一种基于数字证书的无线局域网认证机制初探

无线局域网使用公共电磁波作传输介质,这在为用户带来便捷的同时也为其网络安全问题带来新的挑战。主要的解决方法有用户身份认证和数据加密传输。本文尝试提出一种新的基于数字证书的无线局域网认证机制。同时探讨了该机制的优缺点。该机制利用证书作为认证用户的手段．通过认证服务器AS实现对supplicant和AP的双向认证,并借用盲签名的思想在supplicant和AP之间生成和分配用于会话加密的共享密钥。     

格尔企业证书认证系统SRQ15

一、系统简介1、密钥管理子系统密钥管理子系统提供加密证书密钥对的管理,包括密钥的生成、存储、分发、备份、更新、撤销、归档和恢复等。密钥管理中心作为独立运行的系统,可以为一个或者多个证书认证系统提供密钥管理服务。密钥管理子系统中的密钥管理服务器承担了密钥管理的核心功能,同时提供了撤消、归档等功能,服务器密码机保证了用户密钥的安全产生和安全分发。     

PKMv1协议研究

IEEE 802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制。IEEE 802.16系列标准的安全性主要基于PKM协议。在初始授权密钥交换期间,BS使用基于数字证书的SS认证,来对客户端SS进行认证。PKM协议使用公钥密码技术来建立SS与BS之间的共享密钥,SS也使用PKM协议来支持周期性重认证和密钥更新。本文首先分析了PKMv1中安全子层的协议栈,然后给出了WiMAX安全关联的种类与内容,研究了WiMAX安全流程以及安全认证、密钥交换和数据加密等方案。最后,对PKMv1可能存在的安全威胁进行了详细的介绍。     

基于ECC组合公钥的GSM双向认证

针对目前GSM网络认证和密钥协商过程中存在的安全隐患,提出了基于椭圆曲线组合公钥技术的GSM离线双向认证,在引入了非对称密钥加密的同时却不需要引入可信任第三方CA机构,能有效解决大规模网络环境中密钥生产、分发、存储管理与证书验证难等问题。实验分析表明,该方案不仅实现了GSM的双向认证,而且与其它方案相比,节省了网络带宽,降低了对存储空间的要求,且每次认证都实现了加密密钥刷新。     

构建安全日志服务器的密钥管理系统*

保证日志的安全性是安全日志服务器的一个基本目的,加密和认证是常用的保证日志信息安全性的重要方法,而密钥管理又是其中不可缺少的部件之一。详细阐述了在安全日志服务器中成立密钥管理中心的必要性,提出由密钥管理中心统一负责用户身份的认证和日志文件的加密传送。最后重点讨论了安全日志服务器的密钥管理系统中密钥的分配问题和多个CA之间交叉认证模式的选择。     

新型安全电子邮件加密系统的设计与实现

基于身份公钥加密是一种以用户的身份标识符作为公钥的新型加密体制。本文首先介绍基于身份的公钥加密方案(IBE),给出IBE安全加密体制的基本框架结构与工作原理;设计了一个IBE密钥管理方案,实现IBE公钥和私钥的安全分发;提出了一套基于IBE的安全电子邮件系统,开发了一个PKG密钥服务器和Outlook邮件客户端加密插件,并实现IBE密钥管理方案;最后讨论了IBE邮件加密系统的安全问题。     

基于椭圆曲线的加密密钥交换协议

加密密钥交换协议(EKE)的目的是利用安全性低的口令协商安全性高的密钥,进而利用密钥对以后的通信进行加密或身份认证,从而实现安全通信.基于验证元的EKE是针对服务器泄露攻击问题提出的.本文基于椭圆曲线密码系统的特点,给出了一个基于验证元的3EKE,该协议中,服务器通过口令实现对用户的认证;协议能够抵抗服务器泄露等攻击,...     

