KNXnet/IP协议安全性分析与改进

KNXnet/IP协议作为欧洲安装总线(EIB)协议的扩展应用,提高了EIB系统的传输速率并满足了智能管理的需求,但分析表明以IP网络作为骨干网的KNXnet/IP协议在安全性要求较高的应用领域内面临严重的威胁。在分析现有IP网络安全机制及嵌入式系统特点的基础上,提出适用于EIB系统的安全加密通信协议,该安全协议以非对称加密算法为基础,使用自定义的密钥交换协议管理密钥集,设备之间使用对称加密算法通信,具有对原协议架构改动较小、提供数据透明传输的特点,协议的原型实现证明了其可行性和安全性。     

基于ECC的指纹身份认证系统

椭圆曲线密码机制（ECC）是目前应用密码学的一个研究热点。介绍了ECC的基本算法,阐述了基于特征向量匹配的自动指纹识别过程。分析设计了三层架构的指纹身份认证系统,并采用基于椭圆曲线的Diffie-Hellman密钥交换协议生成用会话密钥,结合对称加密操作实现数据的安全传输,提高了系统的安全性和可靠性。     

网络安全传输通道技术的研究

安全传输通道是对待传输的原始信息进行加密和协议封装处理,从而实现安全传输的技术,该文从介绍TCP/IP协议栈的分层体系结构出发,分别在TCP/IP的各个层次上提出了实现安全传输通道的技术和解决方案。特别是对网络层的安全传输通道技术提出了实现机制。     

穿越NAT/防火墙的SIP端到端网络安全机制

介绍了会话初始协议的一种扩展，实现了会话描述协议（SDP）和穿越NAT／防火墙的端到端网络安全机制。该解决方案基于安全多用途网际邮件扩充协议（S／MIME）和中间体通信（MIDCOM）协议实现。用户授权代理服务器代替自己加密会话描述信息，该代理选定接收方并为接收域中的SIP代理眼务器加密SDP。当每个终端用户能经由一条安全链接联系到它可信赖的SIP代理并授权该代理加密信号数据时，会话信息就得到了端到端的安全保护。     

在网络层实现安全传输通道技术的研究

安全传输通道是对传输的原始信息进行加密和协议封装处理,从而实现安全传输的技术,本文在TCP/IP的网络层上提出了实现安全传输通道的技术和解决方案。并对网络层的安全传输通道技术提出了实现机制。     

基于中间件的Web信息传输安全模型的研究

为了方便地解决Web信息传输安全问题,提出一种基于Web Service技术的信息传输安全模型.该模型使用加密算法以及动态密钥对数据进行加密,保证通信数据的安全,运用非对称和对称密钥体制相结合的密码安全体制,提高了密码运算的效率.模型以中间件的形式设计,实现了软件的模块化,可以方便地被集成到网络应用系统中,具有很强的通用性.     

IPSec安全机制浅析

在TCP/IP网络体系结构中,IP数据报协议存在着固有的安全缺陷,极易受到攻击。其安全隐患主要来自两个基本可能:第一,通过窃听,攻击者截收网上的IP数据包,解读其中的内容并获得需要的信息;第二,通过IP地址仿冒、重放,攻击者发送假消息,篡改真实数据,破坏系统正常运行。为此采取的相应手段是对传输的IP数据包进行加密(如DES或3DBS)和签名认证(如MD5或SHA)。本文针对Win2000操作系统采用的安全加密及认证措施(IPSec)进行技术上的分析和说明,有助于读者了解这些安全措施是如何起到安全作用的。     

椭圆曲线密码和AES算法的分析与设计

本文介绍了密码系统的概念,密码体制的分类,重点介绍了对称密码体制中的高级数据加密标准AES算法和非对称密码体制中的椭圆曲线密码ECC算法,实现了AES和ECC各自的加密和解密的软件,并将二者结合可实现保密通信,提高网上信息传输的安全性和可靠性。     

一种基于3G网络端到端加密的新型密钥管理方案研究

现今人与人之间传输数据时越来越依赖于3G移动通信网络,特别是第三代移动通信网络（3G）。尽管3G网络实现了网络组件内数据的机密性、完整性,但它并不提供用户端到端的机密性和完整性,而端到端加密的关键是有效地管理每一个密钥。因此文章提出了一种新的端到端加密的密钥管理方案,该方案基于三方Diffie、Hellman密钥协议算法,充分利用了3G的特殊性,只增加一种新的软件,几乎没有改变3G的物理结构。文章还对方案进行了评估,证明了该协议能够提供消息的机密性,以及通信双方双向认证的正确性。     

基于代理重加密的消息队列遥测传输协议端到端安全解决方案

针对消息队列遥测传输（MQTT）协议缺乏保护物联网（IoT）设备间通信信息的内置安全机制,以及MQTT代理在新的零信任安全理念下的可信性受到质疑的问题,提出了一种基于代理重加密实现MQTT通信中发布者与订阅者间端到端数据安全传输的解决方案。首先,使用高级加密标准（AES）对传输数据进行对称加密,以确保数据在整个传输过程中的机密性;然后,采用将MQTT代理定义为半诚实参与方的代理重加密算法来加密传输AES对称加密使用的会话密钥,从而消除对MQTT代理的隐式信任;其次,将重加密密钥生成的计算工作从客户端转移到可信第三方,使得所提方案适用于资源受限的IoT设备;最后,使用Schnorr签名算法对消息进行数字签名,以提供数据来源的真实性、完整性和不可否认性。与现有MQTT安全方案相比,所提方案用和不提供端到端安全性的轻量级方案相当的计算和通信开销获取了MQTT通信的端到端安全特性。     

