针对802.1X-EAP安全认证协议的中间人攻击

基于802.1X的可扩展认证协议(EAP)是目前主流的无线网络认证协议。该文介绍802.1X、EAP及中间人攻击的相关技术,分析针对802.1X-EAP的中间人攻击流程,给出在EAP-MD5网络环境下对无线网络进行中间人攻击的框架及流程,从而证实目前无线网络设施遭受中间人攻击风险的可能性。     

一种三方认证密钥协商协议的分析与改进

大多数三方认证密钥协商协议不能抵抗中间人攻击。为此,对Tan提出的三方认证密钥协商协议(Journal of Communications, 2010, No.5)进行分析,证明其不能抵抗发起者假冒攻击、响应者假冒攻击及中间人攻击,并利用单向哈希函数和椭圆曲线密码学技术对协议进行改进。理论分析与形式化证明结果表明,改进协议继承了原协议的安全性,并能抵抗假冒攻击及中间人攻击。     

辫群上密钥协商协议的改进与安全性分析

对辫群上密钥协商协议进行安全性分析,指出该协议无法抵抗中间人攻击,在密钥协商协议基础上,提出一种改进的密钥协商协议。该协议在密钥协商的过程中,采用辫群上的数字签名进行认证,有效防止中间人攻击和重放反射攻击。分析结果验证了该协议的安 全性。     

基于椭圆曲线密码体制的可认证的密钥交换协议

椭圆曲线密码体制逐渐应用于各种安全协议中.分析了DH密钥交换协议不能抵抗中间人攻击得弱点,基于椭圆曲线离散对数难解性,利用椭圆曲线密码体制的数字签名方案,提出了基于身份认证的密钥交换协议.安全性分析表明,该协议提供身份认证、密钥认证性、密钥的可知安全性、前向保密性,并有效能够防止中间人攻击和重放攻击.把椭圆曲线密码应用于密钥交换协议的认证过程,能有效提高密钥交换协议的安全性和实用性.     

IPSec中密钥交换协议IKE的安全性分析与改进

介绍了IKE协议,研究了IKE协议的安全性问题。对中间人攻击进行了分析并提出了一种改进cookie生成算法;针对拒绝服务攻击分析了系统安全性缺陷,并针对此类缺陷作出了算法改进;在前两种改进方案的基础上设计了一种新的口令认证密钥交换协议,经验证,新的口令认证密钥交换协议更安全有效。     

基于重写逻辑的PKMv3协议形式化建模与验证

IEEE802.16m标准在MAC安全子层定义了密钥管理PKMv3协议,用于认证和授权信息的传输以及密钥的交换。由于宽带无线网络具有易遭受攻击的特性,引入入侵者模型分析密钥管理协议的安全机制。利用一种基于重写逻辑的形式化建模语言Maude,实现对PKMv3网络环境中的通信主体以及系统状态的建模,并利用其自带的模型检测工具验证协议的安全特性。验证结果表明,PKMv3协议能保证密钥的机密性以及认证的可靠性,但仍有可能遭遇到中间人攻击破坏消息传输的完整性。     

针对中间人攻击的IKEv2形式化分析与改进

基于BSW逻辑对互联网密钥交换协议（IKEv2）进行了形式化分析,证明协议在预共享密钥认证方式下存在中间人攻击,提出一个改进方案,并利用扩展的BSW逻辑分析了改进后的协议能够抵御中间人攻击,且能够满足协议的认证性、秘密性和完整性。     

Needham-Schroeder 协议的认证测试方法形式化分析

在安全协议的形式化分析方法中,串空间模型和基于串空间模型的认证测试方法是比较常用的验证方法。针对Needham- Schroeder协议存在中间人攻击的缺陷,提出对协议的改进并采用认证测试方法,验证了改进的协议可以满足协议的安全目标。     

协议组合逻辑安全的WMNs认证密钥协商方案*

IEEE P802.11 s?/D1.01中EMSA认证协议是无线网状网络(WMNs)安全的重要保证。论文基于协议组合逻辑形式化分析了EMSA协议的安全性,发现EMSA协议存在密钥泄露伪装攻击,针对该安全威胁,运用协议演绎系统提出了一种新的WMNs安全认证密钥协商方案,并使用协议组合逻辑对新方案进行了形式化的安全性证明分析,最终表明新协议相对于EMSA协议更加安全,具有前向安全性,可抵御密钥泄露伪装攻击,更适合WMNs应用环境。     

增强型RFID极低限相互认证协议

针对极低限相互认证协议(M²AP)不能够抵御中间人攻击的缺点,通过对传输的信息进行一定的保护,提出了增强型极低限相互认证协议(EM²AP)。该协议通过计算标签和阅读器共享密钥的汉明权重,并根据这个值对传输的信息进行循环移位,从而有效地抵御了中间人攻击。通过BAN逻辑证明、安全分析和性能分析,表明该协议能够在维持标签低成本的同时具有较高的安全性和可靠性。     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。     

