基于分布式群身份认证的传感器网络设计与实现

在分析了无线传感器网络所面临的安全风险后的基础上,结合传感器网络的实际特点,提出了一种分布式群身份认证防御机制,该机制将网络划分群簇,在正常的传感器网络路由协议中引入群身份认证机制,使路由协议在选择数据传输下一跳时,需预先通过群首节点来验证候选节点群簇隶属身份的真实性。群首节点间认证通信采用基于公钥的分布式自组织的认证机制,以进一步保证这种群身份认证的真实性与可靠性。以常见的女巫攻击为例,介绍了该安全机制的设计过程。对该安全机制的安全性进行了总体性能评估。     

适用于Ad Hoc网络的混合认证机制

分析了Ad Hoc网络的特点及其对身份认证机制的安全需求,采用椭圆曲线和对称密钥两种认证体制并结合自证明公钥原理,提出了一种适用于Ad Hoc网络的混合认证机制.该机制中门限方案增强了系统的健壮性,基于自证明公钥的双向认证协议确保了交互节点身份的真实性,刷新认证协议保证了节点身份的持续可信,分布式自证明公钥撤销方案可将恶意节点快速从系统中分离出去.分析结果表明,该认证机制具有较高的安全性,同时对系统存储空间、网络通信量和计算开销的要求都很少,有着较高的效率.     

车载自组织网络中基于身份的匿名认证方案

针对于车载自组织网络中的身份认证问题,提出一种新颖的基于身份的匿名认证方案,该方案在保护了车辆的身份隐私信息的同时不仅满足了车辆节点与路边单元节点间的身份认证的需求,而且确保了车辆节点之间的身份认证。该方案利用基于身份的密码技术,减少了系统管理公钥证书的工作量和对节点证书认证的代价。最后通过安全性和复杂性分析,结果表明该方案不仅易于实现,而且安全可靠并具有较低的计算复杂度及通信开销。     

无线自组织网络身份认证技术研究

无线自组织网络因具备无中心、多跳、分布式控制等特点而得到广泛应用。网络节点动态加入和退出，使其面临恶意节点伪造身份、非法接入的安全风险，网络通信、数据交互的安全和隐私问题尤为凸显。本文从无线自组织网络身份认证技术及其军事应用的角度出发，通过介绍口令认证、访问控制和密钥管理的相关研究进展，分析对比典型方案的优缺点和适用范围，据此提出基于Kerberos票据协议的数字水印方案，并面向仿真运行环境分析其安全性，进而对该项技术的发展前景作出展望。     

基于数字签名的优化动态身份认证系统

身份认证是网络安全技术的一个重要组成部分.分析了挑战/应答认证机制和数字签名技术的原理,针对现有的基于数字签名的动态身份认证系统的缺陷,提出了一种基于数字签名的优化动态身份认证系统.该系统将挑战/应答认证机制的挑战方向逆转,挑战发起动作由客户端实施.分析结果表明,该系统可以减少认证过程中双方的通信次数,同时可以抵御网络重放攻击,暴力攻击和防止网络窃听,支持双向的身份认证.     

一种基于生物证书的身份认证方案

基于非对称密钥的公钥证书进行身份认证存在很多缺点,如用户私钥可能会被遗忘或者被盗窃等。生物特征认证技术是利用人的生物特征进行身份认证,作为一种准确、快速和高效的身份认证方法越来越广泛地应用于各种需要身份认证的领域。结合和借鉴公钥基础设施,该文提出了生物认证基础设施,为用户提供了一套完整的生物认证方案。     

节点证书与身份相结合的HMIPv6 网络接入认证机制

接入认证是层次型移动IPv6(HMIPv6)网络安全的基本需求.构建了适于HMIPv6的分层认证框架,设计了一种节点证书与身份相结合的签名方案,并以此为基础提出了HMIPv6网络双向接入认证机制.该机制利用基于身份密码技术简化了公钥基础设施的复杂密钥管理过程;以节点证书为接入认证的主要依据,消除了接入网络与家乡网络间的消息交互;采用提出的层次化签名方案,实现了用户与接入网络的双向认证.机制经过简单扩展,能够支持多层HMIPv6网络的接入认证.性能与安全性分析表明,与传统的及其他基于身份的认证方案比较,所提出的机制拥有更高的认证效率和安全性.     

