异构无线网络中基于标识的匿名认证协议

针对异构无线网络中的认证协议的安全问题,提出一种基于CPK算法和改进的ECDH算法的双向认证和密钥协商协议,引入用户的临时认证身份和临时通信身份实现用户的身份匿名;提出采用临时通信身份有序对防止重认证过程中的重放攻击,并且在协议设计中规避了密钥泄漏带来的风险。分析表明该协议具有身份认证、会话密钥安全、匿名性等安全属性。     

混合云联合身份认证与密钥协商协议设计

针对混合云中用户群不同,认证机制不一致的特点,基于双线性对和密钥协商机制,提出了一种混合云联合身份认证和密钥协商协议,实现了混合云用户身份认证和授权策略等安全信息的分布式管理与动态获取。通过理论分析和实验证明,该协议具有安全高效的特点,可以有效预防篡改数据、伪造用户身份、重放和中间人攻击等,且以较小的计算量和通信开销,为混合云联合身份认证和密钥协商提供了一种较实用的解决方案。     

认证的密钥交换协议及SVO逻辑证明

在环境受限的无线通信网络环境中,身份认证和会话密钥的协商是确保通信双方能否建立安全会话的关键。为使认证和密钥建立协议中采用的密码技术能适合受限通信环境中的应用,提出一个基于身份的认证的密钥建立协议,并使用SVO逻辑证明设计协议的安全目标。     

一种基于ECDH的可认证密钥协商协议

针对Diffie-Hellman密钥交换协议和ECDH密钥协商协议的缺陷,给出了一种改进后的可认证密钥协商协议。该协议具有等献性、密钥不可控、密钥确认、完美前向安全以及抗已知密钥攻击等安全特性。跟以往的密钥协商协议相比,其管理简单、开销较低、安全性高、扩展性较好且实现了身份认证,以较低的计算成本和较高的运算效率实现了通信双方安全的会话密钥协商与密钥验证,能够较好地适用于大规模网络的端到端密钥管理。     

基于椭圆曲线的隐私增强认证密钥协商协议

认证密钥协商协议能够为不安全网络中的通信双方提供安全的会话密钥,但是,大多数的认证密钥协商协议并没有考虑保护用户隐私.论文关注网络服务中用户的隐私属性,特别是匿名性和可否认性,规范了增强用户隐私的认证密钥协商协议应满足的安全需求,即双向认证、密钥控制、密钥确认、会话密钥保密、已知会话密钥安全、会话密钥前向安全、用户身份匿名、用户身份前向匿名、不可关联和可否认,并基于椭圆曲线密码系统设计了一个满足安全需求的隐私增强认证密钥协商协议.     

基于串空间模型的WAI密钥协商协议分析

WAPI实施方案中采用WAI(WLAN Authentication Infrastructure)协议来进行密钥协商,运用串空间模型分析验证了WAI协议中的单播密钥协商协议的实施方案,指出该实施方案较之原方案,安全性有了较大的提高.同时,利用该协议STA以及AP能够实现双向身份认证,并能安全地协商到会话密钥.     

基于身份的SIP认证与密钥协商机制研究

对SIP中的安全威胁和已有安全机制进行了分析,提出一种基于身份的SIP认证与密钥协商方案,通过3次交互实现双向认证,并在该过程中完成密钥协商.方案不需要公钥证书,以用户身份标识作为公钥,降低了计算复杂度和通信开销,保证了SIP消息传递过程中的完整性和真实性.     

一种新的三方认证密钥协商协议

目前大部分基于身份的三方认证密钥协商协议都存在安全缺陷,文中在Xu等人提出的加密方案的基础上,设计了一种基于身份的三方认证密钥协商协议.该协议的安全性建立在BDDH假设基础上,经安全性分析,协议具有已知密钥安全,PKG前向安全,并能抵抗未知密钥共享攻击和密钥泄露伪装攻击,因此该协议是一个安全的三方密钥协商协议.     

远程用户基于ECDLP的快速认证密钥协商方案

针对无线通信中用户进行身份认证与密钥协商存在的安全性与计算量之间的制约关系问题,提出一种基于椭圆曲线离散对数难题(Elliptic Curve Discrete Logarithm Problem,ECDLP)的用户快速认证密钥协商协议。该协议通过对用户注册与认证密钥协商阶段的安全性与计算量进行综合分析,基于ECDLP难题为用户在注册阶段分配唯一身份标识符,通过增加用户注册阶段服务器的计算量,有效降低认证密钥协商阶段的计算量,在保证通信机密性、认证性与完整性的条件下,提高用户进行认证密钥协商的效率。安全性分析与计算量对比的结果表明,与其他同类协议相比,本文所提出的协议能在满足安全需求的前提下,有效地降低认证密钥协商协议的总体计算量。      

基于身份认证的无线安全密钥交换

认证密钥协商使得通信双方在共享一个安全会话密钥的同时实现相互认证。针对无线网络,基于口令认证的密钥协商算法也许能降低系统资源开销,但通常不能有效抵抗字典攻击。针对无线设备的资源有限性,文中提出一种可证安全的、基于身份的、认证的密钥协商方案,所提出方案需要计算量少,能够抵抗冒充攻击并且满足密钥协商协议所要求的其它安全属性。     

基于动态共享密钥的移动RFID双向认证协议

针对移动无线射频识别认证协议面临的身份认证和隐私保护、动态密钥安全更新和去同步化攻击问题,提出一种可动态更新共享密钥的移动RFID双向认证协议.协议基于Hash密码机制,利用随机数同时进行密钥安全更新和身份认证,并采用对分表存储的当前和历史共享密钥进行动态添加和删除的方法,保留最后一次合法认证后的一致共享密钥.安全性能分析与效率分析表明,该协议能够实现动态密钥安全更新和身份认证、能够在遭受去同步化攻击后保证密钥同步,且具有较强的计算和存储性能.通过和同类RFID认证协议比较,协议弥补了同类RFID协议存在的不足,适用于被动式标签数量庞大的RFID系统.     

