基于MIPv6快速切换的家乡注册安全机制

为解决移动IPv6快速切换中移动节点的身份认证问题,提出一种新的基于MIPv6快速切换的家乡注册安全机制。在MIPv6快速切换中引用基于密钥生成中心(KGC)的改进签名方案,该方案中KGC仅知道用户的部分私钥,并且用户可以自己生成用于签名的公私钥对,解决了密钥托管和密钥撤销问题。移动节点和接入路由器运用改进的签名方案签名消息,仅往返一次消息交互就实现快速切换并完成家乡注册,并且在访问域中实现MN与NAR之间的双向认证。另外,利用Diffie-Hellman密钥交换原理保护消息交互过程。经过分析,该家乡注册机制具有高效、安全的特性。     

基于Petri网的移动IPSec快速切换的建模与分析

使用IPSec对移动网络中的数据进行封装是保证无线网络传输安全的有效方法.这里提出了一种移动IPSec的快速切换模型,该模型通过减少移动节点在链路切换时重建IPSec隧道的过程消耗来降低IPSec与移动IP通信切换的复杂度.使用Petri网对该模型建模,利用Petri网分析器验证了模型的可行性,同时分析了移动节点在进行链路切换时易于遭受的两种攻击:拒绝服务攻击和重放攻击,并分别对攻击过程建模,验证了移动IPSec的快速切换模型对这两种攻击的防御能力.     

USBKey辅助的无证书移动IP注册认证协议

移动IP中无线链路的开放性和节点的移动性,给移动节点的注册带来潜在的安全威胁。针对移动节点的注册安全问题,提出了一种USBKey辅助的注册认证协议。该协议通过USBKey保护移动节点的私钥以加强移动注册的安全性,结合数字信封技术与数字签名技术,实现相关协议实体的身份认证和注册信息的安全保护。分析结果表明,该协议可保证注册信息的完整性和机密性,可以有效抵御常见的安全攻击,保证移动节点的注册安全,并且比多数相关协议的注册认证迟延更小。     

移动RFID高效率认证协议设计

移动RFID的无线通信与移动应用给认证提出更高要求,针对当前移动RFID认证协议安全性不强及认证效率不高问题,提出移动RFID高效率认证协议。协议通过执行算术运算、按位运算及数据排列组合,保证了信息传输安全;通过后台数据库和移动阅读器对随机数的递进式验证,标签对随机数的捆绑式验证,有效防范敌手攻击。由于通信实体均执行轻量级运算,大幅提高系统计算性能;通信实体的递进式验证实现了对标签数据的初步筛选,缩短无效认证时间,提高认证效率。利用GNY形式化语言对协议正确性进行了证明。理论分析表明,该协议可抵御多种类型攻击。仿真结果显示,与同类移动RFID认证协议相比,该协议认证效率高,应用价值好。     

基于无证书密钥协商的Kerberos改进协议

Kerberos认证协议容易遭受口令攻击和重放攻击,且需要2次双线性对运算、2次指数运算和1次椭圆曲线上的点乘运算,计算量大。为此,利用高效的无证书密钥协商对Kerberos协议进行改进。用户与认证服务器之间通过使用无证书签密技术抵抗伪造攻击。分析结果证明,改进协议符合密钥协商的6个基本安全要求,满足已知密钥安全性、完美前向安全性、抗未知密钥共享安全性、密钥不可控性、已知会话临时信息安全性,能抵抗口令攻击、重放攻击、中间人攻击及密钥泄漏伪装攻击,并且仅需3次点乘运算,具有较高的效率。     

支持批量认证和隐私保护的无线Mesh网络切换认证方案

为了在任何时间、任何地点向移动终端提供无缝网络服务,切换认证技术显得尤为重要.从认证节点的隐私保护出发,提出了一种基于身份且支持批量认证的切换认证方案,并且认证过程无需第三方参与.方案中,认证双方无复杂的双线性对运算,移动节点经两次握手可实现安全切换.相比其他方案,该方案不仅满足了认证的安全性要求,还具有较高的认证效率和支持批量认证的优点.     

移动IPv6中基于信任链的绑定更新认证协议

移动IPv6可以确保漫游的用户在不中断会话或者连接的情况下继续通信,但是这也导致了很多安全问题.提出了一种在移动节点(MN)和通信对端(CN)之间没有预先建立安全关联(SA)的情况下,对绑定更新(BU)报文进行认证的协议-基于信任链的绑定更新认证协议(TCBUAP).该协议分为初始阶段和更新阶段,采用椭圆曲线(ECC)认证机制,它对移动节点的计算性能要求很低,使用尽量少的报文并可以通过修改来防范拒绝服务(DoS)攻击,同时满足了安全性和性能要求.     

