议

通过对现有的一个三方密钥交换协议进行安全性分析,指出其存在的安全隐患,并以此为基础提出一个具有完善双向认证机制的三方密钥交换协议。该协议基于计算性Diffie-Hellman问题的难解性,只需三轮就能使通信双方协商好会话密钥,与现有的大多数协议相比具有较高的计算效率,并通过安全性分析证明它是安全的。     

公平认证密钥交换协议的安全模型与模块化设计

传统的密钥交换协议通常假定合法通信双方都是可信的,然而很多现实应用都要求通信双方在互不信任的环境中执行认证密钥交换协议,为此本文提出了公平认证密钥交换(FAKE)的思想:除了具有一般认证密钥交换协议的基本特点外,通过客户在协议会话中预先植入"会话证据",使得在不揭示会话证据的前提下,合法通信双方均可以否认会话的发生;一旦客户方揭示会话证据,则协议会话记录就会与通信双方的身份绑定.该思想为解决网络服务中保护个人隐私与处理网络服务纠纷的矛盾提供了一种切实可行的技术解决思路.文中系统规划了公平认证密钥交换协议的形式化安全模型,纠正了Kudla关于并发签名公平性安全模型存在的错误之处,利用并发签名具体构造了一个公平认证密钥交换协议,并在随机预言模型(ROM)中证明了该协议满足mBJM-AK安全性、条件可否认性以及公平性.     

身份基认证密钥协商协议

为了使得用户间能在公共数据网络进行安全通信,利用椭圆曲线上双线性映射的特性提出了一个身份基认证密钥协商协议,利用双线性对生成会话密钥,为随后的通信提供机密性、完整性保证.该协议实现了通信双方的相互身份认证功能,使通信双方能确认对方的身份,同时还提供了密钥协商的功能.经过分析表明该协议满足较高的安全性,提供了已知密钥安全性、完善前向保密性、密钥泄露安全性、未知密钥共享安全性和密钥控制安全等安全属性,并且新协议在计算效率和安全性方面取得了较好的平衡,更加适合现实网络通信的需要.     

有效的强安全组群密钥交换协议

组合公钥密码(CPK)体制无需证书来保证公钥的真实性,克服了用户私钥完全由密钥管理中心生成的问题。基于CPK设计了一个常数轮的组群密钥交换协议,该协议在CDH假设下可证安全并具有完美的前向安全性,只需两轮通信即可协商一个组群会话密钥,在通信和计算方面都很高效;并且高效地支持组群成员动态加入/离开,尤其对于多成员加入/离开的情况,只需额外的少量通信和计算即可更新组群密钥,确保了前向保密性和后向保密性。此外,本协议提供了强安全性保证,它能保持密钥的秘密性,除非某一方的临时私钥和长期私钥同时被泄露。最后,该协议提供了一个设计常数轮强安全组群密钥交换协议的方法,大部分的秘密共享体制均可直接应用于该协议。     

一种基于TTP的两方认证密钥交换协议

本文提出了一种适合大规模C2C通信环境的两方密钥交换TTP-TPAKE协议,协议中的每个通信实体和可信中心共享一个可记忆的口令,然后在该可信第三方的帮助下,每对通信实体生成他们的会话密钥。该协议只需四轮通信,不需棘手的公钥基础设施作为支撑,具有较高的计算和通信效率。在随机预言模型和理想密文系统下,形式化地证明了TTP-TPAKE协议具备AKE安全。     

一个前向安全的基于口令认证的三方密钥交换协议

目前,文献中提出的基于口令认证的密钥交换协议,很多都是针对两方的情形设计的,即通信双方为客户与服务器,它们通过一个预先共享的口令来进行认证的密钥交换.随着现代通信环境的快速变化,需要能为任意客户间构建一个端到端的安全信道,这种应用的情形与那些文献中所考虑的有很大区别.针对这种情形,文中提出了一个可证前向安全的基于口令认证的三方密钥交换协议,使通信双方在认证服务器的帮助下能相互进行认证并建立一个会话密钥.与前人提出的基于口令认证的三方密钥交换协议相比,该协议在计算代价和通信代价上都较有效,因而更适用于资源受限的环境.此协议的安全性是在口令型的选择基Gap Diffie-Hellman问题难解的假设前提下在随机谕示模型下证明的.     

改进的三方口令认证密钥交换协议

基于三方的口令认证密钥交换（3PAKE）协议是客户通过与可信服务器共享一个口令验证元,在两客户进行通信时通过此可信服务器进行会话密钥的建立与共享,从而进行通信。首先对李文敏等人提出的协议进行安全性分析,发现该协议易受离线字典攻击和服务器泄露攻击。提出了一个改进协议,该协议能够提供双向认证、会话密钥机密性和前向安全性,能够有效抵抗多种攻击,包括离线字典攻击和服务器泄露攻击。     

Internet密钥交换协议安全性分析

ＲＦＣ ２４０９（ＩＫＥ）提供了一组Ｉｎｔｅｒｎｅｔ密钥交换协议,目的是在ＩＰＳｅｃ通信双方之间建立安全联盟和经过认证的密钥材料。文章分析了ＩＫＥ协议安全特性,以及两个阶段中实现各种安全机制的工作原理。同时,发现了存在的安全缺陷,并给出了修改建议。     

