物联网中的隐私保护问题研究

在物联网中的认证和密钥协商过程中,如果用户的身份信息以明文的形式传输,攻击者可能追踪用户的行动轨迹,从而造成信息泄漏。针对大多数基于身份的认证和密钥协商协议不能保护用户隐私的问题,提出一个基于身份的匿名认证和密钥协商协议。在设计的认证和密钥协商方案中,用户的身份信息以密文的形式传输,解决了用户的隐私问题。     

一次性口令身份认证方案的分析与改进

分析了文献[1]中的一次性口令的身份认证方案，发现由于原方案是一个单向认证协议，因此不能抵抗中间人攻击，该文在不增加计算复杂度的前提下，对原方案进行了改进，使其成为一个安全的双向认证协议，并将其中的关键信息进行了加密保护，改进后的方案克服了原方案存在的安全漏洞，并保留了原方案的所有安全特性，且具有更高的安全性。     

基于可信计算平台的身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信计算平台完整性校验、保护存储和访问控制以及远程平台校验等安全特性,提出了可信计算平台身份管理方案和协议。本方案实现了多种方式的身份认证及身份、身份认证审计记录和主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输。最后,进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的负担。     

一种改进的IKEv2协议及其形式化验证*

针对IKEv2协议在系统开销和发起方身份保护方面的不足,提出了一种改进协议的方案。新的协议采用基于超椭圆曲线的Weil对技术进行数字签名认证,并且首先认证响应方身份。通过该方案,改进后的协议降低了系统开销,实现了对发起方身份的主动保护。最后,基于应用pi演算的方法对协议进行了建模,并定义和分析了协议的安全属性。结果表明,改进后的协议具有更好的安全性和实用性。     

可信移动平台身份管理框架*

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

一种基于签密的改进IKEv2协议*

针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议.新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与响应者之间的双向认证;并且协议的响应者先主动证明自己的身份,确保了对发起者进行主动身份保护.基于认证测试方法对该协议进行形式化分析表明:新协议具有很好的秘密性和双向认证性;同时,该协议只需三条消息,具有简单、高效的特点.     

Internet密钥交换中的身份交换和认证

身份认证是密钥交换协议的重要组成部分。文章以Internet密钥交换协议IKE为基础,介绍了密钥交换协议中的身份认证,并提出了一些改进方案,以提高密钥协商的效率。讨论了身份保护的作用,以及在密钥交换协议中应如何实现身份保护,来保护参与者的身份。     

Internet密钥交换中的身份交换和认证

身份认证是密钥交换协议的重要组成部分.文章以Internet密钥交换协议IKE为基础,介绍了密钥交换协议中的身份认证,并提出了一些改进方案,以提高密钥协商的效率.讨论了身份保护的作用,以及在密钥交换协议中应如何实现身份保护,来保护参与者的身份.     

基于口令的密钥协商协议的改进与设计

针对Diffie—Hellman协议易遭受中间人攻击的缺陷,文章采用共享口令和随机化的方式进行身份认讧,提出了一种基于口令的D—H密钥协商协议。通过对Byun和Lee的基于口令的群密钥协商方案及胡红宇的改进方案进行分析,发现改进后的协议存在不完整认证,会遭到篡改。文章首先对相关方案进行改进和完善,并在此基础之上,结合所改进的D—H密钥协商协议,基于椭圆曲线构造了一种在认证中传递消息的群密钥协商协议。     

IKE协议两种身份保护缺陷的改进

该文从身份保护的角度出发,对互联网密钥交换(IKE)协议主模式下数字签名认证方式和主模式下预共享密钥认证方式中存在的身份保护缺陷进行了分析,提出了新的修改建议。与其他文献只能保护单方身份的改进方法相比,该方法能够同时保护双方的身份,并不破坏ISAKMP框架及协议的对称性。     

IKE协议抵抗中间人攻击的研究

IKE协议是IPSec协议族中的自动密钥交换协议,用于动态地建立安全关联。在IKE协议中采用的D-H交换极易受到中间人攻击的威胁。通过深入研究中间人攻击的实现原理,并结合IKE协议中数字签名认证、公钥加密认证、预共享密钥认证三种认证方式详细论述了在该协议中是如何利用身份认证技术抵抗中间人攻击。     

