RFID安全认证协议综述

在物联网发展中,RFID技术以其轻量化的优势在物联网体系中占据重要地位。同时,RFID安全认证协议也因物理条件限制受到安全威胁。首先,通过对现行主流RFID安全认证协议进行梳理,按加密算法的量级将其划分为超轻量级、轻量级、中量级和重量级安全认证协议;然后,对其中典型的安全认证协议存在的安全问题进行分析,对近年来提出的改进协议安全性能及性能指标按量级进行讨论比较;最后,探讨了RFID安全认证协议可能的发展方向。     

低成本RFID安全问题综述

本文探讨了低成本RFID系统的安全隐患和安全需求,分析了已有的可用于低成本RFID的安全认证协议存在的缺陷,并提出了设计低成本RFID安全认证协议的建议。     

RFID安全认证协议研究

无线射频识别(Radio Frequency Identification,RFID)技术作为一种利用射频信号在物联网中实现自动识别的关键技术,已经被广泛应用于日常生活中销售,物流,医疗,交通,二代身份证等领域。但随之而来的,是RFID技术潜在的安全隐私问题。由于低成本的RFID标签计算能力和存储功能非常有限,所以现有的已经成熟的密码学技术无法直接使用。研究低成本、高效、安全的RFID双向认证协议具有重要意义和价值。本文在分析RFID协议需求的基础上,对RFID安全认证协议进行分类,最后从系统的资源开销需求和安全需求方面来对比分析RFID超轻量级安全认证协议,并基于此提出对未来超轻量级认证协议的要求。     

基于AES与NTRU的RFID安全认证协议

对现有的RFID认证协议进行了安全性与算法复杂度分析,提出了一种基于高级加密标准AES与公钥体制NTRU的RFID安全认证协议。该协议可抵抗重传、窃听、篡改、跟踪等多种攻击手段,实现了双向认证与密钥更新,适合安全性能要求高、电子标签用户数多的RFID应用场合。分析了此协议的安全性及算法可行性,并利用BAN逻辑对其安全性进行了证明。     

EPC Gen2标准下强安全射频识别认证协议

由于现在很多射频识别（RFID）认证协议不符合EPC Class 1 Gen 2(EPC Gen2)标准的要求,同时对RFID系统的计算能力要求很高,因此很难在低端标签中实现。针对上述问题,通过分析已有协议的安全性,总结出不安全协议的缺陷,提出了一种新的基于EPC Gen2 标准的RFID认证协议,并采用BAN逻辑对协议进行了安全性证明。通过安全性分析,新协议满足了信息机密性、数据完整性和身份真实性的RFID系统认证协议的安全需求。     

基于hash运算的RFID认证协议分析和改进*

针对已有基于hash运算的RFID认证协议所面临的安全问题,提出了一种新的适合低成本RFID的双向认证协议,并与已有的协议进行安全性分析和性能比较。结果表明该协议仅使用hash函数和异或操作,就达到机密性、完整性和防追踪性的安全目标,并运用时间戳作为标签查询标志,提高认证过程的执行性能。因此该协议与先前工作相比,更适合低成本的RFID系统。     

EPCGen2标准下安全的RFID认证协议

现有的许多无线射频识别(RFID)协议或者不符合EPC Class-1 Gen-2(EPCGen2)标准的要求,或者存在某种安全隐患.通过对RFID协议安全需求的讨论,以及对近来提出的符合EPCGen2标准的安全协议的分析,提出了符合EPCGen2标准的RFID认证协议的设计原则,设计了一个新的符合EPCGen2标准的RFID认证协议.新的协议满足双向认证、匿名、不可追踪、抗假冒攻击、抗重放攻击等安全需求.     

基于NTRU的RFID三方认证协议研究

针对目前提出的RFID协议存在认证安全问题以及较高时空复杂度,提出了一种采用高效NTRU加密的RFID三方认证通讯协议。建立对标签、阅读器和后台三方认证的通讯模型。结合实际存在的安全威胁,分析了所提出协议的安全性及性能。相比其他相关协议,在相互认证方面具有更高安全性和良好的性能表现。     

动态双向Hash认证的RFID安全协议

射频识别(RFID)系统利用无线射频技术以非接触的形式,在开放的环境下通过电磁波进行对象识别。但由于RFID系统的特殊性和实际要求的一些局限性,给射频识别带来了很多安全问题。如何设计出适合于RFID系统的高效、安全的认证协议是RFID系统能够进一步广泛应用的关键。本文通过分析现有的典型的RFID安全协议,在了解它们的特点和缺陷的基础上,提出了一种RFID动态协议。通过相关协议的比较表明,该协议是一种安全、高效、隐私性好的认证协议。     

位替换运算的超轻量级移动RFID认证协议

在传统的RFID系统中,读写器与服务器之间采用安全的有线信道通信;而新产生的移动RFID系统则与传统的RFID系统中不同,读写器与服务器之间基于无线信道进行通信,使得适用于传统RFID系统的认证协议并不能运用在移动RFID系统中。为解决该缺陷,提出一种基于位替换运算的超轻量级移动射频识别系统双向认证协议MSB。MSB基于按位运算对信息进行加密,降低通信实体的计算量;标签、读写器、服务器先认证再通信机制,使得MSB能抵抗常见的攻击。对协议进行安全性分析,表明协议具备较高的安全属性;对协议进行性能分析,表明协议具备低计算量的特征;对协议进行基于GNY逻辑形式化分析,给出协议严谨的推理证明过程。     

基于分离机制网络的可信域内快速认证协议

分离机制网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题.基于分离机制网络,结合可信计算技术,提出一种终端域内切换时的快速认证方案,在对终端用户身份进行认证的同时,对终端平台进行身份认证和完整性校验.在本方案中,终端进行域内切换时不需要本域的认证中心再次参与,仅由接入交换路由器通过Token即可完成认证.认证过程可以保持用户身份和平台信息的匿名性,减轻了认证中心的负担.与其他方案相比,本方案在认证开销、认证延迟以及安全性等方面均有明显优势.安全性分析结果表明本方案是安全高效的.     

