基于PUF和LED密码算法的轻量级RFID安全认证协议

无线射频识别技术是目前推动物联网发展的重要技术之一,具有不易涂抹,成本低廉等优势。由于无线射频信号在传输过程中易收到攻击,RFID系统需要建立完善的完全保障机制。本文基于RFID系统的安全要求和技术现状,提出了一种轻量级RFID安全认证协议,该协议基于LED密码技术和物理不可克隆函数,利用PUF的挑战-响应信号对进行身份验证,LED算法对PUF的响应信号进行加密传输保证认证信息安全,每次认证结束后都会更新服务器内的标签信息。本文使用Verilog语言对认证过程进行电路实现与仿真,并基于40nm平台的标准单元库对电路进行综合分析。仿真和综合结果表明该轻量级RFID安全认证协议可有效抵御常见攻击,并且标签存储、计算的硬件开销都较低,适用于资源受限的场景。     

面向智能用电信息采集终端的访问控制协议

针对智能用电信息采集系统的建设需求,将射频识别(RFID)技术应用于采集终端全过程管理中,为解决RFID系统在终端身份认证及信息传输过程中存在的众多隐私安全漏洞,提出了面向智能用电信息采集终端的访问控制协议。该协议分为终端身份认证和终端信息访问控制两个阶段,采用哈希(hash)函数、私有密钥及随机密钥保证了消息的隐私性与安全性。为满足实际信息采集和终端维护需求,将识别器对采集终端的操作权限融入协议设计中,保证了终端敏感信息的安全。非形式化分析说明新协议能够有效地抵御阻断攻击、欺骗攻击及识别器非法访问攻击等6类攻击。协议在保证采集终端安全接入情况下实现终端信息的合法操作,可从设备层面提高用电信息采集系统的安全防护水平。     

基于共享秘密的RFID双向认证协议

在研究和分析已有RFID认证协议的基础上,提出了一种基于共享秘密的RFID双向认证协议,分析了协议的安全性,并运用BAN逻辑的形式化分析方法,对协议的安全性进行了推理证明。结果表明实现了标签、读写器和后端数据库三者的相互认证,在实现上仅使用Hash函数和异或操作,具有安全性高、成本低等特点。     

适用于用电信息采集的轻量级认证密钥协商协议

用电信息采集系统信息量巨大、覆盖面广,而传统的认证密钥协商协议计算量开销大、通信交互次数多,无法满足其高实时、低成本的现实需求。为了实现电力数据的安全高效传输,文中基于证书认证及新旧参数保护密钥动态协商机制,提出了一种轻量级认证密钥协商协议,结合BAN逻辑形式化分析和非形式化分析方法对协议进行分析,证明协议在达到一级信仰和二级信仰的同时具有双向实体认证、完美的向前保密性等安全属性。该协议能够抵抗多种攻击,在保证安全的情况下实时高效地完成身份认证及密钥协商,适用于用电信息采集系统对密钥应用的需求。     

Diffie-Hellman密钥交换协议设计与实现

为了能够真正在2个通信参与者Alice和Bob之间协商1个密钥,就必须确保他们在协议运行过程中收到的信息的确是来自真实的对方。本文给出了1种基于随机字符串的认证密钥交换协议以对Diffie-Hellman密钥交换协议进行改进。这对于电子商务等很多网络应用而言是至关重要的。本文也给出了这种协议的安全性分析,并描述了基于JAVA的实现。     

自主可控的安全RTU设计与实现

工业控制系统广泛应用于电力行业,成为维护电力系统安全、平稳运行的基础。为改进电力工业控制系统在电力设备信息安全技术上的不足,介绍了一种具有自主知识产权的配电自动化远方终端(RTU)的设计与实现方法。安全RTU采用自主可控的国产芯片作为核心处理器,通过外扩电能计量芯片提高采样精度,简化设计。基于国产加密算法的安全机制能实现数据在VPN隧道密文传输和用户认证访问。在实验室模拟工业现场测试表明该方法可以有效防止信息泄露以及木马病毒的攻击。     