IPSec中IKE协议的安全性分析与改进

IKE协议是IPSec协议族中的自动密钥交换协议，用于动态地建立安全关联（SA），对IKE协议的交换过程进行了安全性分析，并提出了两点改进建议：重新定义ISAKMP消息包头中消息ID字段的作用，提供了抗重放攻击的机制；对公钥签名主模式进行改进，以保护发起者的身份信息。     

IPSec密钥交换的分析

在对IKE进行分析的基础上，讨论了怎样在安全密钥协商过程中对发起者身份进行保护，并给出了具体实施步骤。针对IKE中在标准公钥加密认证中发起方也可能有多个公钥，而响应方并没有具体指出使用哪个公钥的问题，提出修改建议，使发起方通知对方使用自己哪个公钥进行解密。     

IKE协议中的公钥证书的分析与实现

IKE协议是IPSec协议族中的重要组成部分，能够动态地建立和维护安全关联SA。它支持4种认证方法，其中的3种需用到公钥证书。对IKE中的公钥证书进行分析，指出需要建立一些机制来提高协议对证书的有效使用，在FreeS／W/AN基础上实现了一个简单的证书机制，用于对IKE相关部分的分析。这个证书机制也可用于独立的Intranet的IPSec应用。     

IPSEC和组播协同工作系统设计

IPSEC是解决IP层安全的协议,它是一种点到点的协议,IPSEC和IKE协同工作可以解决单播通信的安全,同时IKE是点到点的密钥管理协议,它也不适宜于在组播环境下使用,因为在组播环境下,同一个包却有多个接收者,有时许多发送者都将包传给一个特定的多播地址。该文建立了一个IPSEC与组播协同工作的环境,重点解决组播环境下密钥管理的问题。并且提出了三种密钥管理方式,分析了它们的性能优劣,特别指出采用完全密钥二叉树,并使用布尔函数化简技术可以有效解决IPSEC和组播环境协同工作下的密钥分配问题。     

IPSec协议的远程证明扩展

传统IPScc协议在建立安全通信连接时,没有考虑终端自身安全问题,而可信计算的远程证明机制就是为被接入方提供接入方的自身安全证明,将其引入IPSec协议可以弥补建立IPSe。连接时的终端安全漏洞。首先分析了IPScc协议的IKE协商过程和可信计算技术的远程证明机制,然后以基于数字签名的IKE主模式流程为例,提出在IKE协商阶段引入远程证明机制的IPScc远程证明扩展协议流程及安全分析。该协议引入带有SKAE扩展项的身份证书,实现对终端身份和系统完整性的双重认证,确保端到端的安全连接。协议在保证通信信息的机密性、完整性、新鲜性之外,也充分保护终端平台隐私性。     

IKE协议分析及改进

本文根据IKE协议在初始协商过程中的脆弱性，提出一种改进的cookie算法以增强IKE协议的安全性，最后还给出了详细分析。     

基于PKI身份认证的高强度IKE协议分析与设计

IKE协议作为IPsec协议簇中的重要组成部分，引起了广泛的关注和研究。本文在研究已有IKE协议的基础上，将公钥基础设施PKI体系引入其中，并在PKI现有RSA算法外应用高强度的椭圆曲线密码ECC算法，提出将ECC、PKI同IKE协议相结合，设计了一个基于PKI身份认证的高安全强度IKE协议，从而提高了VPN网关的安全性和可扩展性，有效保护了VPN网络资源的安全．最后提出了实现方案。     

基于数字证书的Internet密钥交换实现技术研究

基于数字证书的Internet密钥交换可以划分为两个主要问题：公钥和私钥的存储与传递,以及在交换中如何使用公钥和私钥.文章在简述了IKE（Internet密钥交换）实现框架的基础上,着重分析了对IKE所定义的三种使用公钥证书的验证方法,描述了重要实现环节.