基于零知识证明的跨域认证方案

针对基于PKI认证的有线网络与基于IBE认证的无线网络混合组网时,因安全策略、密码体制的不同而导致节点间身份认证困难的问题,设计了一种基于零知识证明的跨PKI/IBE域的身份认证方案,在两个异构信任域之间设置一个零知识证明承诺值代理节点,在此基础上,设计了一个异构信任域身份认证协议,实现域间实体的身份认证,并分析了该协议的正确性、安全性和效率,结果表明其可行有效.     

云环境下基于代理盲签名的高效异构跨域认证方案

针对现有不同体系公钥基础设施(Public Key Infrastructure,PKI)和无证书公钥密码体系(CertificateLess public key Cryptography,CLC)的跨域身份认证方案不能满足身份盲化性以及高效的异构跨域认证问题,提出代理盲签名的高效异构跨域认证方案。该方案重新构造了一个高效、安全的跨域身份认证模型并结合代理签名和盲签名的优点,在云间引入一个可信认证中心CA给予第三方合法代理者可信的代理权限来执行代理盲签名操作。此代理者不仅减少了云间认证中心CA的通信负载,实现不同域授权代理盲签名用户和请求代理盲签用户之间的信息交互,还满足了双向实体身份同步认证的盲化性以及代理盲签名的可识别性,提高了认证安全性。分析结果表明,该方案基于数学困难性问题满足抗替换性攻击、抵抗重放攻击、抗中间人攻击和身份不可追踪性等性能,完成了异域用户之间高效、高安全性的跨域身份认证。     

一种新的基于身份的多信任域认证模型研究

为解决基于身份的多信任域跨域认证问题,在分析了IBC和PKI认证框架特点的基础上,提出了一种新的基于身份的多信任域认证模型。该模型综合利用IBC和PKI的优点,实现了不同参数的IBC信任域的跨域认证问题,并通过BAN逻辑对本文设计的跨域认证协议进行了详细的分析和证明。分析结果表明,该模型能够实现跨域认证需求,跨域认证协议是安全有效的。     

一种基于身份的多信任域认证模型

在分析了现有认证框架存在的问题的基础上，提出了一种基于身份的多信任域认证模型．该模型以基于身份的密码体制为基础，避免了基于传统PKI的认证框架的诸多弊端，实现了跨信任域的身份认证和资源访问主体的匿名性，并利用CK模型对该模型的身份认证和匿名性安全进行了详细的分析和证明．分析表明该模型是安全且满足安全需求的．     

基于联盟区块链的V2G网络跨域认证技术研究

针对车辆到电网（Vehicle-to-Grid,V2G）网络所面临的安全威胁,分析了V2G多域网络架构,给出了一个适用于该架构的网络信任模型。基于联盟区块链提出一种V2G网络跨管理域认证方案,通过本域用户与外地域服务器以及外地域服务器与其域内用户的认证实现域间用户双向认证。该方案利用区块链所具有的不易篡改特性,在数字身份验证环节采用哈希算法减少方案中的签名与验证次数,提高了方案的效率和可扩展性。该认证方案中的签名采用基于身份的密码算法SM9,在适应性选择消息攻击下具有存在性不可伪造安全。     

云环境下基于签密的异构跨域身份认证方案

针对现有交互频繁的密码体制之间不能实现不同密码体制安全高效的跨域认证（公共密钥基础设施（PKI）↔无证书公钥密码体制（CLC））的问题,提出了一种云环境下基于签密的异构跨域身份认证的方法。该方法重新构建了异构系统跨域身份认证模型,设计了用户（U）与云服务提供商（CSP）两个不同的密码体制PKI↔CLC,去除所属域管理中心的跨域认证计算,引入了第三方云间认证中心（CA）来完成U和CSP的交互信息认证,采用签密算法对不同安全域内的U签密,完成了异构系统的双向实体跨域身份认证并降低了U的计算开销。实验结果表明,与匿名认证、代理重签名方法相比,所提跨域认证的效率分别提高了53.5%和23.2%。该方法实现了不同密码体制U身份的合法性、真实性、安全性,具有抵抗重放攻击、替换攻击和中间人攻击的功能。     