多跳快速切换代理移动IPv6预认证协议的安全分析

第三代移动通信系统的长期演进标准中,使用代理移动IPv6协议来实现异构无线接入网络互联及移动性管理。LTE-Advaned网络支持协同无线通信,通过在网络中引入中继节点来扩大蜂窝的覆盖范围和信道容量并减少网络的传输延迟。文章对LTE—Advanced网络结构进行了扩展,加入了能支持中继功能的服务网关,该网关采用快速切换PMIPv6协议来完成预先切换。文章对此协议进行了扩展,使其支持多跳和中继功能。文章主要研究多跳快速切换PMIPv6协议的安全性,采用认证选项实现了预认证协议。并给出了详细的流程。文章采用Kerberos的Ticket概念,通过在协议中加入Ticket来实现安全上下文的传输。该认证协议是在移动节点切换到目的端之前完成的,大大减少认证协议所产生的延迟。最后文章对认证测试的形式化方法进行扩展,加入了消息认证码,证明了此预认证协议的认诅陡。     

SET协议认证机制的形式化分析

移动支付是移动电子商务的重要组成部分,而安全性成为移动支付的发展瓶颈,因此电子商务协议的安全性成为此问题的核心。为了解决上述问题,使用串空间模型的测试理论,对SET协议中用户和商家、商家和支付网关之间的认证性进行形式化分析,分析结果表明商家与支付网关之间的认证是安全的;用户和商家的认证性不满足安全需求,在支付交易流程中双方易受到攻击。     

基于动态密钥的移动RFID安全认证协议

针对现有RFID安全认证协议可移动性差,以及现有协议密钥更新失败导致的跟踪、数据不同步问题,提出了一种基于动态密钥的移动RFID安全认证协议。采用随机数来动态选取认证密钥,既保证了密钥新鲜性,又避免跟踪与数据不同步问题,并且在服务器上对阅读器进行一个预处理操作,有效地阻止了外部非法阅读器对服务器发起的假冒攻击和拒绝服务攻击。分析了协议的性能和安全性,分析结果表明该协议达到了安全性要求且移动性强,计算复杂度低,适用于大规模移动RFID系统。     

5G异构网络中基于群组的切换认证方案

随着5G网络的发展,各类网络服务质量极大提升的同时网络环境也愈加复杂,从而带来了一系列安全挑战。切换认证可以解决用户在不同类型网络间的接入认证问题,但现存方案仍存在一些不足,还需要解决如全局切换认证、密钥协商、隐私保护、抵抗伪装攻击、抵抗中间人攻击、抵抗重放攻击以及群组用户切换效率等问题。针对这些问题,提出了一个5G异构网络中基于群组的切换认证方案。在所提出的方案中,注册域服务器在区块链上为每个用户存入一个通行证,任何实体都可以利用该通行证对用户进行认证,从而实现全局切换认证。对于群组用户,各用户分别设置可聚合的认证参数,验证者通过验证聚合签名实现对群组用户的批量验证。新方案不仅提升了群组用户切换时的效率,同时还满足上述安全性要求。基于形式化分析软件AVISPA的分析结果表明,所提出的方案是安全的。性能分析表明,所提出的方案执行批量验证时的效率比现存方案至少提升了89.8％。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

Anonymous handover authentication protocol for mobile wireless networks with conditional privacy preservation

With the development of the wireless communication technology and the popularity of mobile devices, the mobile wireless network (MWN) has been widely used in our daily life. Through the access point (AP), users could access the Internet anytime and anywhere using their mobile devices. Therefore, MWNs can bring much convenience to us. Due to the limitation of AP’s coverage, the seamless handover frequently occurs in practical applications. How to guarantee the user’s privacy and security and identify the real identity when he/she brings harm to the system becomes very challenging. To achieve such goals, many anonymous handover authentication (AHA) protocols have been proposed in the last several years. However, most of them have high computation costs because mobile nodes need to carry out the bilinear pairing operations or the hash-to-point operations. Besides, most of them cannot satisfy some critical requirements, such as non-traceability and perfect forward secrecy. In this paper, we first outline the security requirements of AHA protocols, and then propose a new AHA protocol to eliminate weaknesses existing in previous AHA protocols. Based on the hardness of two famous mathematical problems, we demonstrate that the proposed AHA protocol is secure against different kinds of attacks and can meet a variety of security requirements. It can be seen from the details of implementations that the proposed AHA protocol also has much less computation cost than three latest AHA protocols.     

