改进型极低限要求互有认证协议研究

在极低限要求相互认证协议(M2AP)的基础上,通过对传输的信息进行一定的保护,提出了一种改进型极低限要求相互认证协议(IM2AP).该协议通过标签和阅读器之间共享的假名和密钥实现互有认证,认证通过之后再进行隐私信息的传输.为了确保标签和阅读器的互有认证过程不被攻击者恶意干扰,标签利用密钥的汉明权重产生了一个可以和阅读器共享的随机数,并根据这个随机数对传输的信息进行一次循环移位,使得攻击者无法对某一特定位进行篡改,从而有效地避免了去同步攻击和整体揭露攻击.通过安全分析和性能分析,表明该协议能够在轻量型安全认证协议安全性普遍较弱的情况下,用有限的成本增加来大幅提高系统的安全性和可靠性,具有较高的实用价值.     

配电网IEC60870-5-104协议的抗中间人攻击算法

馈线终端单元（Feeder Terminal Unit,FTU）采用IEC60870-5-104协议进行远动信息传输。但是由于该104协议报文采用明文传输,缺乏基于数字签名的认证机制,导致其存在中间人攻击的安全隐患。为了验证104协议通信存在的问题,本文构建了馈线终端FTU与主站的通信系统,验证了中间人攻击截获的104协议数据,为了增强协议安全,提出了一种基于身份认证的（BM-RAP,Bellovin-Merri based RSA&AES Protocol）改进方法,在虚拟机实验环境下,完成一次主从站身份认证时间在20-80毫秒之间,实验结果表明,该方法增强了抵御中间人攻击的能力。     

UBAP认证协议的逻辑设计与研究

该文对CHAP认证协议进行了阐述,并对其安全缺陷进行了分析。针对CHAP协议的安全缺陷,将它进行了改进,结合密码学、身份认证技术以及USB Key技术,设计了一种基于USBKey网络环境下的身份认证协议,即UBAP(USB Key-based Authentication Protocol)协议,它采用软硬件相结合的一次一密的强双因子认证模式,实现了服务器和用户双方可靠的双向身份验证,并对该协议进行非形式化的分析,证明其能够抵御重放攻击、服务器欺骗、网络监听、插入信道攻击、中间人攻击以及暴力攻击。     

一种基于ECC的RFID双向认证协议设计

针对有些RFID认证协议存在的可扩展性和安全隐私保护的问题,提出一个基于椭圆曲线密码(ECC)的RFID双向认证协议。对该协议进行详细的描述,并分析其安全性。结果表明该协议具有可扩展性,能够抵抗跟踪、重放、假冒、中间人等攻击,具有良好的前向安全性和能够实现服务器和标签的双向认证。该协议成本低、安全、可扩展,具有一定的实用性。     

一种基于轻权加密体制的RFID认证协议

针对射频识别(RFID)系统在计算与存储资源有限情况下的特殊需求,提出一种基于公钥密码体制NTRU的轻权认证协议。在该协议中,标签和读写器均完成一次随机数生成操作,且仅在服务器端存储一个密钥对,各个RFID标签采用公钥进行消息加密并发送给读写器和服务器,服务器通过存储在本地的私钥进行解密,在标签端仅存储服务器的公钥,以确保认证过程中信息的保密传输和隐私性,实现标签与读写器间的相互认证。通过分析证实,该协议能够抵抗窃听、位置追踪、重放、反向跟踪等攻击,而且标签仅需提供轻权加密和随机数生成操作,该认证协议非常适合应用于低成本的RFID系统。     

基于D-H密钥交换协议的用户认证方案

分析指出Liaw等人的远程用户认证方案(Mathematical and Computer Modelling,2006,No.1/2)容易受到重放攻击和中间人攻击,并且密码修改阶段和注册阶段存在安全漏洞,在此基础上提出一个基于D-H密钥交换协议的远程用户认证方案.理论分析结果表明,该方案可以抵抗假冒攻击、重放攻击、中间人攻击,安全地实现相互认证及会话密钥生成.     

