基于身份加密的可认证密钥协商协议

密钥协商是安全通信的重要环节,通过密钥协商协议可在通信节点之间建立共享会话密钥,以便实现网络中的安全通信。在物联网环境下,文章提出的密钥协商协议是在基于身份的可认证密钥协商基础上的无双线性对的可认证密钥协商协议。该协议主要包括3个部分：初始化、参数提取和密钥协商。与利用双线性对的密钥协商协议相比,该协议不仅提供了相同层次的安全性与可扩展性,且在能量开销、时间开销和计算复杂度方面具有明显的优势。     

基于分层身份的网络密钥协商协议

为保证开放网络环境下的安全通信,在现有基于身份密码体制的基础上,提出一种新的基于分层身份的网络密钥协商协议.新协议满足所有密钥协商的安全属性,计算效率全面领先目前已有协议,能够有效地解决传统公钥系统需要进行证书传递和验证的问题,且能满足大规模网络应用的需求.     

基于身份的无线传输层安全握手协议改进方案

现有无线传输层安全(WTLS)协议主要基于数字证书构建,存在通信与计算开销较大、未对服务器证书的有效性进行在线验证等不足。以基于身份的密码体制思想,综合运用基于身份的加密(IBE)、基于身份的签名(IBS)及基于身份的密钥协商(IBAKA)等机制,提出了一种基于身份的密码系统(IBC)的WTLS改进协议。改进协议以身份标识为核心,以传递身份标识代替传递证书,使用IBE、IBS及IBAKA分别完成加密、签名及密钥协商等操作,并在密钥计算中融入了加密者的身份信息,使得密文具有消息源的可认证性。对改进协议的安全性及效率的分析表明,改进协议在确保安全的前提下降低了通信开销。     

标准模型下基于身份的认证密钥协商协议

由于在现实世界中无法实现随机预言模型,标准模型下可证安全的高效密码协议成为近年来的研究热点.现有的标准模型下可证安全的基于身份的认证密钥协商协议,要么以未经安全性证明的基于身份的加密方案为基础设计密钥协商协议,无法保证所提出密钥协商协议的安全性;要么在弱的安全模型中设计密钥协商协议,导致协议的安全性差.采用MTI协议族的思想,基于判定性q-ABDHE假设和判定性BDH假设,设计了一个新的基于身份的认证密钥协商协议IBAKA,并第1次在标准模型下证明该协议是eCK安全的.与现有的标准模型下基于身份的密钥协商协议相比,IBAKA协议的计算效率、通信效率等方面性能优越.     

WSN中基于非双线性对的无证书群组密钥协商协议

针对无线传感网(Wireless Sensor Network,WSN)群组密钥协商协议计算开销较大的问题,提出一种基于非双线性对的无证书群组密钥协商协议。在系统初始化阶段,协议通过无证书加密体制的密钥生成中心生成节点部分私钥,各个节点依据秘密值与对应的部分密钥相乘产生私钥;在节点认证阶段,协议基于椭圆曲线上的点乘运算提出节点认证机制,利用节点的部分私钥与具有身份信息的临时公钥进行点乘运算来确定节点的身份信息;在生成会话密钥阶段,通过点乘运算生成会话密钥,以降低节点的计算开销。最后,分析了协议的计算开销和通信开销。结果表明,所提出的群组密钥协商协议能保证群组节点通信的安全性,并有效降低群组节点通信的计算开销。     

ABeCK模型下安全的基于属性的认证密钥协商协议

基于属性的认证密钥协商(attribute-based authenticated key agreement,简称ABAKE)协议可在保护身份隐私的通信环境中为用户建立共享的会话密钥,ABeCK(attribute-based extended Canetti-Krawczyk)模型是适用于ABAKE协议安全性分析的一种安全强度较高的模型.首先在GCDH(gap computational Diffie-Hellman)假设的基础上提出了GCPBDHE(gap computational parallel bilinear Diffie-Hellman exponent)假设,然后,基于Waters属性基加密方案提出了一个基于属性的认证密钥协商协议,并在GCPBDHE假设和CDH假设成立的条件下,证明了该方案在ABeCK模型下是安全的.与现有的ABeCK模型下安全的ABAKE协议相比,降低了通信开销.     

