基于身份的SIP认证与密钥协商机制研究

对SIP中的安全威胁和已有安全机制进行了分析,提出一种基于身份的SIP认证与密钥协商方案,通过3次交互实现双向认证,并在该过程中完成密钥协商.方案不需要公钥证书,以用户身份标识作为公钥,降低了计算复杂度和通信开销,保证了SIP消息传递过程中的完整性和真实性.     

基于JFK的SIP身份认证机制

VoIP系统中使用SIP协议进行多媒体会话,存在很多不安全因素。文中主要针对SIP协议的身份认证问题,提出采用基于JFK的SIP身份认证机制,以解决使用SIP协议进行呼叫控制时的身份认证和密钥协商问题,保证SIP消息传输过程中完整性和不可抵赖性。而且,JFK的简单、高效、安全及无状态连接等特点,恰好能满足SIP系统对实时性的要求,防止SIP系统受到重放、消息欺骗、拒绝服务等攻击方式。     

一个新的基于公钥密码机制的安全协议的设计

为了解决网络中的安全传输和通信问题,提出一个新的基于公钥密码机制的安全协议。该安全协议的设计和分析采用了面向主体的逻辑方法。协议中引入了可信任的第三方,采用挑战/响应机制实现通信双方的身份认证,采用Diffie-Hellmam机制实现了密钥协商。通过Rubin逻辑形式化分析,验证了该协议具有一定的严密性,能够实现身份认证和密钥协商功能。     

基于自认证的LTE-R系统验证方案研究

针对当前GSM-R网络身份认证与密钥协商方案存在扩展性差、用户身份信息易泄露的问题,本文为下一代高速铁路无线通信系统LTE-R提出一种基于自认证公钥体制的认证与密钥协商协议,实现实体间双向身份认证,保护空中接口及有线通信链路.     

基于口令认证的密钥协商协议研究

通过构建密钥协商协议为公开网络通信提供安全的会话密钥,保障通信安全。针对当前密钥协商协议抗攻击性能不好、公钥密码体制不安全的问题,提出基于口令认证的密钥协商协议设计方法。首先基于网络部署构建密钥预分配方案,采用Logistics混沌映射构建公钥加密方案;然后根据口令认证分组加密技术构建混合安全的密钥协商协议;最后通过仿真实验进行性能测试。实验结果表明,采用设计的密钥协商协议能提高密文的抗攻击能力,该方案的安全性得到证明。     

基于ECC的无线Mesh网络身份认证方案

文章对于无线Mesh网络环境,提出了一种基于ECC的双向身份认证方案。方案采用公钥证书、Hash函数等技术,不仅提供了安全的身份认证和密钥协商功能,而且具有运算量小、传输参数少的优点,较容易在无线Mesh网络中实现。     

视频监控设备身份认证机制的设计与实现

针对视频监控系统接入层中前端设备的身份安全问题,通过对会话初始协议(Session Initia-tion Protocol,SIP)进行研究和扩展,设计并改进了一种基于超文本传输协议(Hyper Text Transfer Pro-tocol,HTTP)摘要访问认证的SIP安全机制.前端设备在接入视频监控系统前,需要通过该安全机制与系统安全管理平台上的SIP服务器进行身份认证.认证双方基于公钥基础设施数字证书认证体系(Public Key Infrastructure/Certificate Authority,PKI/CA)获取对方的数字证书后解析公钥,在摘要认证的基础上使用公钥加密和私钥签名来保护认证序列的安全性,解密认证序列后通过异或校验和摘要校验实现双向身份认证.测试与分析结果表明,改进的安全机制能够抵御常见的SIP安全风险,实现设备与安管平台间的双向身份认证,在适当损失效率的情况下确保接入系统的设备身份合法可信.     

基于SIP视频会议系统安全机制研究

随着基于SIP视频会议系统的发展和应用,通信的安全保护机制也越来越重要。根据IETF SIPPING工作组提出的集中式会议模型,提出了一种基于SIP的视频会议系统。该系统针对SIP协议所固有的安全漏洞,设计了具有一定身份认证密钥协商及媒体流加解密功能的系统模型,在理论上该系统具有一定的安全保护机制。     

一个高效的无证书两方认证密钥协商协议

由于双线性对有高昂的计算代价,无双线性对的密码系统在近年来得到了广泛的关注。各种无双线性对的两方认证密钥协商协议在公钥密码体制(PKC)下被研究。为了克服传统公钥密码体制下复杂的证书管理问题和基于身份的密码体制固有的密钥托管问题,一些无证书认证密钥协商协议被提出。文中提出了一个安全高效的无双线性对的基于无证书的两方认证密钥协商协议,与相关的协议相比,文中的协议具有较低的计算代价。     

