面向物联网的可信设备标识及安全更新方案

物联网终端规模巨大、设备间能力差异大，存在资源受限、安全防护能力较弱、部署环境不安全等问题，容易被攻击者利用安全漏洞入侵，物联网终端安全成为当前物联网安全的薄弱环节。基于可信计算技术，面向物联网资源受限终端场景，提出了以物理不可克隆函数和设备标识符组合技术为基础的轻量化密码应用方案，并设计了信任根、设备标识、设备认证和安全代码更新关键机制，可为后续物联网终端安全防护技术研究及工程实践提供参考。     

单比特扩压函数及其用途

本文对单比特扩压函数 (简称 SDCF)进行了深入研究 ,给出了 SDCF的基本设计原则和一个安全性能良好且实用的 SDCF,同时阐述了 SDCF在分组密码、消息校验码、消息认证码和数字签名中的用途 .     

一种类自同步ZUC算法的认证加密方案

针对国密ZUC算法的认证加密的安全性、效率以及轻量化需求，提出了一种类自同步ZUC的关联数据认证加密方案ZUCAE。该方案通过改进祖冲之流密码算法(ZUC-256)的LFSR层算法，设计实现了一种类似自同步流密码的ZUC-SSL算法，利用该算法使密文参与到状态更新函数中，用于认证码的生成。ZUC-256算法进行消息加密，通过优化初始化模块，将关联数据嵌入到初始化过程中，实现了密钥流生成和加密并行进行，解密前进行消息认证，减少计算消耗时间，提高方案的安全性。安全性分析结果表明该算法能够抵抗当前主流的基于LFSR设计的流密码相关攻击，且类自同步流密码的设计能增强认证码的安全性。与AES-CGM和AEGIS的效率实验对比表明，在数据规模大的环境下，所提算法的效率高于AES-CGM,与AEGIS的效率相当，具备一定的实用性。     

一种以移位为基础的分组密码算法

分组密码算法因实现简单．具有较强的抗攻击能力．且易于构造伪随机数生成器、流密码、消息认证码和杂凑(hash)函数等，有着广泛的应用。分组密码的设计中，除了考虑安全性外，还要考虑运行速度、存储量、实现平台、运行模式等限制条件。目前．56比特的数据加密标准(DES)已经不再安全。本文中设计了一个以移位为基础分组密码算法。     

一种可并行的消息认证码

提出并分析了一种确定的、可并行的消息认证码--DPMAC(deterministic parallelizable message authentication code).它基于分组长度为128-bit的分组密码来构造.使用一个密钥,可以处理任意长度的消息.在底层分组密码是伪随机置换的假设下,使用Game-Playing技术量化了攻击者成功伪造的概率,从而证明了其安全性.     

SM9在泛在物联网中的应用研究

泛在物联网使物联网融入互联网,在打破数据孤岛的同时令海量设备处于更加复杂的网络环境,安全风险更加突出.传统的公钥密码基础设施(PKI)安全方案数字证书管理开销大、管理复杂,不适合泛在物联网的安全建设.基于标识的密码体制(IBC)消除了安全应用中大量交换数字证书的问题,更加易于部署和使用.基于我国制定的IBC密码标准SM...     

基于视觉密码的远程访问控制

分析了传统远程访问控制方案中的不足,并基于视觉密码构造了一种高效、可靠的远程访问控制方案。方案中仅使用了视觉密码和对称密码算法这两种密码组件,不涉及到非对称密码、消息认证码等,可以提高访问控制的处理速度。方案分为离线注册和远程在线登录验证两个阶段,认证协议简单,易于实现。最后分析了方案的安全性,说明其能有效抵抗常见的攻击方式。     

EPC网络中一种可证明安全的ONS查询方案

分析了EPC网络中ONS查询过程,指出现有过程在身份认证、消息机密性和完整性等方面存在安全缺陷.提出了一种可证明安全的ONS查询方案,引入对称密码和消息认证码等技术,实现ONS服务器之间的双向认证和安全密钥分发,从而有效保护ONS服务器之间消息传递的机密性和完整性.利用安全协议形式化分析工具Canetti-Krawczyk模型进行了安全性分析,分析表明该方案是可证明安全的.同时,性能对比分析表明该方案具有较低的通信开销和计算量,减少了安全机制对性能造成的影响.     

SM3杂凑算法的软件快速实现研究

杂凑算法是密码学中最基本的模块之一,可广泛应用于密码协议、数字签名、消息鉴别等领域。我国国家密码管理局在2010年发布了SM3密码杂凑算法,该算法适用于商用密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成等。该文重点研究SM3密码杂凑算法的软件快速实现,根据算法本身的特点,尤其是压缩函数的特点,给出一种更加适用于软件的快速实现方式。实验表明利用此方法可以将算法的效率提升60%左右。     

802.11标准的不安全性(下)--截取移动通信中的信息

3消息认证 WEP协议使用一个完整的检测和域来确保数据在传输过程中不被修改.检测和是以CRC-32来实现的,它是数据包中被加密的有效载荷的部分. 下面我们要讨论的是CRC检测和也不能有效防止攻击者修改数据:它不是一个密码安全认证码.CRC检测和的设计是用来检测消息中的随机错误,不能阻挡那些恶意的攻击.当消息载荷使用流密码进行加密时,CRC的这种缺陷就会变得更加恶化.     