面向Ad Hoc网络的无证书认证组密钥协商协议

安全和效率是影响无证书认证组密钥协商协议能否在Ad Hoc网络中得到实际应用的两个关键因素。针对这两个关键因素，以提高Ad Hoc网络安全组通信的安全性和效率为目标，提出一个无证书认证组密钥协商协议，基于椭圆曲线密码体制（ECC）点乘运算实现无配对的无证书认证组密钥协商和身份认证；并使用Huffman密钥树优化通信轮数，以降低计算量和通信量，提高组密钥协商效率。安全分析和性能分析表明，与现有基于无证书的组密钥协商协议相比，所提方案在组密钥协商时具有较高的效率和安全性，可以满足资源受限条件下组密钥建立以及组成员变动带来的密钥更新问题。     

基于PUF的5G车联网V2V匿名认证与密钥协商协议

针对目前5G车联网中车辆之间(vehicle-to-vehicle,V2V)通信的认证与密钥协商方案算法复杂、时延高的问题,提出一种基于物理不可克隆函数(physical unclonable function,PUF)的5G车联网V2V匿名认证与密钥协商协议.协议通过引入轻量级PUF避免了V2V认证中的数字签名操作,并精简通信步骤,成功减轻车辆的计算和通信开销.协议还借助PUF实现了车辆的车载单元(on board unit,OBU)和5G SIM卡的绑定,解决了身份假冒问题.同时,通过构建身份索引表,实现监管部门通过5G服务网(serving work,SN)对车辆的伪身份溯源,满足条件匿名性要求.使用形式化工具AVISPA验证了协议在Dolve-Yao模型下的安全性,并在计算开销、通信开销、安全性方面优于已有的车联网匿名通信协议,可为5G车联网的V2V通信提供基本安全保障.     

WSN中的无证书认证和密钥协商协议

由于无线传感器网络节点在能量、计算能力和存储能力等方面的局限性,传统的网络认证密钥协商协议难以直接应用到无线传感器网络中。为此,基于无证书的公钥密码体制,提出一种适用于无线传感器网络的认证和密钥协商协议,克服传统公钥认证的证书管理问题和基于身份认证的密钥托管问题。通过分析证明该协议满足认证协议各方面的安全属性要求,与已有的认证密钥协商协议相比,系统开销更少。     

大规模Ad hoc网络中一种高效的组密钥协商协议*

移动Ad hoc网络自身的特点决定了该网络中节点资源的有限性,所以在移动Ad hoc网络中构建组密钥协商协议时,应尽量减少节点的资源开销。为了解决这个问题,提出了一种基于分簇-K叉树组模型结构的组密钥协商协议——CKT-ECC协议。该协议在分簇-K叉树组模型结构上,采用椭圆曲线密码体制实施密钥协商和分配,使得节点在密钥协商过程中具有低计算开销和低通信开销的优势。与GDH、TGDH组密钥协商协议相比,本协议有效地降低了节点在密钥协商过程中的计算开销和通信开销,适用于大规模移动Ad hoc网络。     

An optimized authentication protocol for mobile networks

Practical secure communication of mobile systems with low communication cost has become one of the major research directions. An established public key infrastructure (PKI) provides key management and key distribution mechanisms, which can lead to authentication and secure communication. Adding public key cryptography to Kerberos provides a nice congruence to public key protocols, which can obviate the human users’ burden to manage strong passwords. This paper emphasizes on authentication as a considerable issue related to security. Additionally, an efficient and secure hybrid authentication protocol for large mobile network is proposed. Its infrastructure accommodates explosive growth of the large mobile network. It reduces the communication cost for providing secure network access in inter-domain communication. This method is based on symmetric cryptosystem, PKI, challenge–response and hash chaining.     

一种基于好友簇的社交网络中的时延容忍路由协议

社交网络是一种以便携式移动通信设备为节点的无线网络,通常由于其规模较大、结构复杂并且拓扑变化频繁,而成为时延容忍网络的一个典型应用场景。通过分析社交网络的特性,构建了基于好友群组的网络拓扑模型,并基于该模型,提出了一种基于簇结构的时延容忍路由协议。通过实验证明了该路由协议可以在保证较高路由性能的前提下有效控制由于数据副本传染造成的对网络资源的消耗。     

身份基认证密钥协商协议

安全有效地传递信息是计算机安全通信研究领域的主要目标。为了使得用户间能在公开网络进行安全通信,文中提出了一种新的两轮双方认证密钥协商协议,通过分析新协议的安全属性指出了构造双方认证密钥协商的一些原则。该协议实现了通信双方的相互身份认证功能,使通信双方能确认对方的身份,同时还提供了密钥协商的功能。     

融合双层卫星网络的星地和星间AKA协议

天地一体化网络以其大时空、天网地网和星地融合的特性备受关注,卫星不仅可以作为应急通信补充,还可以充当空中中继站,扩大地面网络覆盖范围,在军用和民用场景都占据着重要地位。实体身份认证和密钥协商机制可以防止假冒实体加入天地一体化网络,窃取用户隐私行为的发生,保障网络信息安全。针对天地一体化网络星地传输时延较大、链路高度暴露、星上处理能力有限以及星间拓扑结构动态时变等特点,提出一种轻量级的双层卫星网络的星间和星地组网实体身份认证（AKA,authenticated key agreement）协议,以实现安全的卫星组网架构,后续基于协商的会话密钥保护数据传输。所提协议基于对称密码体制,采用轻量级密码算法,引入群密钥和分层管理机制,针对双层卫星网络的不同场景特点,将认证协议分为高轨卫星星地和星间认证、层间和同轨道低轨卫星间认证以及相邻轨道低轨卫星间认证3部分。群密钥和分层管理机制提高了群组间信息的传递效率,减轻了地面控制中心的认证压力,且在三方认证协议中实现了双重验证,提高了认证安全强度。不同于以往的单场景认证,部分认证协议采取复用认证参数的形式,在一次认证转发过程中可实现双场景的认证需求。通过协议形式化安全仿真工具 Scyther 分析结果表明,所提协议均实现了安全接入认证。与现有协议相比,所提协议提高了认证安全性,降低了通信和计算开销。     