云环境下基于混合密码体系的跨域控制方案

针对当前云环境下用户跨域控制方案不能满足不同密码体系之间的相互跨域访问的需求,借鉴PKI（public key infrastructure）认证体系的思想构造了一种基于混合密码体系的跨域控制方案。该方案以PKI认证体系为不同密码体系安全域的管理框架,以CA（certificate authority）为不同安全域用户的公共跨域认证中心,对不同安全域的用户进行认证,并根据验证结果为其分配公共跨域身份和身份控制标签。它不仅实现了对不同密码体系之间的相互访问,并且根据签发的身份控制标签完成用户的实时控制,一旦发现恶意用户便撤销用户公共跨域身份,并对恶意用户的实名身份进行标注。分析结果表明,新方案在满足正确性、不可伪造性、高安全性的同时可以抵抗重放攻击、替换攻击和中间人攻击,并且降低了计算开销。     

结合信任机制的移动IPv6网络快速跨域认证方法

在移动IPv6(MIPv6)网络中,当移动用户从外地域接入网络时,家乡域和接入域需要协作实现对移动用户的身份认证,各管理域之间存在域间信任关系是域间协作实现用户身份认证的基础.现有MIPv6网络快速认证方法在实施域间认证的过程中忽略了域间信任关系,由于缺乏域间信任而造成的认证失败在整个认证流程结束以后才能被检测到.提出一种结合信任机制的MIPv6网络快速跨域认证方法,其中在预切换阶段考虑移动用户家乡域和接入域之间的信任关系,通过移动用户和接入网络的一次交互实现用户和接入域的有效双向认证,并设计了域间信任关系的动态维护机制.基于组合公钥(CPK)算法设计了网络实体的身份签名和验证方案,用于加速双向认证过程.理论分析和数值分析结果表明,提出的方案比现有方案在减少总认证切换延时和信令开销方面更有效.同时基于CPK算法的安全性,提出的方案在有效实现用户和网络的双向认证的同时可以保证私钥的保密性和签名的不可伪造性.     

基于证书签密的IPv6网络跨域认证协议

为了解决IPv6网络互连过程中基于身份认证的域内用户与基于无证书认证的域内用户之间进行跨域认证和密钥协商的问题,提出了一种随机预言机模型下可证明安全的基于证书签密的认证方案,设计了一种IPv6网络跨域认证协议并对其安全性和效率进行了分析。结果表明,在安全性方面,该协议具有完美向前保密和双向实体认证等安全属性,满足了认证的安全需求;在效率方面,与同类协议相比,该协议无须进行公钥加/解密运算,也不受同步环境的限制,只需五条消息就能实现跨域认证,计算开销和通信开销都相对较小。     

基于区块链技术的高效跨域认证方案

为解决现有公钥基础设施（PKI）跨域认证方案的效率问题,利用具有分布式多中心、集体维护和不易篡改优点的区块链技术,提出基于区块链技术的高效跨域认证方案,设计了区块链证书授权中心（BCCA）的信任模型和系统架构,给出了区块链证书格式,描述了用户跨域认证协议,并进行了安全性和效率分析。结果表明,在安全性方面,该方案具有双向实体认证等安全属性;在效率方面,与已有跨域认证方案相比,利用区块链不可篡改机制,使用哈希算法验证证书,能减少公钥算法签名与验证的次数、提升跨域认证效率。     

一种mIBS方案的分析与改进

魏松杰等人提出一种基于安全仲裁SEM（security mediator）的mIBS（identity based signature）方案,利用SEM节点实现用户身份实时撤销。mIBS方案中,SEM持有部分用户私钥,与签名者共同完成签名。对mIBS方案进行了安全性分析,发现该方案存在严重安全缺陷,并给出一个具体的攻击实例。在攻击实例中,签名者通过与SEM的一次正常签名交互,窃取SEM持有的部分私钥,进而绕开SEM单独实施签名,使得SEM失效。提出一种改进的mIBS方案（记为mIBSG）,对SEM持有的部分私钥增加了随机性保护。进一步,建立了mIBS方案安全模型mEUF-CMIA（existential unforgeability under adaptive chosen message and identity attacks）,重点讨论了其敌手模型。除传统IBS敌手外,mEUF-CMIA模型定义第二种类型敌手模拟一个恶意但合法的签名者,通过访问随机预言机,在没有SEM参与的情况下独立产生签名。在mEUF-CMIA模型下,mIBSG方案的不可伪造性被归约为求解循环群上的CDH问题。对比分析表明,mIBSG方案以较小的计算代价实现了可证明安全性。mIBSG方案可用于构建基于IBC的跨域认证系统。     

基于教育区块链与无证书签名的身份认证方案

针对当前教育资源共享安全性低和身份认证困难的问题, 提出了一种区块链技术与无证书签名相结合的可跨域身份认证方案, 将无证书签名技术的高安全性、无密钥托管问题等优点应用到区块链的分布式网络中, 实现了身份认证过程中用户安全、跨域认证、恶意用户可追溯、注册信息不可篡改. 首先, 基于教育区块链与无证书签名的身份认证方案是建...     