面向用电信息采集系统的双向认证协议

用电信息采集系统涉及计费信息、居民用电隐私等核心数据,对数据的产生、传输及存储等方面具有较高的保密性、完整性和可用性需求。基于国家电网公司的认证授权(certificate authority,CA)系统,利用数字签名和挑战应答思想,并结合MAC动态密钥协商及签名校验,提出一种适用于用电信息采集系统的双向认证协议。利用非形式化方法和基于有色Petri网理论的形式化分析方法对提出的协议进行了状态转移分析和安全性论证,证明该协议在能够成功达到预期运行状态的前提下满足多重认证、前向安全及后向安全等安全属性,此外该协议能够在有效抵抗伪造、恶意重放及去同步攻击的情况下实时高效地完成实体认证和动态密钥协商。最后,对该协议在用电信息采集系统中的适用性及有效性进行了分析。     

基于HTTP摘要认证的SIP安全性设计

会话初始协议(SIP, session initiation protocol)因为具有简单性,较好的扩展性,且易于实现,近年来受到了业界的广泛支持.但是它的安全性存在一定问题,需要进行安全性增强,以适应不同的网络安全环境.本文通过对SIP协议及其传统的认证方法的深入分析,指出了应用传统认证方法可能面临的安全威胁.在此基础上,提出了一种新的基于HTTP摘要认证的安全认证方式,它继承了传统的HTTP摘要认证的优点,并且能够提供不同的安全级别,双向的身份认证和抵御批方式的暴力攻击的能力.实验表明,新方法可以提供较好的安全级别.     

一种基于生物特征的电力系统安全认证协议

相量测量单元(pressure measuring unit, PMU)设备和工作人员之间的数据传输经由互联网,容易受到非法节点的攻击,此外PMU设备的部署环境复杂多变,容易被敌手捕获进而获取内部秘密信息。为此提出一种基于生物特征抗捕获攻击的电力系统安全认证协议用于节点间安全的数据传输。采用模糊提取器技术实现员工的生物特征提取;利用二元对称多项式实现对称密钥的分配管理、额外设备的添加以及长期密钥的动态更新,并提供PMU设备的抗捕获能力;同时结合员工密码、生物特征和智能卡三因素进一步增强协议的整体安全性。此外利用BAN逻辑和Proverif工具对协议进行安全分析、仿真,并从安全特性和效率等角度与其他相关方案进行比较。对比分析结果表明,所提出的协议能够确保节点间的安全通信,并且在保证安全性的前提下,可减少约40%的计算和通信成本,适用于存储资源有限的PMU设备。     

基于强口令认证的变电站实时数据通信安全

对于IEC 61850中GOOSE、GSE、SMV等实时数据,IEC 62351-6要求采用计算量尽可能小,并能抵抗重放、篡改、欺骗及拒绝服务攻击的认证算法来保障IED之间的通信安全.本文提出了基于非公钥的、安全、高效的强口令认证协议来实现变电站内部智能电子设备之间的身份认证.     

基于MMS替代协议的变电站安全通信技术研究及应用

目前,绝大多数变电站基于IEC61850标准建设,站内通信协议主要包括制造报文规范(MMS)、面向通用对象的变电站事件(GOOSE)、采样测量值(SMV)等,在工程应用实践中逐渐暴露出一些不足与安全隐患.为此,基于MMS替代协议,重点介绍了其实现的功能与安全防护技术.在功能方面,MMS替代协议增加了多个服务,并优化了现有MMS协议的不足;在安全防护技术方面,MMS替代协议的应用层实现了基于SM2算法与调度证书的双向身份认证,杜绝未授权设备的非法接入、攻击,从协议源头杜绝设备连接的不安全性;MMS替代协议的传输层实现了基于SM2算法与调度证书的全链路加密、认证,确保传输数据报文防伪造、防抵赖、防窃取,保护数据报文的机密性、完整性.测试结果表明MMS替代协议在工程应用中具有一定的参考意义.     

