基于格的三方口令认证密钥交换协议

为抵抗量子攻击,格理论被广泛应用于各种密码体制的设计.目前基于格的口令认证密钥交换协议(PAKE)都是针对两方设计的,不能满足大规模通信系统的应用需求.该文在 Gorce-Katz 两方 PAKE 框架基础上提出了一个基于格的三方 PAKE 协议,并在标准模型下证明了其安全性,同时通过实现用户和服务器的显式双向认证达到了可抗不可测在线字典攻击.新协议是第1个基于格的三方 PAKE 协议,与通用构造相比,通信轮数少,并且能避免大数分解和离散对数易受量子攻击的弱点.     

后量子基于验证元的三方口令认证密钥交换协议

针对服务器直接以明文的方式存储口令,存在服务器泄露的风险,基于两方的基于格的口令认证密钥交换(PAKE)协议不适用于大规模通信系统的问题,提出了一种格上基于验证元的三方口令认证密钥交换协议.通过随机口令哈希方案生成验证元,并结合口令策略检查机制实现口令的检查,利用基于格的CCA安全公钥加密体制构造一个新的基于验证元的3...     

基于格的口令认证密钥交换协议综述

量子计算技术的快速发展使基于传统困难问题的口令认证密钥交换（PAKE）协议在后量子时代面临严重的安全威胁。基于格的密码体制因高效性、高安全性,以及支持全同态加密和多线性映射等更强的密码服务功能,被美国NIST认证为后量子时代最具潜力的密码体制。首先系统地梳理格上PAKE协议的研究进展,主要包括格上集中式的两方、三方PAKE协议和分布式PAKE协议,然后分别对相关典型方案进行了对比分析,最后展望了格上PAKE协议的未来发展趋势。     

基于RLWE问题的后量子口令认证密钥交换协议

基于口令的认证密钥交换协议在现代通信网络中有很强的实用性.量子技术的迅速发展使得传统公钥密码体制的安全性面临严峻的形势,基于格理论构造密码系统已成为当前后量子密码研究的热点.本文基于格理论环上误差学习(RLWE)问题,使用Peikert式误差协调机制构造了一个C/S模式下的口令认证密钥交换协议(PAKE),设置了合理的...     

一个简便的三方密钥交换协议

基于口令认证的三方密钥交换协议(3PAKE)是使通信双方在认证服务器的帮助下能相互进行认证并建立一个会话密钥.在本论文中,我们提出了一个通过增强口令而不需服务器中间加密的简单的基于口令认证的三方密钥交换协议.通过这种方式,每个客户端只共享一个值得信赖的服务器通用密码,任何两个客户端通过服务器的介入可以验证彼此并交换会话...     

基于口令的鉴别密钥交换协议设计

网络用户的身份鉴别和密钥交换问题是网络安全的核心问题,目前最常见的鉴别密钥交换协议为基于口令的鉴别密钥交换(PAKE)协议。论文讨论了PAKE协议的设计目的、基本模式及其安全需求,并给出了双方模式和三方模式PAKE协议的交互过程,为网络安全协议的设计提供了参考。     

通用可组合的三方口令认证密钥交换协议

现有的许多三方口令认证密钥交换(3PAKE)协议都被发现是不安全的。该文基于通用可组合(UC)模型,定义了3PAKE理想函数。在两方口令认证密钥交换理想函数辅助的混合模型下,构造了一个实现3PAKE理想函数的3PAKE协议。新的协议由中间密钥生成、消息认证传输和会话密钥生成3个阶段构成。该协议是UC安全的,并且结构简单。     

基于理想格的通用可组合两方口令认证密钥交换协议

大部分现有基于格的两方口令认证密钥交换协议(2PAKE)都是在基于不可区分的公共参考串模型或Bel-lare-Pointcheval-Rogaway(BBR)模型下被证明安全的.该文提出一个基于环上带误差学习问题的两方口令认证密钥交换协议,并在通用可组合框架下证明其安全性.与同类协议相比,新协议具有更高的安全性和更高的效率.     

基于理想格的通用可组合两方口令认证密钥交换协议

大部分现有基于格的两方口令认证密钥交换协议(2PAKE)都是在基于不可区分的公共参考串模型或Bellare-Pointcheval-Rogaway(BBR)模型下被证明安全的。该文提出一个基于环上带误差学习问题的两方口令认证密钥交换协议,并在通用可组合框架下证明其安全性。与同类协议相比,新协议具有更高的安全性和更高的效率。     

基于验证元的三方口令认证密钥交换协议

基于验证元的口令认证密钥交换协议的最基本安全目标是抵抗字典攻击和服务器泄露攻击.利用双线性对的性质给出了一个基于验证元的三方口令认证密钥交换协议,有如下特点:能够抵抗字典攻击和服务器泄露攻击;保持密钥秘密性,提供前向安全性;确保无密钥控制;抵抗已知密钥攻击和中间人攻击;协议执行一次可以生成4个会话密钥等.     