UC安全的双向口令认证密钥协商协议

针对多数口令密钥协商(PAKE)协议不具备双向认证功能的问题,基于通用可组合(UC)模型,提出一种UC安全的双向口令认证密钥协商(MPAKE)协议。定义具有双向认证功能的PAKE协议理想函数,描述实体之间的双向认证关系,并利用联合状态UC模型构造实现该理想函数的协议,使协议实体之间可以使用共享参数。该协议基于口令实现了双向认证,并能够协商出会话密钥。通过构造仿真器及其执行的操作分析MPAKE的不可区分性,从而证明该协议是UC安全的,并且结构简单,可保证在任意多方环境中并行运行时的安全。     

一种通用可组合安全的快速密钥交换协议

针对快速密钥交换协议JFKi信息冗余及缺乏形式化证明的问题,提出一种轻量级快速密钥交互协议LJFKi。通过对比分析,发现所提协议的消息长度较原有协议减少1/3,具有较高的通信效率,更适用于对通信负载比较敏感的网络。利用通用可组合安全模型证明该协议能够实现安全会话理想函数,具有通用可组合安全性。     

SaaS模式下新型认证方案的设计与分析

针对软件即服务(SaaS)应用系统下认证协议的应用及安全性问题,提出一种新型认证方案。通过加密用户口令,将散列结果传输到网络上,只有服务器私钥才能解密,从而实现客户端及服务器双向认证一次性口令技术,提高认证系统的安全性。采用SVO逻辑对该协议进行形式化分析,结果验证了其安全性。     

BB84量子密钥分配协议在专网中的应用

依据专用网络的特点,对BB84量子密钥分配协议做了改进,提出一种适用于专用网络的BB84-PN协议。该协议通过身份认证和量子物理特性,提高了安全性。同时,在通信过程中通过协商传输量子密钥规则,有效地提高了传输效率。     

基于LEACH协议的安全路由设计与分析

无线传感器网络中,路由算法是否安全直接影响整个网络的安全性和可用性。所以,基于LEACH路由协议,通过增加身份认证机制、密钥的动态更新机制,以及双重密钥加密机制,提出了一个新的安全策略——IS-LEACH,并给出了该策略的详细设计和分析。     

基于802.1x协议的用户认证研究

校园网大量用户的接入带来了对接入用户的认证问题.IEEE 802.1x协议是一种基于端口的网络接入控制协议,能够对所接入的设备进行认证和控制.锐捷SAM系统运用基于802.1x协议,采用“入网即认证”的用户管理模式,实行用户访问任何资源（包括校园网资源）之前都需要认证的用户身份认证机制,从而确保满足对信息安全管理的需要,成功地实现了建造安全可靠的校园网的目的.     

Kerberos协议版本的分析与比较

Kerberos协议是由MIT开发出来的、广泛地用于对用户及网络连接进行安全认证服务的一种安全验证机制.基于共享密钥的方式,Kerberos协议保障了在不安全网络上进行服务会话的保密性和完整性.详细介绍了基于传统的保密性而建立起来的Kerberos协议版本4的基本原理,描述了Kerberos协议版本4的认证结构,指出了其不足之处.最后系统地阐述了版本5的消息交换过程和相关改进.     

一种基于PUF的两方认证与会话密钥交换协议

提出了一个轻量级的两方认证及会话密钥交换协议,在一个拥有PUF实体的密码设备（Device）与服务器（Server）之间进行安全认证并建立共享会话密钥。协议采用了模糊提取器来进行认证和密钥提取,同时使用伪随机函数和异或加密来进行消息认证和通信数据加密,有效降低了执行开销。协议中Server只需要获取并存储Device中PUF的一条激励-响应信息,用于后续的密钥更新与交换,避免了因采集大量的激励-响应信息而带来的存储资源的消耗和数据泄露隐患。分析表明提出的协议实现了双向认证和可靠的密钥交换,能够抵抗窃听攻击、篡改攻击、中间人攻击、DOS攻击、建模攻击、物理探测攻击等各种攻击技术。     

基于轻量级加密技术建立物联网感知层信息安全的解决方案

本文提出了采用轻量级(密码编制简单、安全性高、运算速度快的单钥密码算法,如:RC4、RC5、SMS4算法等)加密技术,并采用一种安全单钥管理技术来解决轻量级密码的密钥更新管理的难题,在传感器或RFID读卡器设备端的智能芯片里和物联网认证中心端加密卡芯片里,建立传感设备认证、签名和加密协议、签名验证和解密协议,保证物联网感知层的设备可信,保证传感信息可信、完整和安全保密,从而,建立物联网感知层的信息安全系统。