Java实现运用Kerberos协议的客户机／服务器程序

因特网的日益发展给人们提供了更多的机会和方便快捷,同时也带来了更多的安全隐患。Kerberos解决了这个问题。Kerberos是一种身份认证协议,提供了集中的身份验证服务器,提供了从服务器端验证用户、用户端验证服务器,以及用户和服务器之间加密报文传输的安全功能。文中研究了Kerberos身份认证协议,完成和分析了运用Kerberos协议实现身份认证和安全通信的客户机/服务器程序的Java实现。     

Dual-Stage Biometrics-Based Password Authentication Scheme Using Smart Cards

This paper proposes a dual-stage biometrics-based authentication mechanism using smart card. It is considered the improvement over the conventional single-stage biometrics-based authentication mechanism, which exploits only one server for authentication, whereas the proposed scheme exploits two servers. The user authentication is performed in one server and hence it is called an authentication server. The credentials of the authentication server are stored in the second server, called the master server. The master server facilitates the authentication by providing required credentials to the authentication server. Both the security analysis and complexity analysis are conducted between the proposed and the conventional schemes. The analysis results show that the proposed scheme is secure than the conventional schemes with negligible computational complexity.     

基于双线性对的智能卡口令认证改进方案

通过对一种使用双线性对构造的智能卡口令认证方案的分析,发现该方案不能抵抗冒充攻击和服务器伪装攻击。针对该问题,提出一种改进的基于双线性对的智能卡口令认证方案,即利用服务器公钥进行加解密操作,通过引入序列号使用户与系统间进行了双向认证,不仅保持了原有方案的安全性,而且能有效地抵御冒充攻击和服务器伪装攻击,安全性更高。     

基于双重二方共享的容侵网上签名服务方案

分析了现有网上签名方案，提出一种基于双重二方共享机制的容侵网上签名方案，即在应用服务器（AS）与密钥服务器（SS）以双方公钥密码算法共享密钥的基础上，引入了密钥服务器与密钥共享服务（SSS）共享密钥的机制。方案可以使在应用服务器与密钥服务器相互认证的同时，实现密钥服务器与密钥共享服务器之间的相域认证，从而进一步加强了系统的容侵性能。     

基于口令的客户端/服务器认证协议

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全：无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。     

基于.NET Remoting口令系统的设计

由于B/S模式下客户机对服务器的验证困难,提出了使用Remoting程序对网站的真伪进行验证。方案实现了客户端和服务器端的相互认证、服务器端敏感信息的安全存储和每次认证产生不同的会话密钥,安全分析表明,所提的方案能有效防范钓鱼网站等的常见攻击,增加了系统的安全性。方案使用.NET进行实现,证明是可行的。     

An efficient user authentication and key exchange protocol for mobile client–server environment

Considering the low-power computing capability of mobile devices, the security scheme design is a nontrivial challenge. The identity (ID)-based public-key system with bilinear pairings defined on elliptic curves offers a flexible approach to achieve simplifying the certificate management. In the past, many user authentication schemes with bilinear pairings have been proposed. In 2009, Goriparthi et al. also proposed a new user authentication scheme for mobile client–server environment. However, these schemes do not provide mutual authentication and key exchange between the client and the server that are necessary for mobile wireless networks. In this paper, we present a new user authentication and key exchange protocol using bilinear pairings for mobile client–server environment. As compared with the recently proposed pairing-based user authentication schemes, our protocol provides both mutual authentication and key exchange. Performance analysis is made to show that our presented protocol is well suited for mobile client–server environment. Security analysis is given to demonstrate that our proposed protocol is provably secure against previous attacks.     

基于Restful的身份认证服务

利用Restful Web服务技术,设计一种身份认证服务。该服务将身份认证发布为Rest服务,供本地用户和远程用户调用,同时采用加密令牌方式将用户认证信息保存客户端的令牌中,应用服务不再使用Session保存认证用户信息,而是通过解密令牌密文获取认证用户信息,既保证用户的信息安全,又使得应用服务器具有良好的动态伸缩性。     

基于ThinClient/Server的三因素身份认证方案

提出了一套基于瘦客户机/服务器体系的三因素身份认证方案，在双因素身份认证的基础上，引入了设备认证的概念。文中给出了具体的认证协议实现方法，并对协议的实用性和安全性进行了评估。有关的实践应用表明，该认证方案是可行的。     

高并发认证服务器的一种实现方法

本文介绍了一种高并发认证服务器基本功能,具有并发、客户端与服务器双重认证的特点,系统采用epoll和线程池技术来实现高并发功能,采用RSA和DES算法来实现信息传输的安全性,使服务器具有并发处理能力和进一步提高了服务器网络安全认证性能.通过完整设计实例测试结果表明,认证服务器在高负载的情况下运转正常.该系统作为在短时间内同时处理来自客户端请求及认证的研究具有一定的现实意义.