一种面向低轨卫星网络的高效无证书身份认证方案

针对现有低轨卫星网络认证方案采用集中认证方式存在认证时延大和采用复杂的双线性映射存在计算开销大的问题。引入无证书认证模型,在Gayathri方案的基础上;设计了一种高效无证书认证方案。该方案将用户的公钥和真实身份统一起来,使得认证过程中不需要第三方参与,降低了认证时延;通过椭圆曲线上少量点乘和点加运算构建认证消息,避免使用双线性映射,降低了计算开销;并在随机预言模型下,基于椭圆曲线离散数学对问题假设,对其安全性进行了证明。最后,通过实验仿真,与现有低轨卫星身份认证方案相比,所提方案的认证时延、计算开销和通信开销较低。     

基于证书签密的IPv6网络跨域认证协议

为了解决IPv6网络互连过程中基于身份认证的域内用户与基于无证书认证的域内用户之间进行跨域认证和密钥协商的问题,提出了一种随机预言机模型下可证明安全的基于证书签密的认证方案,设计了一种IPv6网络跨域认证协议并对其安全性和效率进行了分析。结果表明,在安全性方面,该协议具有完美向前保密和双向实体认证等安全属性,满足了认证的安全需求;在效率方面,与同类协议相比,该协议无须进行公钥加/解密运算,也不受同步环境的限制,只需五条消息就能实现跨域认证,计算开销和通信开销都相对较小。     

面向软件定义卫星网络的协同接入认证机制

接入认证是保障卫星网络安全的重要基础技术之一,一直为传统卫星网络安全领域的研究热点,但在新兴的软件定义卫星网络中的相关研究尚处于“襁褓”阶段。本文面向软件定义卫星网络提出了一种协同接入认证机制,其目标为:将安全技术和软件定义技术有机融合,在保证基本安全接入认证功能基础上,抵御卫星网络接入认证拒绝服攻击,规避由于切换认证中断导致的服务访问质量问题。协同接入认证机制设计中的主要贡献主要包括:协同接入认证模型和空间拓扑动态变化高容忍的接入认证协议两部分。其中,为了抵御接入认证拒绝服务攻击,协同接入认证模型设计为以地面合法端用户设备身份作为序参量,协同软件定义卫星网络管理面、控制面与转发面,仅上报注册的合法端用户设备的接入认证请求,减少接入认证暴露的攻击面;为了提升服务访问的连续性,空间拓扑动态变化高容忍的接入认证协议则基于椭圆曲线无证书算法,通过主动更新预接入和接入认证阶段的控制面转发控制参数,使合法端用户设备的服务访问对切换无感知,降低重认证次数。通过安全性分析,本文证明了所提出的接入认证机制不仅能够满足安全性需求,并且与典型认证方法相比,在抵御接入认证抗拒绝服务攻击和保障访问连续性等方面具有优势;进一步,通过数值仿真,验证了所提接入认证机制不仅可有效降低重认证次数,并且可达到毫秒级的认证算法计算效率。     

基于ELGamal数字签名的卫星网络认证方案

为解决卫星干扰、非法盗用卫星资源的问题,分析了卫星通信网络的特点,并综合考虑卫星网络的安全认证的需求,提出了一种基于ELGamal数字签名的卫星网络安全双向认证方案。该方案对ElGamal数字签名算法本身进行了改进,加快了ElGamal数字签名的签名速度,节约了通信性能的开销。在某专用卫星通信系统信息传输中实际应用结果表明,该方案有效克服了传统认证方案中存在的认证效率较低和认证过程较复杂等问题。     

基于组密钥序列卫星网络组密钥协商协议

组密钥的协商是实现卫星网络安全组播通信的一个关键环节。为降低组密钥协商过程的计算及通信开销,针对卫星网络拓扑结构的动态变化问题,基于组密钥序列给出了组控制节点切换方法,实现了对组控制节点的动态调整;引入认证与完整性校验机制,提出了一种组密钥产生与更新机制,提高了密钥协商信息的安全性。仿真分析表明,该卫星网络组密钥协商协议具有较高的效率与安全性。     