国密体系在智能变电站的研究与应用

目前智能变电站系统安全防护主要依据IEC 62351标准实施,IEC 62351是国际标准,其涉及的安全技术主要采用国际算法RSA、AES及数字证书。针对智能变电站系统通信存在的安全缺陷,本文提出以下3方面解决方案,1)提出基于IEC 62351安全机制的智能变电站设备间通信采用国密算法与调度数字证书技术;2)发现调度主站到变电站通信协议IEC 104的安全隐患,提出安全改造方案及实现方法;3)提出站控层与过程层通信协议改造方案并采用国密算法与调度证书技术实现。通过采取以上安全措施,确保站内通信信息以及信息资源的实时性、可靠性、保密性、完整性和可用性,杜绝未授权用户的非法接入,保证通信双方身份的真实性及业务数据的可追溯性。     

适用于智能电表双向互动系统的安全通信协议

根据智能电表双向互动系统逻辑结构和业务需求,提出了一种融合协议过滤、双向身份认证、访问列表查询和优先级控制等方法的智能电表双向互动、多重防护安全通信协议(BIMP),并采用BAN逻辑形式化分析方法和非形式化分析方法验证了其性能。BIMP在达到预期目标的同时具有安全保密性、抗攻击性、通信效率较高等特点,能够满足智能电表双向互动系统实际业务应用需求。     

面向输电线路监测的无线自组网安全性研究

无线自组网技术在输电线路监测系统中被广泛应用,该技术发挥显著作用的同时,其安全性也引起广泛地讨论与研究.文章提出了综合采用加密技术、双因素认证技术和VPN技术的安全体系,解决了输电线路监测系统中无线自组网所面临的各种威胁.数据加密与双因素身份认证相结合,保证了通信网络的数据保密性和接入的安全性,VPN通过隧道技术确保了信息传输过程中的安全性和可靠性.经过严密地分析论证,该安全体系可满足目前输电线路监测系统的安全需求,并且可根据传输数据的安全等级和数据类型采用不同级别不同类型的加密方式,具有较强的灵活性.     

双因素身份认证在网络信息安全管理中的应用

为了提高公司网络设备安全管理水平,预防及控制网络安全风险,通过RSA动态令牌认证系统,结合标准Radius网络协议,部署双因素身份认证解决方案来确保网络资源访问的合法性,从而达到在日常网络设备运行维护中,网络技术人员可利用令牌动态口令登录设备,避免了定期更新口令的繁琐性,并可以通过查看认证服务器日志记录,及时发现登录信息、审计相关登录失败、拒绝信息等,消除安全隐患,预防及控制网络安全风险.     

针对网络通信中认证和密钥建立协议的假冒攻击

为了保障信息在无线系统中的安全传输,用户和服务器在交换信息之前需要相互认证,并在建立1个共享的会话密钥。对邓方民提出的基于椭圆曲线的相互认证和密钥建立协议的安全性进行分析,指出协议本身存在的安全隐患。     

RFID在电力物联网应用中的信息安全风险及防护策略分析

RFID是一种在物联网中广泛应用的非接触式自动识别技术,目前已应用于电力系统发电、输电、变电、配电和用电等环节中,但由于物联网环境的复杂性及RFID技术本身的缺陷,RFID在物联网应用中尚存在诸多安全隐患。首先论述了RFID面临的信息安全威胁及相应安全防护策略,在信息安全的机密性、完整性和可用性3个方面对RFID安全风险与防护策略进行了分析和比较,最后展望了RFID未来安全发展方向。     

电动汽车充电桩-后台服务管理中心信息安全防护方案设计与实现

为提高分布式电动汽车充电桩的信息安全防护能力,保障充电桩与后台服务管理中心之间传输数据的机密性、完整性与真实性,分析了充电桩信息安全威胁与信息安全需求,采用高级加密标准（advanced encryption standard,AES）和HMAC-SHA256算法,设计了基于认证加密的充电桩-后台服务管理中心信息安全防护方案;基于STM32F407ZGT6芯片和嵌入式操作系统μC/OS-III,搭建了充电桩通信模拟平台;制定了充电桩-后台服务管理中心通信应用层协议,设计了充电桩-后台服务管理中心信息安全防护方案;测试了不同类型数据在明文传输、加密传输、认证传输、认证加密传输4种安全情形下的报文传输时间,量化了充电桩-后台服务管理中心信息安全防护方案的实施对充电桩通信实时性的影响。测试结果表明,所设计信息安全防护方案可满足充电桩与后台服务管理中心之间通信的机密性、完整性、真实性和实时性要求。