基于ECC的密钥协商及双向认证方案

针对当前移动通信系统中认证和密钥协商协议存在的安全缺陷,提出一种基于椭圆曲线密码体制的双向认证和密钥协商方案,用于移动网络中任意用户之间,或用户与网络之间进行双向认证和会话密钥的安全协商.该方案采用ECC技术,能够在更小的密钥量下提供更大的安全性,减少对带宽的需求,降低移动终端的计算负担和存储要求.     

适用于无线Mesh网络的双向认证和密钥交换协议*

在无线Mesh网络(WMN)通信模式下,认证和密钥交换对于其计费统计与安全连接起着十分重要的作用。在终端用户与Mesh路由器之间快速建立安全连接对于减少网络整体时延有着重要的帮助。MAKEP协议是为解决低功耗终端与高性能服务器之间的快速认证与密钥交换而提出的,但在非频繁加密业务连接下,认证协议的效率大大降低。针对WMN模式下的业务连接需求,提出了改进的MMAKEP协议,在降低业务连接时延的同时也提供了前向保密性。     

EGAKA:一种面向LTE-A机器类型通信的高效组认证与密钥协商协议

机器类型通信(Machine Type Communication,MTC)作为物联网的基础,有着广阔的市场和应用前景。LTE-A网络能够为MTC的发展提供有力的支持,第三代合作伙伴项目(3rd Generation Partnership Project,3GPP)已经在3GPP标准Release10中正式定义了MTC。与普通的移动用户设备相比,MTC设备具有数量多、功耗低的特点,这给LTE-A网络的身份认证问题提出了新的挑战。当大量MTC设备同时接入网络时,如果每个设备都进行独立的身份认证过程,则会导致LTE-A网络出现严重的信令拥塞问题。同时,MTC设备由于计算资源有限,不宜做大量的运算。针对MTC网络中设备认证过程的信令拥塞问题,提出了基于聚合代理签名和消息认证码的组认证与密钥协商协议EGAKA。该协议采用聚合代理签名使得LTE-A网络可以同时验证多个MTC设备,并最小化认证过程中的信令开销。采用消息认证码的方法进行密钥协商,有利于降低MTC设备的计算开销。通过着色Petri网(Colored Petri Nets,CPN)的建模和分析,证明该协议能够正确完成认证和密钥协商。另外,通过在性能方面与文中引用的协议比较,证明该协议在信令开销和计算开销方面具有一定优势。     

安全高效的异构无线网络可控匿名漫游认证协议

分析传统的匿名漫游认证协议,指出其匿名不可控和通信时延较大的不足.针对上述不足,提出异构无线网络可控匿名漫游认证协议,远程网络认证服务器通过1轮消息交互即可完成对移动终端的身份合法性验证,当移动终端发生恶意操作时,家乡网络认证服务器可协助远程网络认证服务器撤销移动终端的身份匿名性.该协议在实现匿名认证的同时,还具有恶意匿名的可控性,有效防止了恶意行为的发生,且其通信时延较小.安全性证明表明,该协议在CK安全模型中是可证安全的.相对于传统漫游机制而言,该协议更适合于异构无线网络.     

基于标识的无线Mesh网络接入认证协议

为解决无线Mesh网络节点高效、安全入网认证的问题,提出了一种新的基于标识认证的无线Mesh网络接入认证协议.该协议针对无线Mesh网络的特点,将标识认证体制引入到无线Mesh节点接入认证当中,并在标识认证的基础上一次性完成了入网节点的双向身份认证、网络认证和空口密钥的建立3个步骤.简化了认证的流程,减少了认证的时延,达到了分布式认证的效果,为大规模的节点接入提供了一种新的认证方案.通过BAN逻辑形式化方法证明了协议的安全性,通过效率分析说明了协议的高效性.     

无双线性对双向认证密钥协商协议

为提高公钥密码体制下身份认证协议的性能,将杂凑函数结合到认证过程中,提出一种高性能的交互认证密钥协商协议.协议设计认证双方通过两次信息交换即可实现双向认证,显著降低通信代价.协议的运算复杂度与传统公钥密码体制下身份认证协议相当.通过针对已知攻击形式化推演的方法和数学推导证明了协议能抵御拒绝服务攻击、内部攻击在内的各种已知攻击.协议还设计了登录认证成功后的一次性对称会话密钥协商机制.