安全高效的异构无线网络可控匿名漫游认证协议

分析传统的匿名漫游认证协议,指出其匿名不可控和通信时延较大的不足.针对上述不足,提出异构无线网络可控匿名漫游认证协议,远程网络认证服务器通过1轮消息交互即可完成对移动终端的身份合法性验证,当移动终端发生恶意操作时,家乡网络认证服务器可协助远程网络认证服务器撤销移动终端的身份匿名性.该协议在实现匿名认证的同时,还具有恶意匿名的可控性,有效防止了恶意行为的发生,且其通信时延较小.安全性证明表明,该协议在CK安全模型中是可证安全的.相对于传统漫游机制而言,该协议更适合于异构无线网络.     

基于模糊身份的直接匿名漫游认证协议

近年来,为保护用户的隐私安全性,大量适用于全球移动网络环境的匿名漫游认证协议相继被提出.其中,部分协议采用临时身份代替真实身份的方法实现漫游过程中用户身份的匿名性需求,然而临时身份的重复使用,在一定程度上增加了用户的存储负担;部分协议采用身份更新的方法实现临时身份的一次一变性,但是相关信息的存储及更新操作,导致协议的执行效率较低.针对上述不足,提出模糊的直接匿名漫游认证协议.无需家乡代理的协助,通过1轮消息交互,外部代理即可直接完成对移动用户的身份合法性验证.同时,无需更新操作,即可实现漫游过程中临时身份的一次一变性.该机制在实现身份合法性匿名认证的同时,提高了协议的存储和执行效率,并且降低了通信时延.安全性证明表明,该协议在Canetti-Krawczyk（CK）安全模型下可证明是安全的.相较于传统漫游认证协议而言,该协议在存储、通信和计算等方面具有更优的性能,更适用于全球移动网络.     

可证安全的移动互联网可信匿名漫游协议

文中提出了移动互联网下移动可信终端(MTT)的可信漫游协议,协议仅需1轮消息交互即可实现MTT的匿名漫游证明,远程网络认证服务器通过验证MTT注册时家乡网络认证服务器为其签发的漫游证明信息的合法性,完成对MTT相关属性的认证,同时保证了MTT隐私信息的安全性和匿名性.最后运用CK安全模型证明了协议是会话密钥安全的,在继承传统漫游协议身份匿名性和不可追踪性的同时,具有较高的安全性、抗攻击性和通信效率.     

移动Ad Hoc网络可认证安全匿名通信研究

传统的移动Ad Hoc网络匿名路由协议无法鉴别伪造的路由控制分组,并且公钥运算过多导致路由建立时间延长.提出一种基于邻居认证的安全匿名路由协议以解决上述问题,通过基于临时身份公钥的邻居匿名认证机制鉴定邻居节点合法性并动态协商密钥,路由发现过程中利用邻居协商密钥对路由控制消息进行逐跳的验证与处理.上述机制使得伪造路由分组可被有效鉴别,并且中间节点基于对称密钥运算处理分组降低了路由发现时延.理论分析和仿真结果表明,该协议可对抗基于伪造分组的DoS攻击,并且较传统协议具有更低的路由建立时间.     

基于身份加密的匿名漫游无线认证协议

针对移动漫游认证问题,采用基于身份加密技术和双线性对的相关特性,提出一种基于身份加密的匿名漫游无线认证协议,分析协议的安全性和匿名性,给出在非认证链路模型下安全的形式化证明。分析表明,该协议在保证用户身份不被泄漏的前提下,实现了用户与接入点之间的双向验证,满足无线网络环境的安全需求,并提供不同运营商之间的不可否认服务。与现有协议相比,该协议为匿名漫游认证提供了一种更实用的解决方案。     

基于IKEv2的物联网认证与密钥协商协议

在物联网中,关键的安全认证协议主要位于服务器与节点之间的通信中,一旦节点的身份被假冒,则服务器会接收到错误的数据;一旦服务器的身份被假冒,则节点反馈给服务器的信息将被泄露.论文针对物联网中存在的以上攻击,改进了Internet密钥交换协议IKEv2,进一步完善了其认证功能,更好地保证了服务器与节点之间的安全通信.     