基于NTRU公钥密码体制的无线通信协议

安全问题是无线通信网络亟待解决的关键问题之一,因为无线通信中的身份问题存在严重的安全威胁,容易受到多种攻击。针对此问题提出了一种新的无线通信方案,基于NTRU(Number Theory Research Unit)公钥加密体制的双向认证和密钥管理协议,使用非对称加密算法、HASH函数和NSS(NTRU Signature Scheme)签名算法等技术建立这个协议。在执行双向认证和会话密钥管理协议中包含协议初始化和协议执行两个过程。该协议较目前公钥加密提供了更低的计算复杂度,加快了运行速度,增加了安全性。     

EPON中安全机制的研究

基于以太网的无源光网络(EPON)是一个点到多点的系统,面临着很多安全隐患。针对EPON系统中存在的几种安全威胁,提出了一种解决EPON安全隐患的综合性方案。     

基于增强响应信任链的SIP安全机制

SIP因自身缺少有力的安全机制而面临很多安全威胁,其中最为突出的威胁是利用响应消息进行的攻击。文中通过扩展SIP协议,提出了一种基于增强响应信任链的SIP安全机制。该安全机制通过请求消息和响应消息提供逐跳实体之间安全认证,有效地阻止了利用响应消息进行的攻击,保证了SIP会话参与者身份的真实性以及通信数据的完整性。     

SIP注册劫持攻击及安全机制研究

SIP协议是会话初始协议,因为其自身和应用环境的特点面临着许多安全威胁。论文针对其中一种主要安全威胁—注册劫持,用两种方法实现此种攻击,并实验对带有摘要认证的SIP的注册劫持攻击,最后提出防范注册劫持攻击的安全机制。     

EPON中的鉴权和加密方案的研究

基于以太网的无源光网络(EPON)是一个点到多点的系统,面临着很多安全隐患.为此,本文介绍了一种鉴权和将改进了的ECC与AES相结合的数据加密方案,并对这个加密方案在已知密钥的保密性、危及密钥安全的假冒、显式密钥鉴权和共享密钥的未知性等方面进行了性能分析.     

Privacy-preserving authenticated key agreement scheme based on biometrics for session initiation protocol

A secure key agreement scheme plays a major role in protecting communications between the users using voice over internet protocol over a public network like the internet. In this paper we present a strong security authenticated key agreement scheme for session initiation protocol (SIP) by using biometrics, passwords and smart cards. The proposed scheme realizes biometric data protection through key agreement process meanwhile achieving the verification of the biometric value on the SIP server side which is very important in designing a practical authenticated key agreement for SIP. The main merits of our proposed scheme are: (1) the SIP server does not need to maintain any password or verification table; (2) the scheme can provide user identity protection—the user’s real identity is protected by a secure symmetric encryption algorithm and the elliptic curve discrete logarithm problem, and it is transmitted in code; (3) the scheme can preserve the privacy of the user’s biometric data while the biometric matching algorithm is performed at the SIP server side, even if the server does not know the biometric data in the authentication process. Performance and security analysis shows that our proposed scheme increases efficiency significantly in comparison with other related schemes.     

基于PKI的IPSec-VPN的研究与设计

虽然将IPSec用在虚拟专用N（VPN）是一种很好的网络安全解决方案,极大地改进了传统IP协议缺乏安全机制的问题,但因其身份鉴别不完善而影响到在复杂环境下的网络安全。PKI是由公开密钥密码技术、数字证书、证书认证机构等基本成分组成的一套安全平台,可提供身份认证和角色控制服务。该文分析了IPsec和PKI在安全上的技术特点,提出了一种如何将PKI证书机制应用到IPsec-VPN中,实现强身份认证和访问控制机制,进而完善VPN安全的方案。     

SIP协议不可抵赖性的设计与实现

伴随着VOIP的广泛使用,SIP协议已受到越来越多人的青睐,但SIP面临的安全威胁以及SIP安全机制的现状又令人不得不警觉.文中针对SIP协议的安全性设计并实现了不可抵赖性的解决方案,对使用SHA-1/MD5的算法在不同的硬件配置下实现不可抵赖性进行了性能分析.通过性能测试,在不同的硬件配置情况下,其速度是随着硬件配置的高低呈正态分布的.在实验室环境下,所提出的SIP不可抵赖性的方案可以很好地运行,并且具有通用性,能够被广泛地采用.     

A lightweight protection mechanism against signaling attacks in a SIP-based VoIP environment

The advent of Voice over IP (VoIP) has offered numerous advantages but, at the same time, it has introduced security threats not previously encountered in networks with a closed architecture like the Public Switch Telephone Networks (PSTN). One of these threats is that of signaling attacks. This paper examines the signaling attacks in VoIP environments based on the Session Initiation Protocol (SIP), focusing on the design of a robust lightweight protection mechanism against them. The proposed scheme introduces a new SIP header, namely the Integrity-Auth header, which is utilized for protecting the SIP-based VoIP services from signaling attacks while ensuring authenticity and integrity.