无第三方服务器的基于数据流行度的加密去重方案

在加密去重系统中,基于流行度为数据设定不同级别的安全保护可有效平衡数据安全与存储效率。现有方案均需引入第三方服务器协助统计数据流行度,而第三方易成为单点故障和效率瓶颈。针对此问题,提出了一个无第三方服务器的基于数据流行度的加密去重方案,基于Count-Minsketch算法和MerklePuzzles协议实现数据流行度的安全统计,并通过用户间执行s PAKE协议实现不流行数据的加密去重。安全性分析和实验评估表明所提方案是安全且高效的。     

基于量子不经意密钥传输的量子匿名认证密钥交换协议

鉴于量子密码在密钥分配方面取得的巨大成功,人们也在尝试利用量子性质来设计其他各类密码协议。匿名认证密钥交换就是一类尚缺乏实用化量子实现途径的密码任务。为此,该文提出一个基于量子不经意密钥传输的量子匿名认证密钥交换协议。它在满足用户匿名性和实现用户与服务器双向认证的前提下,为双方建立了一个安全的会话密钥。该协议的安全性基于量子力学原理,可以对抗量子计算的攻击。此外,该协议中服务器的攻击行为要么无法奏效,要么能够与外部窃听区分开(从而被认定为欺骗),因此服务器通常不敢冒着名誉受损的风险来实施欺骗。     

一种有效的WLAN可信匿名认证协议

选取扩展认证-安全传输层(EAP-TLS,Extensible Authentication Protocol-transport Layer Security)协议与直接匿名认证(DAA,Direct Anonymous Attestation)结合,简化了EAP-TLS中用户与服务器间相互证书的交换和认证,去掉冗余步骤,合并EAP-TLS中握手过程和DAA中匿名认证过程。将可信平台模块(TPM,Trusted Platform Module)引入无线局域网(WLAN,Wireless Local Area Networks),实现用户身份的匿名认证,减轻了EAP-TLS协议证书管理压力,不存在效率瓶颈,安全程度比EAP-TLS有所提高,能有效抵抗重放攻击、中间人攻击、拒绝服务(DoS,Denial of Services)攻击等安全威胁。     

基于SIP的IMS安全分析研究

文中首先分析了SIP协议的五个常见漏洞:注册劫持、服务器伪装、消息篡改、会话终止、拒绝服务,然后对IMS安全机制中的接入安全、网络域安全以及安全联盟的建立流程做了分析,并以此为基础分析研究了在IMS中应用SIP协议的漏洞实施攻击的可行性.从分析结果可以看出,IMS的安全机制能够拒绝除了DOS攻击之外的所有基于SIP漏洞的攻击.最后给出了在IMS中实施DOS攻击的流程,并利用Open SERB服务器在100M的局域网中对DOS攻击进行了仿真验证.     

基于LWE的集合相交和相等的两方保密计算

利用格上LWE (Leaning With Error)困难性假设,将保密地比较两个数是否相等转化为判断对随机串加密后的解密是否正确,有效地解决了数和集合关系的判定、求集合交集和集合相等安全多方计算问题,并利用模拟范例证明该协议在半诚实模型下是安全的。与传统的基于数论的协议相比,该方案由于不需要模指数运算,因而具有较低的计算复杂度,同时因其基于格中困难问题,因而能抵抗量子攻击。     

基于对的组密钥协商协议及其分析

在Shim(2003)的基于证书的三方密钥协商协议的基础上提出了一个基于对的组密钥协商协议。通过在密钥生成函数中引入伪随机数,防止了未知密钥共享攻击(the unknown key-share attack)和已知密钥攻击。给出了当前文献中已知的一些攻击方法,并证明这些攻击方法在此协议中是无效的。同时此协议具有前向安全和后向安全的特性,即在动态组的情况下协议仍是安全的。     

一种基于流量检测的校园网洪攻击防御方法研究

针对数字化校园运行的实际情况分析,分布式拒绝服务攻击成为校园网络安全的大敌,结合其攻击原理与相应的校园网络传输与解析协议,从数据中心服务器运行与维护出发,提出了一种基于流量监测的校园网数据中心服务器应对DDoS的方法,在不额外增加硬件运行成本的前提下,实现了一种直接面向流量进行分布式拒绝服务攻击的检测和防范.该方法在网络维护及实践应用中起到了保护服务器网络安全的作用.     

椭圆曲线加密结合cookie信息的物联网终端安全认证协议

针对物联网(IoT)中终端设备接入网络服务器的安全性问题,提出了一种基于椭圆曲线加密(ECC)和cookie信息的物联网终端安全认证协议.协议首先将用户身份信息、服务器私钥、随机数和cookie有效期信息组成一个cookie文件,然后利用椭圆曲线加密体制对其进行加密,并将之存储在智能终端.在认证阶段,通过比对由cookie信息计算的安全参数来实现相互身份认证.性能分析表明,该协议在具有较低计算和通信成本的同时,能够有效抵抗多种攻击,提供了较高的安全性,非常适合应用于物联网中资源有限的终端设备.     

运行模式法分析ISO／IEC密钥建立协议

基于作者提出的运行模式法分析了ISO/IEC DIS 11770-3所提出的一个密钥建立协议(Helsinki密码协议)。分析结果表明Horng-Hsu攻击是Helsinki密码协议的惟一攻击,提出了一种改进的Helsinki密码协议,该协议可以防止Horng-Hsu攻击并比以前改进的Helsinki密码协议更安全。     

基于路由器的ARP欺骗探测

首先分析了ARP协议和ARP欺骗的原理,然后介绍ARP防火墙软件。针对ARP防火墙的功能局限,提出了基于Cisco路由器探测ARP攻击的体系结构,由MAC-IP捕获程序、数据库服务器、攻击分析程序所组成,接下来对各个部分进行深入研究。