面向多网关的无线传感器网络多因素认证协议

无线传感器网络作为物联网的重要组成部分,广泛应用于环境监测、医疗健康、智能家居等领域.身份认证为用户安全地访问传感器节点中的实时数据提供了基本安全保障,是保障无线传感器网络安全的第一道防线;前向安全性属于系统安全的最后一道防线,能够极大程度地降低系统被攻破后的损失,因此一直被学术及工业界视为重要的安全属性.设计面向多网关的可实现前向安全性的无线传感器网络多因素身份认证协议是近年来安全协议领域的研究热点.由于多网关无线传感器网络身份认证协议往往应用于高安全需求场景,一方面需要面临强大的攻击者,另一方面传感器节点的计算和存储资源却十分有限,这给如何设计一个安全的多网关无线传感器网络身份认证协议带来了挑战.近年来,大量的多网关身份认证协议被提出,但大部分都随后被指出存在各种安全问题.2018年,Ali等人提出了一个适用于农业监测的多因素认证协议,该协议通过一个可信的中心(基站)来实现用户与外部的传感器节点的认证;Srinivas等人提出了一个通用的面向多网关的多因素身份认证协议,该协议不需要一个可信的中心,而是通过在网关之间存储共享秘密参数来完成用户与外部传感器节点的认证.这两个协议是多网关无线传感器网络身份认证协议的典型代表,分别代表了两类实现不同网关间认证的方式:1)基于可信基站,2)基于共享秘密参数.分析指出这两个协议对离线字典猜测攻击、内部攻击是脆弱的,且无法实现匿名性和前向安全性.鉴于此,本文提出一个安全增强的可实现前向安全性的面向多网关的无线传感器网络多因素认证协议.该协议采用Srinivas等协议的认证方式,即通过网关之间的共享秘密参数完成用户与外部传感器节点的认证,包含两种典型的认证场景.对新协议进行了BAN逻辑分析及启发式分析,分析结果表明该协议实现了双向认证,且能够安全地协商会话密钥以及抵抗各类已知的攻击.与相关协议的对比结果显示,新协议在提高安全性的同时,保持了较高的效率,适于资源受限的无线传感器网络环境.     

基于分布式群身份认证的传感器网络设计与实现

在分析了无线传感器网络所面临的安全风险后的基础上,结合传感器网络的实际特点,提出了一种分布式群身份认证防御机制,该机制将网络划分群簇,在正常的传感器网络路由协议中引入群身份认证机制,使路由协议在选择数据传输下一跳时,需预先通过群首节点来验证候选节点群簇隶属身份的真实性。群首节点间认证通信采用基于公钥的分布式自组织的认证机制,以进一步保证这种群身份认证的真实性与可靠性。以常见的女巫攻击为例,介绍了该安全机制的设计过程。对该安全机制的安全性进行了总体性能评估。     

FBSS:一种基于公平盲签名和秘密共享的车载网隐私保护方案*

车载自组织网络是移动自组网络及无线传感器网络在交通领域的一种应用,由车辆节点,路侧单元,服务提供商等构成的一种新型移动自组织网络。车载自组网络利用无线信道进行数据传输,由于车载自组织网络本身的开放性和传输信息的敏感性,不可避免的面临信息的泄漏和攻击。如何保证车载自组织网络中的身份隐私和可信通信是亟待解决的关键问题。现有的工作通常采用认证机制,但在车辆认证的过程中不可避免地泄漏了用户的隐私,随后提出的匿名认证方案解决了隐私保护问题却忽略了匿名滥用的情况。针对上述问题,本文提出一种基于公平盲签名和秘密共享的匿名认证方案-FBSS。通过安全性分析和实验,该方案具有较高的匿名性和较高的效率。     

移动可信接入轻量级认证与评估协议

为增强移动终端可信网络接入认证与评估协议的可用性,降低网络通信负载及终端计算负载,提出一种轻量级的身份认证与平台鉴别评估协议。协议基于接入双方在首次接入时共享的认证密钥以及对方的可信平台配置信息,在不需要可信第三方参与的情况下,完成快速的身份认证与鉴别评估。协议减少了网络数据交换次数以及接入双方的计算工作量,在保证接入认证与评估所需的安全属性的同时,还增强了平台配置信息的机密性以及抵抗重放攻击的能力。安全性和性能分析表明,所提协议适合无线网络通信环境下的移动终端可信网络接入。     