基于数字证书技术的增强型身份认证系统

论述了一种基于数字证书技术的增强型身份认证系统,可以有效确认用户身份的真实性,抵御网络重放攻击及暴力攻击和防止网络窃听,灵活支持单向或双向的身份认证。     

货运列车车载网络轻量级身份认证协议研究

随着铁路运输不断发展,对货运列车的安全提出了更高要求。目前的地对车安全监控体系由于技术限制,无法满足列车实时的安全需求。车载传感器可以实时收集车辆信息,保证列车安全运行。车载传感器通信基础是车载网络。安全车载网络组成的基础是网络节点的身份认证,提出适用于货运列车车载网络节点身份认证的轻量级身份认证协议,轻量级身份认证保证所有网络节点均为可信节点,并且减少与可信第三方的交互。     

身份认证--信息安全中的重要一环

以密码技术为基础的认证技术提供了辨认真假机制,在计算机系统、网络环境中得到了广泛的应用,为信息的安全发挥着日益重要的作用.认证主要包括数字签名、身份认证以及公开密钥证明等.数字签名机制提供了一种鉴别方法;身份认证机制提供了判明和确认通信双方真实身份的方法,作为访问控制的基础;公开密钥证明机制对密钥进行验证.     

Prevention of Black Hole Attack in Multicast Routing Protocols for Mobile Ad-Hoc Networks Using a Self-Organized Public Key Infrastructure

ABSTRACT

A mobile ad-hoc network (MANET) is an autonomous system of mobile nodes connected by wireless links in which nodes cooperate by forwarding packets for each other thereby enabling communication beyond direct wireless transmission range. Example applications include battlefield communication, disaster recovery operations, and mobile conferencing. The dynamic nature of ad-hoc networks makes them more vulnerable to security attacks compared with fixed networks. Providing security in mobile ad-hoc networks has been a major issue in recent years. Most of the secure routing protocols proposed by researchers need a centralized authority or a trusted third party to provide authentication. This destroys the self-organizing nature of ad-hoc networks. Black Hole attack is one of the routing attacks that occur in MANETs. In this attack, a malicious node uses the routing protocol to advertise itself as having the shortest path to the node whose packets it wants to intercept. In this article, we propose an enhanced certificate based authentication mechanism, where nodes authenticate each other by issuing certificates to neighboring nodes and generating public key without the need of any online centralized authority. The proposed scheme uses Multicast Ad-hoc On Demand Distance Vector Routing (MAODV) protocol as a support for certification. The effectiveness of our mechanism is illustrated by simulations conducted using network simulator ns-2.     

基于CFL的空间网络认证策略研究

卫星网络作为一种新兴的网络,具有覆盖范围广、传输环节少等优点,但拓扑结构复杂、链路频繁切换,因而面临诸多网络安全威胁。为解决卫星网络中身份认证等安全性问题,结合CFL认证体制,提出了一种适用于卫星网络的安全认证策略研究。在注册阶段,用户和卫星分别向地面控制中心申请证书,地面控制中心验证用户和卫星的身份后为用户和卫星签署证书;在认证阶段,用户与卫星互相交换证书,自主生成验证密钥并验证证书,实现用户与卫星的双向快速认证。分析结果表明,所提方案能够满足卫星网络的安全需求,抵御各种常见的网络安全攻击;与其他相关方案的相比,该方案无须地面中心参与认证过程,通信开销与计算开销较小,在保证安全性的基础上,与最低计算开销方法相比,将通信效率提升了33%,有效提高了认证效率。因此,本方案不仅适合星载资源有限的卫星网络,且能够增强卫星网络的安全性。     

物联网移动节点直接匿名漫游认证协议

无线网络下传统匿名漫游协议中远程域认证服务器无法直接完成对移动节点的身份合法性验证,必须在家乡域认证服务器的协助下才能完成,导致漫游通信时延较大,无法满足物联网感知子网的快速漫游需求.针对上述不足,提出可证安全的物联网移动节点直接匿名漫游认证协议,远程域认证服务器通过与移动节点间的1轮消息交互,可直接完成对移动节点的身份合法性验证.该协议在实现移动节点身份合法性验证的同时,具有更小的通信时延、良好的抗攻击能力和较高的执行效率.相较于传统匿名漫游协议而言,该协议快速漫游的特点更适用于物联网环境.安全性证明表明,该协议在CK安全模型下是可证安全的.     