电子商务平台快速身份认证算法研究

提出一种快速身份认证方法。待验证用户提出证书申请后,利用门限的思想将证书颁发的任务分派到每个认证参与者身上,通过计算得到的认证参与者的子证书集合,完成身份认证,避免了所有认证工作都在认证中心进行计算造成的认证效率低的问题。实验证明,这种方法能够快速完成用户的身份认证,同时保证了认证的安全性,取得了满意的结果。     

车载自组网无证书条件隐私保护认证方案

车载自组网（VANET）在共享交通数据、提升行车效率、减少交通事故等方面具有明显优势,对智能交通系统的构建至关重要。与此同时,车与车之间、车与基础设施之间的安全通信,车辆的隐私保护（如身份隐私、位置隐私）,交通消息的高效认证等问题亟待解决。为了实现安全性和效率的平衡,首先,分析并证明最近提出的方案——条件隐私保护无证书聚合签名方案（CPP-CLAS）不能抵抗公钥替换攻击;其次,在此基础上提出一种新型VANET无证书条件隐私保护认证方案,方案中的车辆在申请部分私钥时不依赖安全信道,并采用聚合认证和批量认证技术批量验证签名;最后,在随机预言机模型下证明了所提方案具有不可伪造性。性能分析表明,与同类型方案相比,所提方案在没有增加验证开销的基础上,将签名阶段的计算效率至少提升了66.76%,通信带宽需求至少降低了16.67%,验证了该方案更加适用于资源受限的VANET。     

基于国密算法和模糊提取的多因素身份认证方案

针对多因素身份认证方案需要额外硬件设备以及在隐私信息防护、密码运算安全上存在漏洞等问题,提出一种基于国密算法和模糊提取的多因素身份认证方案.该方案不需要智能卡等额外设备,首先使用Shamir秘密门限方案和SM4分组密码算法保护用户私钥安全;然后在注册阶段使用模糊提取和SM3密码杂凑算法实现基于用户身份和生物特征信息的双向认证,从而注册用户身份并发布用户公钥;最后在认证阶段使用SM2椭圆曲线公钥密码算法实现基于签名验签的双向认证,从而认证用户身份并协商会话密钥.经过BAN逻辑验证和启发式安全分析,该方案实现了注册和认证阶段双向认证,能够安全地协商会话密钥,可以抵抗已知攻击并提供用户匿名性和前向保密性.实验结果显示,该方案在客户端和服务端的计算开销都在毫秒级,在提高安全性的同时保持了较高的效率.     

车载自组网中可证明安全的无证书批认证方案

车载自组网(VANET)可以有效提高交通安全,但在其大量部署前必须解决安全和隐私问题。为此,提出一个VANET中有效的无证书批认证方案来解决传统基于身份的认证方案中存在的密钥托管问题。系统主密钥不预先装载到车辆的防窜改设备中,减少方案的安全性对防窜改设备的依赖;不采用计算量大的双线性对来减少计算开销;利用批认证算法提高认证效率。安全性分析表明,提出的方案在随机预言模型中是可证明安全的;与以往的方案相比,该方案在计算成本和通信成本方面具有较低的开销,适用于实际的VANET环境。     