运用DH-EKE增强WTLS握手协议的安全性

WTLS握手协议不满足前向安全性,非匿名验证模式下不满足用户匿名性,完全匿名模式下易遭受中间人攻击.DH-EKE协议具有认证的密钥协商功能,将改进的DH-EKE集成到WTLS握手协议中,只需使用可记忆的用户口令,不需使用鉴权证书及数字签名.该方案适用于完全匿名的验证模式,可抵御中间人攻击和字典式攻击,且在服务器中不直接存储口令,攻击者即使攻破服务器获得口令文件也无法冒充用户,能够在WTLS握手协议中实现简单身份认证和安全密钥交换.     

无线移动网络跨可信域的直接匿名证明方案

基于信任委托的思想,提出一种移动环境下的跨可信域的直接匿名(direct anonymous attestation,简称DAA)证明方案,采用代理签名技术和直接匿名证明方法,实现对移动终端在多可信域之间漫游时的可信计算平台认证,并在认证过程中协商会话密钥,增强了远程证明体系的安全性.利用Canetti-Krawczyk(CK)模型对方案的认证协议的认证安全性和匿名安全性进行了形式化分析和证明.分析表明,该方案能够抵抗平台伪装攻击和重放攻击,其性能适用于无线网络环境.     

物联网中移动Sensor节点漫游的组合安全认证协议

物联网包含感知子网和传输骨干网,其感知子网中节点能力受限,往往利用移动的传感器节点跨区域访问来获取信息;而其传输骨干网络需要依托现有Internet的基础设施,并利用其提供的强大服务.在这种情况下,移动节点的漫游带来了新的安全问题,一方面移动节点在感知子网间跨区域漫游,虽和MANET中一样需要保证移动节点漫游时高效安全地加入新的拜访域,但因传感节点资源极端受限而对轻量级有更高数量级的要求;另一方面资源受限的感知子网间移动节点漫游仅能提供轻量级安全,但是在接入骨干传输网时,不可因此降低骨干网络已有的安全性,即轻量级的安全协议和传统骨干网协议综合运用时,需具有组合安全性.本文针对这种基于骨干传输网的移动节点漫游问题,提出了一个新的随机漫游认证协议(RMRAP),兼顾安全性和实际应用的可行性,实现了漫游的轻量级身份认证,保护了漫游节点的隐私,同时实现了具有前向安全性,会话密钥对;并针对衔接骨干网和感知子网的基站进行了组合安全性的认证测试,验证了RMRAP的安全性;最后,从理论分析和实验仿真两个方面,分析了RMRAP协议的性能,并和相近工作进行了对比,对比表明,具有组合安全性的RMRAP在计算、通信开销方面,依然具有和同类协议可比较的相近性能.     

无线移动网络跨可信域的直接匿名证明方案?

基于信任委托的思想,提出一种移动环境下的跨可信域的直接匿名(direct anonymous attestation,简称DAA)证明方案,采用代理签名技术和直接匿名证明方法,实现对移动终端在多可信域之间漫游时的可信计算平台认证,并在认证过程中协商会话密钥,增强了远程证明体系的安全性。利用 Canetti-Krawczyk(CK)模型对方案的认证协议的认证安全性和匿名安全性进行了形式化分析和证明。分析表明,该方案能够抵抗平台伪装攻击和重放攻击,其性能适用于无线网络环境。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