LTE/LTE-A网络中基于盲签名的具有条件隐私保护的切换认证协议

LTE/LTE-A网络的设计为移动应用提供了较低的切换时延,但LTE标准中的切换过程仍存在一定的复杂性和安全缺陷。为了解决LTE标准和传统切换认证协议的缺陷,设计了一个基于盲签名的切换认证协议。在注册接入阶段通过盲签名建立用于切换过程的认证密钥,在切换过程中通过假名的可变换性和在特定条件下变为真名的可逆性来实现 匿名性、不可跟踪性和条件隐私保护。理论分析和仿真结果表明,相较于LTE标准和其他切换认证协议,提出的协议在满足更多安全属性的同时,有更好的性能。     

A Generic Framework for Anonymous Authentication in Mobile Networks

Designing an anonymous user authentication scheme in global mobility networks is a non-trivial task because wireless networks are susceptible to attacks and mobile devices powered by batteries have limited communication, processing and storage capabilities. In this paper, we present a generic construction that converts any existing secure password authen- tication scheme based on a smart card into an anonymous authentication scheme for roaming services. The security proof of our construction can be derived from the underlying password authentication scheme employing the same assumptions. Compared with the original password authentication scheme, the transformed scheme does not sacrifice the authentication effciency, and additionally, an agreed session key can be securely established between an anonymous mobile user and the foreign agent in charge of the network being visited. Furthermore, we present an instantiation of the proposed generic construction. The performance analysis shows that compared with other related anonymous authentication schemes, our instantiation is more effcient.     

移动IPv6网络基于身份签名的快速认证方法

接入认证对移动IPv6网络的部署和应用至关重要,在切换过程中加入认证过程会影响移动IPv6网络的切换性能.当前,对移动IP网络中接入认证的研究大多没有考虑对切换性能的影响.另外,目前许多双向认证机制都是基于证书的方式来实现,无线移动环境的特殊性使得这种方式并不适合无线移动网络.一种适用于移动IPv6网络的基于身份签名的快速双向认证方法被提了出来.该方法使用NAI(network access identifier)作为公钥,简化了无线移动环境中的密钥管理问题,有效地解决了基于PKI(private key     

一种基于票据的单点登录协议设计与实现

随着企业信息化建设的发展,企业信息应用系统的种类、数量越来越多,建立统一的身份认证管理机制,用户只需向身份认证中心提供一次身份信息,便可安全、平滑地访问不同应用系统,即实现单点登录,成为企业信息化建设的重要内容。根据当前企业信息应用系统已具有大量历史遗留帐号的实际情况,本文给出了一种基于票据的单点登录协议,对传统的基于票据的单点登录协议必须依赖全局统一用户身份标识的局限性进行改进,通过该协议能够简单、安全地实现对具有大量历史遗留帐号的应用系统的单点登录集成。     

O2O应用中二维码的混合认证服务系统

二维码作为一种信息载体,可以实现电子商务应用的线上与线下（O2O）并行互动,为消费者带来更便捷和快速的消费体验。但是,二维码不能有效应对移动互联网环境下的信息泄露、信息篡改、身份认证、抵赖性等安全挑战。文章针对二维码信息容量有限,无法在其中嵌入传统PKI体系的数字证书及证书链的问题,提出了一种结合PKI与IBC密码体制的技术方案,按照预先定义的规则为已持有数字证书的用户生成IBC密钥对,充分利用IBC密码体制中公钥信息量较少的优势。文章设计了密钥对申请及发放的协议流程,以及使用IBC密钥对来完成数字签名及验证的过程,同时借助数字证书的状态来判断用户是否有效,满足在O2O应用过程中的安全需求。该技术方案实现了在已建立PKI体系的场合下完成IBC密钥对的分发,有效解决了二维码在O2O应用中电子标签数据的认证问题,并且建立了基于数字证书的IBC数字签名信任链,满足数据传输的机密性、用户身份识别、信任关系的建立等安全目标,尤其适用于信息容量受到限制的二维码类型。     

An efficient user authentication and key exchange protocol for mobile client–server environment

Considering the low-power computing capability of mobile devices, the security scheme design is a nontrivial challenge. The identity (ID)-based public-key system with bilinear pairings defined on elliptic curves offers a flexible approach to achieve simplifying the certificate management. In the past, many user authentication schemes with bilinear pairings have been proposed. In 2009, Goriparthi et al. also proposed a new user authentication scheme for mobile client–server environment. However, these schemes do not provide mutual authentication and key exchange between the client and the server that are necessary for mobile wireless networks. In this paper, we present a new user authentication and key exchange protocol using bilinear pairings for mobile client–server environment. As compared with the recently proposed pairing-based user authentication schemes, our protocol provides both mutual authentication and key exchange. Performance analysis is made to show that our presented protocol is well suited for mobile client–server environment. Security analysis is given to demonstrate that our proposed protocol is provably secure against previous attacks.