基于双线性对的WSN节点认证协议

针对无线传感器网络节点在能量、通信和存储等资源受限的情况,以及网络所面临的各种安全威胁,基于椭圆曲线双线性对提出了一种基于身份的节点认证协议。节点私钥由自己生成,基站签名节点公钥,保证了协议的私钥泄露和密钥托管安全。仅一次的交互次数为传感器节点大大节省了通信能量。安全的认证协议可有效抵制无线传感器网络所面临的节点复制攻击、Wormhole攻击、Sinkhole攻击和女巫攻击。     

一种车载mesh网络漫游匿名接入认证协议

无线mesh网络的特性使它面临着比传统无线网络更大的安全挑战。其安全解决方案必须兼顾安全性和应用环境等因素。用户节点的接入认证与密钥协商是节点漫游时最基本的安全协议,是安全路由等协议的实现基础。在多跳车载mesh网络用户节点接入认证中,用户身份信息的保护非常重要,然而有关车载mesh网络用户节点漫游时的匿名认证的研究较少,为此,在充分考虑无线mesh网络自身特点的基础上,结合基于Hash和Diffie-Hellman算法,提出一种高效的用户节点匿名接入认证与密钥协商协议。分析发现,该协议不仅可以满足安全性需求,在现实应用中也是可行的。     

无线传感器网络中基于节点行为和身份的可信认证

针对无线传感器网络(WSN)开放性和资源受限导致易受外部和内部攻击以及节点失效等问题,提出了一种高效、安全的可信节点间身份认证方案。方案采用基于身份和双线性对理论实现认证密钥协商与更新,通过基于Beta分布的节点行为信誉的管理计算其信任度,利用信任度识别节点是否可信并采用对称密码体制结合信息认证码实现可信节点间认证。方案不仅能防范窃听、注入、重放、拒绝服务等多种外部攻击,而且能够抵御选择性转发、Wormhole攻击、Sinkhole攻击和女巫攻击等内部威胁。与SPINS方案相比,所提方案在同一网络环境下有较长的网络生命期、较小的认证时延、更高的安全性及可扩展性,在无人值守安全性要求较高的WSN领域具有较好的应用价值。     

基于可信计算的可信认证模型研究

针对传统的网络用户接入的安全问题,提出了一种基于可信计算的可信认证模型.通过计算评估当前网络用户安全状态信息和采用相应的访问控制策略,进行网络用户身份的可信认证,保证了网络用户接入的安全性.     

一种适用于无线传感器网络的安全认证方案

针对无线传感器网络中的信息安全问题,提出一种基于多因素身份认证的安全方案,包括用户与传感节点身份认证、会话密钥生成与分配等部分.与其他认证算法相比,该方案在相同网络节点数的情况下,能达到较低的系统开销与较高的安全性能,可普遍适用于无线传感器网络应用的安全认证.     

基于多级分簇无线传感器网络的身份认证机制

针对多级分簇无线传感器网络拓扑结构的特点,提出一种新的身份认证机制,以解决传统认证方式中点到点直接认证所需耗费的巨大计算量或存储量问题.该机制以基站作为可信第三方,并通过对称加密算法间接实现各相关节点之间的身份认证.该机制既能避免采用非对称密码算法所带来的大量能量消耗,又能解决基于对称密码的传统预分配密钥机制导致的网络扩展性差的问题,能为多级分簇无线传感器网络提供有效的身份认证.     

一种轻量级的动态化密钥协商的物联网身份认证协议研究

针对物联网络在用户身份验证上存在的安全性问题,提出一种轻量级的动态化密钥协商的物联网身份认证协议(DLT)。该协议在用户进行登陆验证上使用了时间戳值,这使得恶意攻击者不能使用早期的消息,可以防范重放攻击以及拒绝服务攻击;在认证和密钥协商阶段采用了用户、服务器、控制服务器三者之间的互相验证,并且在公共信道上对服务器密钥和随机值进行了分离处理,使得攻击者无法窃听到其他用户的安全信息。协议安全性分析及仿真对比结果表明,DLT协议相比对比协议具有更多的安全功能,可以防范多种网络攻击,并且协议的能量代价更低。     

一种基于USB—KEY的身份认证协议

对常用的身份认证协议和方法进行了简单的综述,针对生物身份认证的局限性和PKI体系结构认证成本较高的情况,从密码学、网络安全技术等方面提出了一种基于USB-KEY的身份认证协议。该协议利用USB-KEY硬件可生成伪随机数、可进行数据计算与存储的特点,综合地运用伪随机数、异步时间戳、会话密钥、DES加密、MD5算列算法,完成数据安全性加密、数据完整性校验等操作,该协议既简单易行,又十分安全。文中从密码攻击、中间人攻击、重放攻击3个方面进行了安全性分析,证明了协议是安全可行的。     