Internet网络层安全协议理论研究与实现

本文研究了Ｉｎｔｅｒｎｅｔ网络层ＩＰ安全协议亟待解决的理论和技术问题,提出一种适合于非连接ＩＰ数据加密业务密码同步的滑动窗口机制,从理论上描述了安全协议的运行状态,并对安全协议进行了扩展。针对非连接ＩＰ的特点以及目前ｓｅｓｓｉｏｎｌｅｓｓＳＫＩＰ密钥管理的弱点,本文给出了无会话密钥管理的定义,提出了一种基于椭圆曲线理论的非会话密钥管理方案,该方案与传统主案相比可减少密钥长度,提高安全性能,同时有     

认证群密钥协商协议编译器的分析与改进

认证群密钥协商协议能为群用户产生一个共享的会话密钥,使群用户在公共数据网络中进行安全通信。该文分析证明Abdalla等人的密钥协商协议不能抵抗假冒攻击：某用户的左右邻居在获得与该用户运行群密钥交换协议副本后,可以假冒该用户与其他群成员运行该协议,产生一个新的共享会话密钥,且不会被群中其他成员发现。并针对该协议编译器的缺点进行改进。     

基于身份的双向认证及密钥协商协议

本文利用椭圆曲线上的双线性映射的特性,提出了一种基于身份的双向认证及密钥协商协议,该协议实现了通信双方的相互身份认证功能,使通信双方能确认对方的身份,同时还提供了密钥协商的功能,让通信双方能公平的协商会话密钥,经过分析,该协议能够抵抗重放攻击、中间人攻击和拒绝服务攻击,具有较高的安全性,此外,协议还具有较高的效率。     

解决Socks5代理服务器因进程过多而无法运行的问题

对于教育网和１６９的大部份用户来说,如果他们要到其所在的局域网以外的地方访问ＩＮＴＥＲＮＥＴ上的资源,都要通过某一种代理服务器的帮助才能实现。 代理服务器有好几种,其中Ｓｏｃｋｓ５代理服务器上运行的Ｓｏｃｋｓ５代理是目前最优秀的代理之一。它可以让几乎所有基于ＴＣＰ／ＩＰ 协议和ＵＤＰ协议的软件都能使用Ｓｏｃｋｓ５代理出去访问ＩＮＴＥＲＮＥＴ。Ｓｏｃｋｓ５还支持各种身份验证研制,服务器端域名解析,这很好地解决了认证、保密、以及ｐｒｏｘｙ接力等问题。 Ｓｏｃｋｓ５在协议栈的ＴＣＰ层上运行,它不要求应用…     

两个三方密钥交换协议的安全性分析与改进

通过对现有的两个基于验证元的三方密钥交换协议进行了安全性分析,指出它们都是不安全的,并以此为基础提出了一个高效的基于双验证元的三方密钥交换协议。在排除计算效率较低的公钥密码算法的情况下,该协议仅需两轮就能使通信双方生成四把会话密钥,并且通过安全性分析表明了该协议具有强大的双向认证机制和抵御各种攻击的能力。     

Windows95中的三种网络协议

协议是计算机通过网络彼此交流的一种“语言”。不同计算机之间必须使用相同的网络协议才能进行通信。Ｗｉｎｄｏｗｓ９５提供了三种网络协议：ＩＰＸ／ＳＰＸ、ＮｅｔＢＥＵＩ和ＴＣＰ／ＩＰ,三者面向不同网络需求和规模,各有优势。１、ＩＰＸ／ＳＰＸＩＰＸ／ＳＰＸ是...     

新的基于椭圆曲线的三方口令认证密钥协商协议

口令认证密钥协商使得参与通信的用户用一个低熵的口令就可以实现实体认证,并能通过不安全的信道安全地生成共享的高熵会话密钥。为此,设计了一种新的基于椭圆曲线的三方口令认证密钥协商协议,新协议将参与者的口令巧妙地隐藏在传输的消息中,确保了口令的安全性。新协议的安全性基于椭圆曲线离散对数问题,服务器并不需要完全可信。安全性分析和性能分析显示,新协议以较低的代价实现了通信双方的安全通信。     

一种基于令牌的认证密钥交换协议

对称密钥系统较之非对称密钥系统具有惊人的速度优势,但是管理对称密钥系统的密钥却是需要解决的一个难题。Diffie-Hellman密钥交换是一个可以使通信双方在不可信信道上一同建立共享密钥,并使之应用于后继对称密钥通信系统的一种密码协议。应当注意到,Diffie-Hellman密钥交换协议不支持对所建立的密钥的认证。处于两个通信参与者Alice和Bob之间的一个恶意的攻击者Mallary可以主动操纵协议运行过程的信息并成功实施所谓的中间人攻击(man-in-the-middleattack)。因此为了能够真正在两个通信参与者Alice和Bob之间协商一个密钥就必须确保他们在协议运行过程中收到的信息的确是来自真实的对方。本文就是给出一种基于令牌的认证密钥交换协议以对Diffie-Hellman密钥交换协议进行改进。这对于电子商务等等很多网络应用而言是至关重要的。本文也给出了这种协议的安全性分析,并描述了基于JAVA的实现。     

跨域基于口令认证的密钥交换协议的分析与改进

由于网络中存在安全问题,通信双方必须在通信前进行身份鉴别和密钥交换.跨域基于口令的认证密钥交换协议(C2C-PAKE)利用同一域间客户与服务器问预先共享的口令,使分布在不同域中持有不同口令的两个用户可以协商并分配一个共享的会话密钥.描述一个跨域C2C-PAKE协议,给出协议的交互过程,分析其安全性及其可能遭受的两种攻击,并给出对应的改进方案.