基于可信联盟的P2P网络身份认证机制

为了有效解决传统PKI体系中存在的CA交叉认证及单点故障等问题,提出了一种新的身份认证机制。首先,基于区块链技术构建基本架构,通过动态生成可信节点来构建可信联盟;其次,提出全网统一的唯一身份标识ID并采用SRT数据结构存储;最后,通过双层共识机制全网节点皆能进行统一身份标识认证。实验表明,本机制能够满足海量用户身份信息的查询和管理,并且能够保证身份认证过程中的高效与安全。     

无人机无线通信协议的形式化认证分析与验证

针对无人机组与地面控制站之间进行无线通信时的身份认证问题,首先分析无线通信协议的工作流程及其形式化表示,然后对网络系统中的诚实主体和攻击者进行形式化建模,其中推导了协议安全属性的LTL公式,通过建立密钥机制,实现控制站与无人机节点以及各个无人机节点之间的身份认证;运用模型检测工具SPIN验证无线通信协议的一致性,其中提出一种改进的知识项获取方法,加快攻击者需掌握知识集的求取过程;验证结果表明该无人机无线通信协议具有中间人攻击漏洞。     

一种基于区块链的车联网安全认证协议

针对车联网环境下,车辆节点快速移动造成的中心服务器认证效率低、车辆隐私保护差等问题,提出了一种基于区块链的车联网安全认证协议。该协议利用Fabric联盟链存储车辆临时公钥与临时假名,通过调用智能合约,完成车辆身份认证,同时协商出会话密钥,保证通信过程中数据的完整性与机密性;利用假名机制有效避免了车辆在数据传输过程中身份隐私泄露的风险;使用RAFT共识算法高效达成数据共识。经安全性分析与实验结果表明,所提协议具有抵抗多种网络攻击的能力,且计算开销低、区块链存储性能好,能够满足车联网通信的实时要求。     

一种基于数字证书的无线局域网认证机制初探

无线局域网使用公共电磁波作传输介质,这在为用户带来便捷的同时也为其网络安全问题带来新的挑战。主要的解决方法有用户身份认证和数据加密传输。本文尝试提出一种新的基于数字证书的无线局域网认证机制。同时探讨了该机制的优缺点。该机制利用证书作为认证用户的手段．通过认证服务器AS实现对supplicant和AP的双向认证,并借用盲签名的思想在supplicant和AP之间生成和分配用于会话加密的共享密钥。     

Adaptive security design with malicious node detection in cluster-based sensor networks

Distributed wireless sensor networks have problems on detecting and preventing malicious nodes, which always bring destructive threats and compromise multiple sensor nodes. Therefore, sensor networks need to support an authentication service for sensor identity and message transmission. Furthermore, intrusion detection and prevention schemes are always integrated in sensor security appliances so that they can enhance network security by discovering malicious or compromised nodes. This study provides adaptive security modules to improve secure communication of cluster-based sensor networks. A dynamic authentication scheme in the proposed primary security module enables existing nodes to authenticate new incoming nodes, triggering the establishment of secure links and broadcast authentication between neighboring nodes. This primary security design prevents intrusion from external malicious nodes using the authentication scheme. For advanced security design, the proposed intrusion detection module can exclude internal compromised nodes, which contains alarm return, trust evaluation, and black/white lists schemes. This study adopts the two above mentioned modules to achieve secure communication in cluster-based sensor networks when the network lifetime is divided into multiple cluster rounds. Finally, the security analysis results indicate that the proposed design can prevent and detect malicious nodes with a high probability of success by cluster-based and neighbor monitor mechanisms. According to the performance evaluation results, the proposed security modules cause low storage, computation, and communication overhead to sensor nodes.     

一种基于集成可信身份识别和访问管理方法的安全可信网络框架

本文提出一种基于集成可信身份识别和访问管理方法的安全可信网络框架,该框架提供了一种灵活建模和描述数字用户身份的机制,同时支持基于事务的隐私保护和个人数据获取,以及灵活的第三方问责机制与端到端的安全交流,从而完成可信认证。     

无线传感器网络轻量级数据加密机制设计

针对无线传感器网络处理能力、存储空间、能量等有限的特点,设计了轻量级数据加密机制。该机制对RC6算法进行了改进,添加了"对称层"运算,使改进后的RC6算法在运算工作量变化不大的情况下,硬件实现更加容易,硬件资源消耗更小。为进一步提高密文的安全性与数据加密强度,使用双密钥对明文进行两级加密,并引入了随机密钥管理机制,使网络节点每次加密时都能使用不同的密钥,提高了密钥的安全性。数据加密机制还使用了节点ID认证、带有身份标识的密钥池认证等多种安全认证机制来阻止非法节点的接入。实验基于低功耗Cortex-M3内核的控制芯片搭建无线传感器网络节点硬件平台,设计了通信协议,并在硬件平台上移植与实现了该机制。实验结果表明,该加密机制能够很好地在低功耗平台上运行。