下一代高速铁路异构网络切换安全认证

近年来,随着高速铁路无线通信技术的快速发展, GSM-R无线通信系统将逐步向LTE-R系统演进。在此演进过程中存在GSM-R和LTE-R长期共存的局面,如何实现高速铁路无线通信异构网络之间的快速切换和安全认证成为铁路无线通信研究的热点问题。针对高速铁路无线通信异构网络切换认证过程中,存在安全性低和认证开销高等问题,提出了一种适用于下一代高速铁路异构网络的轻量级切换安全认证方案。首先,采用哈希函数等操作生成切换请求Token和异构网络切换认证码PASS,实现了用户身份匿名性和可追溯性等安全要求,并且高速列车无需多次注册就可实现异构网络间的无缝切换。其次,设计了基于椭圆曲线密钥交换的轻量级切换算法,完成了高速列车与目标基站的相互认证和密钥协商,降低了计算开销和通信开销,实现了会话协商密钥的前后向安全性。最后,采用形式化方式BAN逻辑进行了安全性验证,并使用朔黄铁路LTE-R线路实测数据进一步对本文所提方案的有效性进行了验证,分析得出所提方案能够满足可追溯性、匿名性、抗伪装用户攻击、抗中间人攻击和抗重放攻击等安全特性。性能分析表明,本文方案在通信开销和计算开销方面较比较方法性能更优,能够满足...     

一种适用于卫星通信网络的端到端认证协议

随着卫星通信网络组网技术的发展,卫星通信网络安全防护技术日益受到人们的关注,端到端认证是其中一项关键技术.针对目前认证协议效率过低,认证时间过长的问题,在建立卫星通信网络安全认证模型的基础上,设计了新的端到端认证协议并构建了安全认证仿真系统,以语音和视频业务为例对协议进行了仿真验证.仿真的结果表明安全认证用时远远小于传输用时,充分体现了该认证协议的高效性.     

融合双层卫星网络的星地和星间AKA协议

天地一体化网络以其大时空、天网地网和星地融合的特性备受关注,卫星不仅可以作为应急通信补充,还可以充当空中中继站,扩大地面网络覆盖范围,在军用和民用场景都占据着重要地位。实体身份认证和密钥协商机制可以防止假冒实体加入天地一体化网络,窃取用户隐私行为的发生,保障网络信息安全。针对天地一体化网络星地传输时延较大、链路高度暴露、星上处理能力有限以及星间拓扑结构动态时变等特点,提出一种轻量级的双层卫星网络的星间和星地组网实体身份认证（AKA,authenticated key agreement）协议,以实现安全的卫星组网架构,后续基于协商的会话密钥保护数据传输。所提协议基于对称密码体制,采用轻量级密码算法,引入群密钥和分层管理机制,针对双层卫星网络的不同场景特点,将认证协议分为高轨卫星星地和星间认证、层间和同轨道低轨卫星间认证以及相邻轨道低轨卫星间认证3部分。群密钥和分层管理机制提高了群组间信息的传递效率,减轻了地面控制中心的认证压力,且在三方认证协议中实现了双重验证,提高了认证安全强度。不同于以往的单场景认证,部分认证协议采取复用认证参数的形式,在一次认证转发过程中可实现双场景的认证需求。通...     

关于IMC/IMV的网络设备可信认证方法研究

近年来，网络设备的安全问题日益凸显。如果网络设备不可信，网内所有计算机都可能面临被攻击的危险，所有数据也都可能面临被窃取的危险。所以网络设备是否安全地接入网络直接影响到整个网络的安全。提出了一种基于IMC/IMV的网络设备可信认证方法，在完成传统的平台身份认证的同时，进行平台可信状态验证，通过设计的完整性收集器（Integrity Measurement Collector，IMC）收集网络设备的可信状态信息，通过协议的多轮交互提交给完整性验证器（Integrity Measurement Verifier，IMV）进行验证，完成平台的完整性认证。实验表明，这种认证方式在实现网络设备的可信认证的同时，对系统性能的影响不大。     

使用802.1x实现校园网认证

在分析传统的PPPOE和Web/Portal认证方式存在问题的基础上，介绍了使用802．1x协议实现校园网认证这种新的认证方法。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

一种用于卫星网络安全认证的协议设计与仿真

在对卫星网络的安全认证需求进行分析的基础上,结合卫星网络的特点,设计了一种适用于卫星网络的端到端认证协议。该协议是基于IKE协议的,可以实现星地和星间的身份认证和会话密钥的协商。另外,为了验证该协议的可行性,文章设计了一个包含多颗卫星的卫星网络仿真平台。在该平台上对协议性能的测试结果表明,该协议具有较好的效率,适用于卫星网络环境。