可证明安全的后量子两方口令认证密钥协商协议

口令认证密钥协商可以在客户机和服务器之间建立安全的远程通信,且可以将一个低熵口令放大为一个高熵的会话密钥。然而,随着量子计算技术的快速发展,基于大数分解和离散对数等经典数学难题的PAKA协议面临着严峻的安全挑战。因此,为了构建一个高效安全的后量子PAKA协议,依据改进的Bellare-Pointcheval-Rogaway(BPR)模型,提出了一个基于格的匿名两方PAKA协议,并且使用给出严格的形式化安全证明。性能分析结果表明,该方案与相关的PAKA协议相比,在安全性和执行效率等方面有一定优势,更适用于资源受限的物联网(Internet of Things, IoT)智能移动设备。     

面向无人装置协同操作的安全认证协议

无人装置协同操作动态组网需要安全的群组通信。依据无线环境中的不同安全域,提出了一种具有身份保护的安全组网协议。该协议采用基于身份的匿名签名算法设计了安全组网机制,实现了传感器节点、作动器节点、密钥分发中心和控制台的四方安全认证和密钥交换,并为安全域内的无人操作装置建立了安全传输通道;采用匿名身份认证与可追溯机制相结合的方式,构建了无人操作装置间动态组网和数据安全传输,以为协同操作提供实时、安全的数据通道,实现无人操作装置在传感器和作动器级的协同。     

一种基于区块链的车联网安全认证协议

针对车联网环境下,车辆节点快速移动造成的中心服务器认证效率低、车辆隐私保护差等问题,提出了一种基于区块链的车联网安全认证协议。该协议利用Fabric联盟链存储车辆临时公钥与临时假名,通过调用智能合约,完成车辆身份认证,同时协商出会话密钥,保证通信过程中数据的完整性与机密性;利用假名机制有效避免了车辆在数据传输过程中身份隐私泄露的风险;使用RAFT共识算法高效达成数据共识。经安全性分析与实验结果表明,所提协议具有抵抗多种网络攻击的能力,且计算开销低、区块链存储性能好,能够满足车联网通信的实时要求。     

智能卡和口令结合的动态认证方案

远程认证协议能有效的保证远程用户和服务器在公共网络上的通信安全。提出一种匿名的安全身份认证方案,通过登录 的动态变化,提供用户登录的匿名性,通过用户和服务器相互验证建立共享的会话密钥,抵抗重放攻击和中间人攻击,实现用户安全和隐私,通过BAN逻辑分析证明改进方案的有效性,通过安全性证明和性能分析说明了新协议比同类型的方案具有更高的安全性、高效性。     

基于PANA的移动互联网匿名认证协议

针对移动互联网络的安全需求,在基于身份公钥系统的基础上,设计一种利用PANA的双向匿名AAA协议,该协议提出移动互联网络通信中基于网络层认证协议PANA的AAA方案,实现了通信双方的相互认证,并使移动互联网络向移动用户提供匿名服务,保护用户身份信息,具有较强的匿名性。试验结果表明,该协议高效可行,满足AAA下移动互联网络PANA协议匿名性的安全需求。     

A secure and privacy-preserving lightweight authentication protocol for wireless communications

In wireless networks, seamless roaming allows a mobile user (MU) to utilize its services through a foreign server (FS) when outside his home server (HS). However, security and efficiency of the authentication protocol as well as privacy of MUs are of great concern to achieve an efficient authentication protocol. Conventionally, authentication involves the participation of three entities (MU, HS, and FS); however, involving an HS in the authentication process incurs heavy computational burden on it due to huge amount of roaming requests. Moreover, wireless networks are often susceptible to various forms of passive and active attacks. Similarly, mobile devices have low processing, communication, and power capabilities.

In this paper, we propose an efficient, secure, and privacy-preserving lightweight authentication protocol for roaming MUs in wireless networks without engaging an HS. The proposed authentication protocol uses unlinkable pseudo-IDs and lightweight time-bound group signature to provide strong user anonymity, and a cost-effective cryptographic scheme to achieve security of the authentication protocol. Similarly, we implement a better billing system for MUs and a computationally efficient revocation scheme. Our analysis shows that the protocol has better performance than other related authentication protocols in wireless communications in terms of security, privacy, and efficiency.