移动IP注册过程中主密钥分发方案研究

移动IP注册过程的安全,主要是通过认证和消息完整性保护实现的,因此,密钥的安全有效分发便成为保证注册过程安全的关键。根据注册过程中的密钥要求,提出了基于Diffie-Hellman密钥协商机制和椭圆曲线密码算法的主密钥分发方案,并运用SVO逻辑对该方案进行了安全性分行。分析结果表明,该方案实现了密钥分发过程中双方的身份认证以及密钥的确认性和新鲜性。     

基于Linux和IPSec的VPN安全网关设计与实现

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务，可以保证数据在传输过程中的安全；Linux是一个开放的操作系统，在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关，并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程，同时对这种安全网关性能进行了分析。     

Internet网络层安全协议理论研究与实现

本文研究了Ｉｎｔｅｒｎｅｔ网络层ＩＰ安全协议亟待解决的理论和技术问题,提出一种适合于非连接ＩＰ数据加密业务密码同步的滑动窗口机制,从理论上描述了安全协议的运行状态,并对安全协议进行了扩展。针对非连接ＩＰ的特点以及目前ｓｅｓｓｉｏｎｌｅｓｓＳＫＩＰ密钥管理的弱点,本文给出了无会话密钥管理的定义,提出了一种基于椭圆曲线理论的非会话密钥管理方案,该方案与传统主案相比可减少密钥长度,提高安全性能,同时有     

SDSR——Ad hoc网络中安全的动态源路由协议*

首先回顾了Ad hoc安全路由协议的研究现状,然后对于DSR协议给出一种安全路由协议SDSR。利用基于身份的密码体制节点可以非交互地共享一对称密钥,邻居节点使用该密钥进行预认证生成会话密钥。路由发现过程中采用对称密钥算法进行逐跳加密和认证,可以阻止非法节点参与路由过程,而且具有较高的效率。     

椭圆曲线软件及密码卡的设计与实现

介绍了椭圆曲线密码在软件和低端环境中的设计与实现,主要包括高效的椭圆曲线密码软件、生成安全椭圆曲线的SEA算法软件和具有USB接口椭圆曲线加密卡。研究结果表明, 椭圆曲线公钥密码无论在软件实现, 或在低端环境如单片机或智能卡上的实现, 都达到了可以使用的水平。     

PGP电子邮件系统的安全性分析及其改进

电子邮件是Internet上应用最广泛的服务之一,有个人信件的交换,也有重要商务信函的往来,所以电子邮件安全问题成为目前关注的焦点。该文分析了一种基于PGP的安全电子邮件系统的原理和安全性,研究和实现了基于椭圆曲线密码体制的安全电子邮件解决方案,有效地解决了邮件的安全问题。     

引入AAA模型的移动IP安全认证与注册协议

本文在对移动IP协议的基本工作原理以及移动IP协议存在的安全威胁进行分析的基础上,通过引入AAA模型,提出了一个安全的移动IP认证与注册协议。最后,对协议的安全性进行了详细分析。     

Symmetric cryptographic solution to Yao’s millionaires’ problem and an evaluation of secure multiparty computations

Secure multiparty computation has become a central research focus in the international cryptographic community and in the future likely will represent an integral part of computing science. Protocols for Yao’s millionaires’ problem provide the building blocks for many secure multiparty computation protocols, which makes their efficiency critical. Unfortunately, all known protocols for Yao’s millionaires’ problem employ public key cryptography and thus are inefficient. This article constructs a new efficient solution to Yao’s millionaires’ problem based on symmetric cryptography. We first develop an efficient protocol for set-inclusion problems, which has independent interest for secure multiparty computations. The privacy-preserving property of the solution is demonstrated by a well-accepted simulation paradigm. To compare the security levels of different solutions, we propose a new security paradigm that quantitatively captures the security levels of different solutions and can determine which secure multiparty computation solution is preferable. This article thus provides an important supplement to the simulation paradigm. Together with the simulation paradigm, it offers a complete security evaluation benchmark for multiparty computations.     

一种基于非对称密码学的分布式认证方案

网络安全技术,特别是网络环境中的身份认证协议及系统,对于应用的安全起着非常重要的作用,并已经成为影响网络进一步发展的重要因素。在开放网络中真正安全可靠的是密码学身份认证协议,根据密码学基础可分为基于对称密码和非对称密码两大类。通过对经典的kerberos系统的分析,给出了与非对称密码系统结合的改进方法,增强了其安全性和可扩展性。     

3G中安全增强的AKA协议设计与分析

提出了3G安全保密系统框架,设计了安全增强的认证与密钥协商协议,并对其进行了基于SVO逻辑的安全性分析。结果表明,SE-AKA协议在永久身份保密、双向认证、不可否认性等方面的安全性都优于3GPP-AKA协议,使UMTS接入网络能够抵抗改向攻击和主动攻击。而且协议中消除了重同步机制,避免了序列号操作困难带来的危害。这些安全功能满足了3G环境下特殊部门高级别的安全需求。