基于认证可信度的用户权限控制技术研究

认证可信度体现了用户身份的可信程度。本文基于用户认证可信度实施用户登录限制、用户角色获取限制及角色强制访问控制策略权限限制,提出了基于认证可信度的用户权限控制技术。将认证可信度与用户访问系统结合,要求用户访问系统必须具有相应的认证可信度,具有重要身份的用户必须通过重要的身份认证机制的认证。在角色定权中结合认证可信度,根据用户认证可信度确定用户可以激活的角色,确定角色被激活后的访问控制权限,并参与到各强制访问控制策略实施中,真正实现认证与访问授权的有机统一,解决权限的不当获取。最后指出了进一步研究的内容。     

802.1x协议在宽带接入认证中的应用

在介绍了宽带网络及其认证方式的基础上，论述了802．1x认证方式以及和其它认证技术的比较，并提出了802．1x协议在宽带接入认证中的实现方法。     

轻量级无线射频识别认证协议的改进

Kardas等人提出的轻量级无线射频识别(RFID)认证协议(2011年LightSec会议论文集)若遭遇侧信道分析、物理刺探等攻击会导致密钥泄漏,从而使整个协议认证失败。为此,通过将四步认证改为三步认证、引入密钥恢复机制以及改进密钥的使用方式,使协议效率提高,并且便于在多标签环境中扩展。理论分析结果表明,新协议可以防止读写器与标签之间产生异步,抵抗伪造攻击、重放攻击、消息阻塞攻击、中间人攻击,与原方案相比,认证效率更高。     

用户名密码认证方案的安全性分析及解决方案

论文通过对各种用户名、密码身份认证方式的安全实质、弱点及可行的攻击方法进行了理论分析,指出它不仅是弱安全性的,而且是由服务器所操控的身份认证方式,同时对认证函数的选取提出几条建议。论文在指出基于公钥密码算法的身份认证才是真正用户可操控的、高安全性的身份认证方式的同时,重点将它与数字签名进行对比。另外针对存储有用户的公、私钥的智能卡丢失所带来的安全隐患,提出了一种完备的解决方案。最后提出了根据不同的安全需求和应用场合,合理地运用各种身份识别方案的观点。     

Dual-Stage Biometrics-Based Password Authentication Scheme Using Smart Cards

This paper proposes a dual-stage biometrics-based authentication mechanism using smart card. It is considered the improvement over the conventional single-stage biometrics-based authentication mechanism, which exploits only one server for authentication, whereas the proposed scheme exploits two servers. The user authentication is performed in one server and hence it is called an authentication server. The credentials of the authentication server are stored in the second server, called the master server. The master server facilitates the authentication by providing required credentials to the authentication server. Both the security analysis and complexity analysis are conducted between the proposed and the conventional schemes. The analysis results show that the proposed scheme is secure than the conventional schemes with negligible computational complexity.     

认知无线网络中的轻量级物理层辅助认证

由于无线信道的开放性和无线传输的广播特性,认知无线网络很容易遭受消息篡改、伪造、窃听以及拒绝服务等攻击.为了抵抗这些攻击,研究人员提出了许多物理层认证技术.相比于传统的密码学认证机制,物理层认证技术更快速、更高效.因此非常适用于对认知无线网络中资源受限的终端进行连续、实时的认证.但现有的物理层认证技术无法实现初始认证,而且在认证过程中丢包事件时常发生,导致认证时延较长,认证效率较低.本文将传统密码学认证技术与物理层认证技术相结合,提出一种轻量级的跨层认证方案.该方案只在初次认证采用密码学技术,其余认证采用快速高效的物理层认证技术,提高了认证效率.本文方案采用改进的归一化统计量,使得门限的计算变得更为简单,有效地降低了计算复杂度,减少了用户的认证等待时延.此外,本文采用了基于哈希链的认证方法,保证了在丢包情况下仍能实现连续的认证.性能分析表明,与现有的方案相比,本文的方案在提高认证效率方面具有较大的优势.     

基于计数器同步的动态身份认证系统设计与实现

本文提出了动态身份认证的概念,并在基于手机为载体的系统上用J2ME及ASP．NET设计并实现了一个基于计数器同步的动态身份认证系统。与现有的各种身份认证机制相比,该认证模式可以解决静态身份认证的不足,使侦听与监视难以得手,适用于对身份认证安全性要求较高的系统。     

在Java2环境中实现可插入的认证及访问控制

本文将可插入的认证模型（PAM）扩展为可插入的认证及访问控制模型,分析介绍了PAM在Java环境中的实现JAAS,并根据对PAM扩展的基本原理对JAAS进行了扩展,使其同时具备可插入的认证和访问控制功能。     

基于推送式802.1x认证系统的设计与实现

802．1x认证的缺点是认证前需要用户事先把客户端认证软件下载到本地,这给大量的前端用户造成太多的麻烦。提出了基于推送式的802．1x认证计费系统,该系统结合Web认证的优点,通过采用GUEST-VLAN方法和策略路由,使用户在认证前可以访问认证服务器,在服务器端智能推送802．1x客户端,从而有效地克服了802．1x固有的弱点,让802.1x认证计费得到更好的扩展与普及。目前该系统运行正常,达到了设计要求。