5G移动边缘计算场景下的快速切换认证方案

5G万物互联为用户带来极致网络体验的同时也提出了新的挑战,用户的超低时延体验、移动状态下无顿感的获取业务以及安全防护问题备受关注。移动边缘计算能够满足5G低时延、大连接、高带宽的严苛要求,作为一种多信任域共存的计算范式,多实体之间、跨信任域之间互联互通频繁,身份认证作为安全防护的第一道关口尤为重要。通过对现有边缘计算范式下的身份认证机制研究,提出了一种通过构建信任域的基于预认证的轻量级快速切换认证方案,不同区域间移动的用户能实现快速安全的切换认证。所提方案将服务和计算由云端下沉到边缘侧,生物指纹技术被用于用户端以抵御终端被盗攻击,不同区域的边缘服务器采用预认证的方式来满足快速切换需求,用户与边缘服务器采用实时协商共享会话密钥的方式建立安全通道,认证方案以异或和哈希运算来保证轻量级。对所提方案从安全性与性能两方面进行评估,其中,安全性从理论设计分析和形式化工具验证两方面进行。采用形式化分析工具AVISPA验证了在存在入侵者的情况下所提方案的安全性,与其他方案相比所提方案更安全。性能主要从认证方案的计算成本和通信成本进行评估,仿真表明,所提方案在通信成本上有较好的优势,计算开销能够满足资源...     

基于教育区块链与无证书签名的身份认证方案

针对当前教育资源共享安全性低和身份认证困难的问题, 提出了一种区块链技术与无证书签名相结合的可跨域身份认证方案, 将无证书签名技术的高安全性、无密钥托管问题等优点应用到区块链的分布式网络中, 实现了身份认证过程中用户安全、跨域认证、恶意用户可追溯、注册信息不可篡改. 首先, 基于教育区块链与无证书签名的身份认证方案是建...     

融合双层卫星网络的星地和星间AKA协议

天地一体化网络以其大时空、天网地网和星地融合的特性备受关注,卫星不仅可以作为应急通信补充,还可以充当空中中继站,扩大地面网络覆盖范围,在军用和民用场景都占据着重要地位。实体身份认证和密钥协商机制可以防止假冒实体加入天地一体化网络,窃取用户隐私行为的发生,保障网络信息安全。针对天地一体化网络星地传输时延较大、链路高度暴露、星上处理能力有限以及星间拓扑结构动态时变等特点,提出一种轻量级的双层卫星网络的星间和星地组网实体身份认证（AKA,authenticated key agreement）协议,以实现安全的卫星组网架构,后续基于协商的会话密钥保护数据传输。所提协议基于对称密码体制,采用轻量级密码算法,引入群密钥和分层管理机制,针对双层卫星网络的不同场景特点,将认证协议分为高轨卫星星地和星间认证、层间和同轨道低轨卫星间认证以及相邻轨道低轨卫星间认证3部分。群密钥和分层管理机制提高了群组间信息的传递效率,减轻了地面控制中心的认证压力,且在三方认证协议中实现了双重验证,提高了认证安全强度。不同于以往的单场景认证,部分认证协议采取复用认证参数的形式,在一次认证转发过程中可实现双场景的认证需求。通...     

云环境下基于混合密码体系的跨域控制方案

针对当前云环境下用户跨域控制方案不能满足不同密码体系之间的相互跨域访问的需求,借鉴PKI（public key infrastructure）认证体系的思想构造了一种基于混合密码体系的跨域控制方案。该方案以PKI认证体系为不同密码体系安全域的管理框架,以CA（certificate authority）为不同安全域用户的公共跨域认证中心,对不同安全域的用户进行认证,并根据验证结果为其分配公共跨域身份和身份控制标签。它不仅实现了对不同密码体系之间的相互访问,并且根据签发的身份控制标签完成用户的实时控制,一旦发现恶意用户便撤销用户公共跨域身份,并对恶意用户的实名身份进行标注。分析结果表明,新方案在满足正确性、不可伪造性、高安全性的同时可以抵抗重放攻击、替换攻击和中间人攻击,并且降低了计算开销。     

可信移动平台身份管理框架

针对网络用户身份管理难题及现有的身份管理方案存在的不足,基于可信移动平台完整性校验、保护存储、域隔离和访问控制以及远程平台校验等安全特性,提出了可信移动平台身份管理方案和协议;构建了对应于口令、证书、指纹等认证方式的身份矩阵;实现了多种方式的身份认证、身份认证审计记录,主密钥、审计密钥、平台AIK私钥的加密存储,以及移动平台的可信验证、加密身份的还原和服务提供者身份标志的查找定位,并实现了身份信息和认证数据的加密传输;进行了安全性分析,结果表明该方案在保护用户身份信息安全的前提下,大大减轻了用户身份管理的     