节点证书与身份相结合的HMIPv6 网络接入认证机制

接入认证是层次型移动IPv6(HMIPv6)网络安全的基本需求.构建了适于HMIPv6的分层认证框架,设计了一种节点证书与身份相结合的签名方案,并以此为基础提出了HMIPv6网络双向接入认证机制.该机制利用基于身份密码技术简化了公钥基础设施的复杂密钥管理过程;以节点证书为接入认证的主要依据,消除了接入网络与家乡网络间的消息交互;采用提出的层次化签名方案,实现了用户与接入网络的双向认证.机制经过简单扩展,能够支持多层HMIPv6网络的接入认证.性能与安全性分析表明,与传统的及其他基于身份的认证方案比较,所提出的机制拥有更高的认证效率和安全性.     

基于联盟链的跨域认证方案

针对传统跨域认证易单点失效、过度依赖第三方等安全问题,提出了一种结合基于身份的密码（IBC,identity-based cryptography）体制与联盟链的跨域认证方案。通过设计包括实体层、代理层、区块链层、存储层在内的分层跨域认证架构,在跨域认证场景中引入联盟链,从而能够使两者较好地融合,增加了联盟链在跨域认证场景中的适应性。在存储层,设计摘要数据格式,将其存储于链上,摘要数据对应的完整数据存储于链下的星际文件系统,从而形成一种安全可靠的链上链下分布式存储方案,解决引入区块链后存在的链上存储受到限制的问题。提出一种基于永久自主权身份和临时身份的身份管理方案,解决结合IBC体制后身份难以注销和匿名身份难以监管的问题。在此基础上,设计完整的跨域全认证、重认证以及密钥协商协议以实现跨域认证流程。在安全性方面,使用SVO逻辑对认证协议进行分析,证明了跨域认证协议的安全性。通过仿真对计算负载性能、通信负载以及联盟链性能进行了测试与分析。分析表明,与相关方案相比,协议在满足安全性的同时,在服务端和用户端均有较好的计算负载表现。在通信效率上,相较于其他方案有不错的表现。通过联盟链工具对链上读...     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身...     

完美前向安全的基于身份认证密钥协商方案

现有的基于身份的一轮认证密钥协商方案没能实现强的完美前向性.采用强不可伪造的签名算法对临时公钥进行签名,提出一种改进的基于身份认证密钥协商方案.首先,对Boneh和Boyen提出的强不可伪造的短签名方案进行改造,提出一种强不可伪造的基于身份签名方案;然后,将新签名方案与Ni等人提出的eCK安全的基于身份一轮认证密钥协商方案相结合,提出新的密钥协商方案.进一步,为了实现新方案的可证明安全性,在对比分析eCK-PFS模型和eCK模型的基础上,融合现有安全模型,定义了基于身份认证密钥协商方案分析的强安全模型ID-eCK-PFS.在ID-eCK-PFS模型下,通过安全性规约,证明了新提出的基于身份认证密钥协商方案实现了强安全性,包括抗密钥泄露伪装、抗临时秘密泄露和完美前向安全性等.     

基于区块链的无人机网络跨域身份认证研究

传统的无人机跨域身份认证的方案大多依赖公钥基础设施 （public key infrastructure,PKI）。该模型高度依赖可信第三方,易造成单点故障且认证效率低下。据此,提出基于区块链的无人机网络跨域身份认证协议方案,该方案不但可以有效实现无人机的跨域认证,且可以改善传统基于PKI模型面临的诸多安全问题。同时,为了实现无人机网络跨域认证的隐私保护,提出了可实现无人机跨域身份认证身份标识的匿名化的方法。安全性分析与仿真实验的结果表明,该方案不但可抵御常见网络攻击,在认证效率和时间开销上有明显提升。