A mobile host protocol supporting route optimization andauthentication

Host mobility is becoming an important issue due to the recent proliferation of notebook and palmtop computers, the development of wireless network interfaces, and the growth in global internetworking. This paper describes the design and implementation of a mobile host protocol, called the Internet mobile host protocol (IMHP), that is compatible with the TCP/IP protocol suite, and allows a mobile host to move around the Internet without changing its identity, In particular, IMHP provides host mobility over both the local and wide area, while remaining transparent to the user and to other hosts communicating with the mobile host. IMHP features route optimization and integrated authentication of all management packets. Route optimization allows a node to cache the location of a mobile host and to send future packets directly to that mobile host. By authenticating all management packets, IMHP guards against possible attacks on packet routing to mobile hosts, including the interception or redirection of arbitrary packets within the network. A simple new authentication mechanism is introduced that preserves the level of security found in the Internet today, while accommodating the transition to stronger authentication based on public key cryptography or shared keys that may either be manually administered or provided by a future Internet key management protocol     

SSL-Webmail中间人监测技术研究

SSL协议是实现网络通信安全的关键协议之一,对信息的传输起到了认证和加密的作用,绝大多数电子邮箱都采用此技术传输信息,但其并非毫无漏洞。文中首先介绍SSL协议和HTTP协议,然后介绍了SSL欺骗,即SSL中间人攻击的原理,再结合DNS欺骗原理,重点分析了SSL中间人攻击的实现过程,并且分析了一种基于有限状态自动机的模式匹配算法的解析数据的方法,最后提出了基本的防范方法。     

Reverse Authentication in Financial Transactions and Identity Management

New families of protocol, based on communication over human-based side channels, permit secure pairing or group formation in ways such that no party has to prove its name. Rather, individuals are able to hook up devices in their possession to others that they can identify by context. We examine a model in which, to prove his or her identity to a party, the user first uses one of these “human-interactive security protocols” or HISPs to connect to it. Thus, when authenticating A to B, A first authenticates a channel she has to B: the reverse direction. This can be characterised as bootstrapping a secure connection using human trust. This provides new challenges to the formal modelling of trust and authentication.     

一种实时数据流认证方案

数据源认证是信息安全体系中的重要部分,在实时数据流的认证过程中,认证速度和效率是两项重要指标。文章在数字摘要和数字签名技术的基础上,根据实时数据流的传输特点,设计了一种并行处理的实时数据流认证方案,并从传输密度和认证窗口两方面进行了性能分析。这一方案提高了实时阶段的效率,适合于在不安全网络上对实时数据流进行认证。     

一种实用的适用于移动自组织网络的认证协议

与传统网络相比，自组织网络本身存在许多系统脆弱性．使得传统网络安全机制不再适用于自组织网络。文章对传统PKI作必要改进，定义了适用于自组织网络的的公钥基础设施AH-PKI．并设计了一种基于AH-PKI的认证协议。     

SSL中间人攻击原理与防范

安全套接层SSL协议是实现网络通信安全的关键技术之一,对信息传输起到了加密和认证的作用,但并非毫无漏洞。论文先介绍了SSL协议和中间人攻击的原理,然后重点分析SSL协议在握手阶段基于X.509数字证书的信任协商不足问题,再结合ARP重定向欺骗,具体分析了SSL中间人攻击的实现原理和过程,最后给出一些防范SSL中间人攻击的建议。     

Signature verification revisited: promoting practical exploitationof biometric technology

Despite research over a long period, biometric approaches to authenticating personal identity have not met with the degree of success in practical applications originally predicted. This paper discusses approaches to biometric testing, focusing particularly on automatic signature verification, and addresses some of the important issues which might help to promote the introduction of practical systems in the future. Examples associated with the adoption of an explicitly flexible approach to signature verification are used to illustrate the discussion, and it is argued that there is still considerable potential for practical exploitation of this type of technology     

Limits on the Usefulness of Random Oracles

In their seminal work, Impagliazzo and Rudich (STOC’89) showed that no key-agreement protocol exists in the random-oracle model, yielding that key agreement cannot be black-box reduced to one-way functions. In this work, we generalize their result, showing that, to a large extent, no-private-input, semi-honest, two-party functionalities that can be securely implemented in the random oracle model can be securely implemented information theoretically (where parties are assumed to be all powerful, and no oracle is given). Using a recent information-theoretic impossibility result by McGregor et al. (FOCS’10), our result yields that certain functionalities (e.g. inner product) cannot be computed both in an accurately and in a differentially private manner in the random oracle model, implying that protocols for computing these functionalities cannot be black-box reduced to the existence of one-way functions.     

IKE协议中身份保护机制的分析与改进

现有IKE协议中缺乏完善的身份保护,对整个协议的安全性有不利影响。这里在分析现有IKE协议的基础上,对它进行了改进,并分析了改进对协议安全性的影响。结果表明,改进后的协议有效保护了协商双方的身份信息,解决了预共享密钥认证中身份隐藏问题。