PKMvl协议研究

IEEE 802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制.IEEE 802.16系列标准的安全主要基于PKM协议.在初始授权密钥交换期间,BS使用基于数字证书的ss认证.来对客户端ss进行认证.PKM协议使用公钥密码技术来建立SS与BS之间的共享密钥,SS也使用PKM协议来支持周期性重认证和密钥更新.本文首先分析了PKMvl中安全子层的协议栈,然后给出了WiMAX安全关联的种类与内容,研究了WiMAX安全流程以及安全认证、密钥交换和数据加密等方案.最后,对PKMvl可能存在的安全威胁进行了详细的介绍.     

WiMAX认证方案研究

WiMAX安全要实现两大目标:一是为整个无线网络提供机密性保护;二是提供网络接入控制功能。IEEE802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制。本文首先分析了WiMAX网络物理层和MAC层面临的安全威胁,然后给出了WiMAX网络安全体系架构。最后,对散列消息认证码(HMAC)、X.509证书和可扩展认证协议(EAP)进行了详细的介绍。     

具有PFS特性的流媒体安全通信协议

设计面向可伸缩媒体流的安全通信协议以保证可伸缩流媒体服务系统能够为相同的节目源设计不同质量等级的输出码流并确保安全传输。通信协议由客户端、认证服务器和视频服务器3个实体的交互完成,通过基于Diffie-Hellman算法的密钥交换和基于证书机制的双向认证确保产生的临时会话密钥的机密性和通信过程的PFS特性。通过采用CBC模式的对称加密算法、ID与随机数的串接以及用临时密钥加密密钥协商消息等安全机制来确保增强的安全性以抵抗反射攻击和中间人攻击。     

Simple password-based three-party authenticated key exchange without server public keys

Password-based three-party authenticated key exchange protocols are extremely important to secure communications and are now extensively adopted in network communications. These protocols allow users to communicate securely over public networks simply by using easy-to-remember passwords. In considering authentication between a server and user, this study categorizes password-based three-party authenticated key exchange protocols into explicit server authentication and implicit server authentication. The former must achieve mutual authentication between a server and users while executing the protocol, while the latter only achieves authentication among users. This study presents two novel, simple and efficient three-party authenticated key exchange protocols. One protocol provides explicit server authentication, and the other provides implicit server authentication. The proposed protocols do not require server public keys. Additionally, both protocols have proven secure in the random oracle model. Compared with existing protocols, the proposed protocols are more efficient and provide greater security.     

嵌入式Web服务器身份认证的解决方案

研究了嵌入式Web服务器的安全性,分析了安全性这一关键问题在目前嵌入式Web服务器领域的不足,给出一种基于信息认证技术的安全机制来弥补该不足.提出了一种适合嵌入式Web服务器应用的身份认证方案,该方案主要由密钥维护、角色权限分配和身份认证处理模块组成,最后给出了具体实现流程以及数字签名的详细过程.     

一种轻量级的动态化密钥协商的物联网身份认证协议研究

针对物联网络在用户身份验证上存在的安全性问题,提出一种轻量级的动态化密钥协商的物联网身份认证协议(DLT)。该协议在用户进行登陆验证上使用了时间戳值,这使得恶意攻击者不能使用早期的消息,可以防范重放攻击以及拒绝服务攻击;在认证和密钥协商阶段采用了用户、服务器、控制服务器三者之间的互相验证,并且在公共信道上对服务器密钥和随机值进行了分离处理,使得攻击者无法窃听到其他用户的安全信息。协议安全性分析及仿真对比结果表明,DLT协议相比对比协议具有更多的安全功能,可以防范多种网络攻击,并且协议的能量代价更低。     

An efficient user authentication and key exchange protocol for mobile client–server environment

Considering the low-power computing capability of mobile devices, the security scheme design is a nontrivial challenge. The identity (ID)-based public-key system with bilinear pairings defined on elliptic curves offers a flexible approach to achieve simplifying the certificate management. In the past, many user authentication schemes with bilinear pairings have been proposed. In 2009, Goriparthi et al. also proposed a new user authentication scheme for mobile client–server environment. However, these schemes do not provide mutual authentication and key exchange between the client and the server that are necessary for mobile wireless networks. In this paper, we present a new user authentication and key exchange protocol using bilinear pairings for mobile client–server environment. As compared with the recently proposed pairing-based user authentication schemes, our protocol provides both mutual authentication and key exchange. Performance analysis is made to show that our presented protocol is well suited for mobile client–server environment. Security analysis is given to demonstrate that our proposed protocol is provably secure against previous attacks.     