一种增强的ZRTP认证机制

ZRTP本身的认证机制在一些特殊的情况下无法抵抗中间人攻击。为此,基于简单密钥协商协议(SAKA)提出一种NSAKA算法,改进ZRTP的认证机制,使用RFC4474中的SIP身份认证模型来安全传输用户预共享的秘密口令。通过分析表明,该方案可以提高ZRTP抵抗中间人攻击的能力,并弥补SAKA算法原有的安全缺陷。     

针对中间人攻击的IKEv2形式化分析与改进

基于BSW逻辑对互联网密钥交换协议（IKEv2）进行了形式化分析,证明协议在预共享密钥认证方式下存在中间人攻击,提出一个改进方案,并利用扩展的BSW逻辑分析了改进后的协议能够抵御中间人攻击,且能够满足协议的认证性、秘密性和完整性。     

基于百万富翁算法的口令认证密钥交换协议

口令认证密钥交换（PAKE）协议由于其便于记忆、运行成本低等特点受到广泛关注。文章在百万富翁协议算法的基础上,通过简化和改进,提出一种口令认证的密钥交换协议。该协议使用一个低熵的口令进行双方的认证,并得到一个高熵的密钥。文章同时分析了该协议对抵御中间人攻击和离线字典攻击的安全性。     

优化认证消息流防止中间人攻击

中间人攻击是对网络协议的攻击,该攻击普遍存在并危害较大,很多安全协议也面临威胁.按照发展层次比较了对一般通信、附加认证和安全协议的通信和受保护认证通信的中间人攻击方式,分析了可以避免该攻击的几种方法.以联锁协议为基础,以受保护的认证协议为例,提出了通过改变认证消息序列避免攻击的安全认证协议构造方法.     

一种基于PUF的超轻量级RFID标签所有权转移协议

针对RFID标签所有权转移协议中存在的数据完整性受到破坏、物理克隆攻击、去同步攻击等多种安全隐私问题,新提出一种基于物理不可克隆函数(PUF)的超轻量级RFID标签所有权转移协议—PUROTP.该协议中标签所有权的原所有者和新所有者之间直接进行通信完成所有权转移,从而不需要引入可信第三方,主要涉及的运算包括左循环移位变换(Rot(X,Y))和异或运算($\oplus$)以及标签中内置的物理不可克隆函数(PUF),并且该协议实现了两重认证,即所有权转移之前的标签原所有者与标签之间的双向认证、所有权转移之后的标签新所有者与标签之间的双向认证.通过使用BAN(Burrows-Abadi-Needham)逻辑形式化安全性分析以及协议安全分析工具Scyther对PUROTP协议的安全性进行验证,结果表明该协议的通信过程是安全的,Scyther没有发现恶意攻击,PUROTP协议能够保证通信过程中交互信息的安全性及数据隐私性.通过与现有部分经典RFID所有权转移协议的安全性及性能对比分析,结果表明该协议不仅能够满足标签所有权转移过程中的数据完整性、前向安全性、双向认证性等安全要求,而且能够抵抗物理克隆攻击、重放攻击、中间人攻击、去同步攻击等多种恶意攻击.在没有额外增加计算代价和存储开销的同时克服了现有方案存在的安全和隐私隐患,具有一定的社会经济价值.     

轻量级的无线射频识别安全认证协议

针对现有无线射频识别(RFID)认证协议存在的安全缺陷,提出了一种新的轻量级RFID安全认证协议,并基于GNY逻辑给出了形式化证明。协议采用阅读器双重认证及预认证阶段刷新密钥的方法,通过在标签中添加保护密钥同步的恶意攻击标记Tm,解决了当前协议中存在的可扩展性欠佳、标签密钥更新失败导致位置跟踪和非法更新标签/服务器内部密钥造成拒绝服务(DoS)等问题,可抵抗重传、标签/阅读器假冒和通信量分析等多种恶意攻击,尤其防范来自位置隐私泄露和拒绝服务的安全威胁。分析结果表明,所提协议具有低成本、安全性高、计算复杂度低等特点,适合于标签数目较多的RFID系统。     

基于Hash函数的移动双向认证协议

针对移动射频识别(RFID)系统中因无线传输所带来的信道不安全问题,充分考虑到协议的复杂程度和标签的硬件成本,提出一种低成本的移动双向认证协议,实现了标签、读写器和后端服务器三者的相互认证。该协议使用模平方运算动态更新标签标识符,引入读写器标识符,并利用伪随机函数和哈希函数强化读写器和后端服务器之间的身份认证,提高系统移动性。与基于哈希函数的经典协议和标签所有权转移协议相比,该协议可抵抗跟踪、假冒、重放、中间人、拒绝服务器攻击等,能保证标签所有权安全转移,并从计算量和存储量分析效率,结果表明标签计算量减少,存储量较低。     