基于身份认证的卫星网络组密钥管理方案

为解决卫星网络组播通信过程中成员动态变化及认证等问题,提出一个基于身份认证的三叉密钥树组密钥管理方案.根据卫星网络多层次结构的特点,设计组密钥协商模型,将高轨道卫星作为组密钥协商发起节点,地面控制端作为系统的可信第三方.在密钥协商过程中,利用双线性对和身份认证技术鉴别不诚实的节点,并引入签名机制,保证盲密钥树的认证性及完整性.分析结果表明,该方案具有较强的安全性,并且计算量小,通信效率高.     

车联网中基于雾计算和多TA的条件隐私保护认证方案

车联网在生活中扮演着越来越重要的角色,它可以有效地防止交通拥堵从而减少交通事故。然而,在车联网中总是有非法车辆试图接入车联网并发布虚假消息。此外,现有方案多数存在计算效率低下的问题。针对上述存在的问题进行了研究,提出了一种车联网中基于雾计算和多TA的条件隐私保护认证方案。在保护车辆用户身份的条件下实现了车辆、雾节点、TA三者之间的身份认证,且在车辆追踪阶段可以还原车辆用户的真实身份,从而实现条件隐私保护。雾计算的使用降低了方案的计算和通信开销,同时多TA模型的使用也解决了单TA单点故障的问题。安全性证明和性能分析的结果表明该方案是安全且高效的。最后对当前方案进行了总结以及对未来研究作出了展望。     

面向工业控制系统终端的轻量级组认证机制

针对当前国内工控系统中普遍缺乏认证能力的现状，本文结合无证书签名和传统信息安全中的群组认证提出了一种面向工控终端的轻量级组认证机制，针对传统信息安全中的身份认证技术进行改进，实现工控系统中多机协作场景下对多台PLC进行同时认证.基于本方案实现的可信PLC设备采用嵌入式处理器和安全处理单元的结构，在数据传输时采用PCIE协议传输，替代了传统的网络接口的数据传输，确保网络数据不会外泄，最大程度上保证了数据的安全性.验证表明，本文提出的轻量级组认证机制减少了认证过程的计算量和通信开销，能够解决控制系统中身份认证机制存在的终端计算能力有限等问题.     

面向边远地区内容分发的DTN密钥管理方案

边远地区内容分发系统由卫星及便携终端混合网络组成,针对其中的特殊DTN环境,以及现有密钥管理方案不适用的问题,提出了一种新的密钥管理方案。利用系统中卫星网络接收服务器为用户颁发数字身份证,用户产生密钥对并将其与数字身份证绑定产生盲数字身份证,从而进行身份验证及公钥获取。在验证数据中加入密钥生存期,实现了用户密钥定期更新并且可以防止对公钥获取进行的重放攻击。分析了该方案的安全性并与其他方案进行了对比,分析表明该方案达到了安全性需求并适用于卫星及便携终端混合网络内容分发的DTN。     

基于区块链的智能家居认证与访问控制方案

智能家居运用物联网技术为用户提供自动化的智能服务,但传统的集中式架构存在机密性和完整性等安全性问题,而现有的分布式架构又存在重复认证、高延迟等问题。针对这些问题,基于区块链和椭圆曲线集成加密技术提出了一种智能家居认证与访问控制方案,同时还引入了边缘计算,降低系统的延迟。并将基于权能的访问控制与区块链相结合,在区块链上存储权能令牌并设计了相应的智能合约以实现安全的访问控制。安全性分析表明,该方案具有去中心化、不可窜改、机密性、完整性和可扩展性等安全特性。在以太坊区块链上进行仿真,并根据计算开销、通信开销和响应时间等指标对方案进行了性能评估。评估结果表明,相比其他方案,该方案计算开销和通信开销更小,响应时间更短,具有明显的优势。