基于混沌理论的网络安全技术

基于混沌理论的网络安全技术采用一次性口令的双因素企业级网络访问认证，重点是网络口令确认，结合服务器端、其它安全授权等。系统工作于客户机／服务器模式，主要由“认证服务器”和“电子令牌”组成。具有身份鉴别、安全审定、非法登录报警等功能，是传统网络安全产品强有力的助手、是网络安全的重要工具。     

基于并行计算的认证服务系统

介绍一种基于并行计算的安全认证服务器系统,给出该系统的算法模型。认证服务器的并行环境采用主从模式,私钥分段按照一定顺序存放到各个物理节点中,主节点控制认证流程及私钥发放,从节点保存私钥及密钥计算。在算法模型的基础上实现原型系统,对该方案的安全性能进行了评价。实验结果表明该方案具有抗攻击能力强、认证速度快和结构稳定的特点。     

一种基于802.1x的双向认证方法及其形式语义分析

提出一种基于IEEE802.1x协议的双向认证方法,该方法在一个认证流程内实现客户实体与认证服务器之间和客户实体与认证实体之间的双向认证,以及客户实体与认证实体之间共享密钥的成功分发。通过对安全性的形式语义分析,结果表明该方法成功实现客户实体与认证服务器之间和客户实体与认证实体之间的相互信任。     

基于串空间理论的Kerberos协议分析

在介绍串空间理论基本概念、攻击者模型以及Kerberos协议的基础上,利用串空间理论得出Kerberos各协议参与主体和攻击者的迹,构造了协议的串空间,给出了Kerberos协议的丛图。在证明一个定理的基础上,使用启发式和反证法的思路,证明了认证服务器分配给客户端和应用服务器会话密钥的保密性,即攻击者从现有知识和构造能力无法推导出服务器分配给客户端和应用服务器的会话密钥;证明了客户端和认证服务器以及客户端和应用服务器能够相互认证,得出了Kerberos协议正确性的结论。     

基于双线性对的智能卡口令认证改进方案

通过对一种使用双线性对构造的智能卡口令认证方案的分析,发现该方案不能抵抗冒充攻击和服务器伪装攻击。针对该问题,提出一种改进的基于双线性对的智能卡口令认证方案,即利用服务器公钥进行加解密操作,通过引入序列号使用户与系统间进行了双向认证,不仅保持了原有方案的安全性,而且能有效地抵御冒充攻击和服务器伪装攻击,安全性更高。     

WLAN Mesh漫游接入认证协议

IEEE 802.11s WLAN Mesh没有定义客户端的漫游认证协议,并且其初始接入认证协议EMSA中,申请者和认证者的认证密钥是通过认证服务器产生的,所以申请者和认证者之后的所有通信完全可以被认证服务器获取.同时该协议中的基于共享密钥的认证方式不能保证前向保密性,一旦长期密钥丢失,由其保护的所有通信内客都将被泄露.在EMSA的基础上.利用三方Diffie-Hellman密钥交换和单独认证载荷技术提出了客户端漫游接入认证协议.该协议不但克服了上述缺陷,而且只需要4轮的协议交互便可以实现上述三者之间的相互认证和密钥确认,不需要4步握手进行密钥确认.并且新的协议将基于签名的认证方式和基于共享密钥的认证方式统一于单独的认证载荷.这样认证方式的改变并不影响认证协议的结构.最后对新的协议进行了可证明安全分析和NS2性能仿真.结果表明:新的协议是通用可组合安全的,并且性能优于现有协议.