一种抗恶意攻击的RFID双向认证协议

针对现有无线射频识别（RFID）认证机制存在的安全缺陷,提出一种新型抗恶意攻击的RFID双向认证协议,并基于GNY逻辑给出了协议的安全性证明。该协议将公钥加密算法和对称密钥加密算法相结合,采用阅读器双重认证及预认证阶段刷新密钥的方法,通过在标签中添加保护密钥同步的恶意攻击标记Tm,解决了当前协议中存在的认证效率较低,标签密钥更新失败导致位置跟踪和非法更新标签/服务器内部密钥造成拒绝服务（DoS）等问题,可抵抗重传,标签/阅读器假冒,通信量分析和去同步化等多种恶意攻击。分析结果表明：该协议具有安全性好,效率高,计算复杂度低等特点,适合于标签的大规模应用。     

一种超轻量级移动射频识别的双向认证协议

针对移动射频识别中读写器与后端服务器之间因无线传输带来的安全问题,提出了一种超轻量级移动射频识别的双向认证协议。该协议通过级联运算动态更新标签假名和标签密钥,可有效隐藏标签真实身份,并利用循环校验函数进行标签以及读写器与后端服务器之间的身份认证,实现了系统的双向认证。安全性分析表明,该协议可抵抗跟踪攻击、假冒攻击、重放攻击、中间人攻击等多种恶意攻击。与现有的几种协议相比,该协议降低了标签端的计算开销和通信开销,具有安全性较高、成本低的优点。     

一种RFID标签所有权完全转移协议

针对射频识别（RFID）标签所有权不能完全转移及系统安全性问题,提出一种RFID标签所有权完全转移安全协议．该协议通过引入原所有者与新所有者间交易关系及身份比对保证标签所有权转移给合法身份的新所有者,利用密钥二次同步更新保证RFID标签所有权完全转移．为了确保标签和阅读器认证不被恶意干扰,采用双向认证保证RFID系统通信安全．形式化证明及分析结果表明,该协议满足标签所有权完全转移要求,可抵御多种攻击,实际应用价值高.     

一种改进的基于标签部分ID的RFID密钥无线生成算法

针对无线射频识别系统存在的初始密钥易泄露的安全问题,提出了一种基于标签部分ID的RFID密钥无线生成算法。在标签与读写器认证之前,通过标签部分ID与读写器生成的随机数进行异或运算生成共享密钥。安全性分析表明,该算法能够有效地抵抗重放攻击、中间人攻击和去同步化攻击等主动攻击及被动攻击,具有安全性高、成本低的优点。     

Secure authentication scheme for passive C1G2 RFID tags

Privacy and security concerns inhibit the fast adaption of RFID technology for many applications. A number of authentication protocols that address these concerns have been proposed but real-world solutions that are secure, maintain low communication cost and can be integrated into the ubiquitous EPCglobal Class 1 Generation 2 tag protocol (C1G2) are still needed and being investigated. We present a novel authentication protocol, which offers a high level of security through the combination of a random key scheme with a strong cryptography. The protocol is applicable to resource, power and computationally constraint platforms such as RFID tags. Our investigation shows that it can provide mutual authentication, untraceability, forward and backward security as well as resistance to replay, denial-ofth-service and man-in-the-middle attacks, while retaining a competitive communication cost. The protocol has been integrated into the EPCglobal C1G2 tag protocol, which assures low implementation cost. We also present a successful implementation of our protocol on real-world components such as the INTEL WISP UHF RFID tag and a C1G2 compliant reader.     

能抵抗拒绝服务攻击且高效的RFID安全认证协议

针对现有的RFID认证协议所面临的安全隐私保护问题,利用Hash函数加密的方法,提出了一种能抵抗拒绝服务攻击且高效的RFID安全认证协议。通过在阅读器上进行随机数的比较与识别,从而使该协议可抵抗拒绝服务攻击,并且在后台数据库中存储标签标识符的两种状态,以便实现电子标签与后台数据库的数据同步。从理论上分析了协议的性能和安全性,并利用BAN逻辑对协议的安全性进行了形式化证明。分析结果表明,该协议能够有效地实现阅读器和电子标签之间的相互认证,能有效地抵抗拒绝服务攻击且与其他协议比较,整个RFID系统的计算量减小,适用于大规模使用标签的RFID系统。