Kerberos身份认证协议分析及改进

文章对Kerberos身份认证协议进行了详细的分析，针对其局限性，提出了一种基于公钥证书的Kerberos改进协议。     

OCSP协议分析和实现

对在线证书状态协议（OCSP）进行了详细分析，给出了协议有关数据的形式化描述，分析了协议的特点和局限性，并提出了OCSP的实现模式。     

基于身份公钥体制的新型SSL协议设计与实现

安全套接层（Secure Socket Layer, SSL）协议是当前广泛使用的安全连接协议,现有SSL协议中的公钥密码大部分是基于证书服务来实现。基于身份加密为代表的新型非证书公钥体制可以在保证较高安全性的前提下,尽可能降低计算开销和网络负载,并避免对证书的管理。本文提出一种基于身份公钥体制的新型SSL协议IBE-SSL,并使用开源的OpenSSL库和PBC库对其进行实现,通信过程数据包捕获分析结果表明,所提的IBE-SSL协议在取消证书操作的基础上依然可以建立安全的SSL连接。     

PKI证书的撤销与验证

随着电子商务公司越来越多地使用数字证书 (由认证中心签发的电子身份证 )来保证在线交易的安全性 ,这一行为引发了对另一种安全性的需要 ,即对数字证书的有效性进行验证。因此 ,CA认证的一个重要操作就是验证用户的证书是否被撤销或者挂起。证书的撤销采用证书撤销列表 ,而用于验证证书状态的机制一般使用轻型目录存取协议或者在线证书状态协议。简要介绍了证书撤销列表以及基于轻型目录存取协议的目录服务机制 ,而重点讨论了基于在线证书状态协议的目录服务 ,并例举了一个在线证书状态协议的实际应用。     

基于IBC的TLS握手协议设计与分析

为了克服当前广泛使用的传输层安全协议存在的证书管理复杂和握手延迟高的缺点,通过分析基于身份的密码体制的特点,设计了使用基于身份的加密方案的握手协议,以及适合双向认证条件的使用基于身份的认证的密钥协商方案的握手协议。安全性分析和性能仿真实验结果表明,在同等安全强度下,与基于证书的方案相比,基于IBC的握手协议具有相称的密码算法处理开销,但是减少了协议通信量,明显降低了握手延迟,提高了协议的运行效率。     

基于身份的TLS协议及其BAN逻辑分析

基于身份的密码体制(IBC)轻量、高效,密钥管理方式简单,但缺乏有效安全协议的支持限制了其应用。通过增加支持IBC的加密套件,引入IBC公钥代替RSA证书公钥,减少消息交换数量,提出支持IBC的、高效的基于身份的IB_TLS协议。使用BAN逻辑对其进行形式化分析,证明IB_TLS协议是安全的。     

多元网络管理协议MNMP与SNMP和CMIP协议兼容性的研究

随着航天技术的迅速发展，卫星网络的研究已成为热点．在网络管理领域．现有的网络管理协议．例如SNMP、CMIP等不适合对这种特殊网络进行管理．本文对一种新型的网络管理协议－多元化网络管理协议（MNMP）原型进行了必要的补充，对MNMP与SNMP、CMIP的兼容方法进行了详细定义．使基于MNMP协议的网络管理能够兼容SNMP、CMIP设备．为卫星网络管理的研究奠定了基础．     

基于MYK-NTRUSign签名的无线网认证协议研究

MYK-NTRUSign是基于NTRU公钥体制的数字签名算法,修复了NTRUSign签名算法的延展性缺陷。基于MYK-NTRUSign算法,提出了一个无证书无线网双向认证协议（M-WAP）。该协议避免了基于公钥证书认证机制的证书管理复杂问题。通过对协议的安全性和性能分析,表明M-WAP协议是一个较高安全性、较低开销、快速认证的协议。     

基于X．509证书的身份认证机制的研究

本文对基于X．509证书的身份认证协议方案进行了分析,提出了一种新基于X．509身份认证协议。并使用协议分析工具对新协议进行了安全性分析。     

宽带VPN网络密钥管理的研究应用

本文主要基于中低速VPN网络环境的几种密钥管理协议出发，引出适合在高速VPN网络环境下的SKIP密钥管理协议，然后对该协议及其特点进行分析，并结合IPSEC和VPN，从密钥的产生，证书的颁发和网络框架等三个方面出发，提出基于SKIP协议的密钥管理模型，最后结合宽带VPN网络的IPSEC网络的IPSEC隧道和传输两种模式在LINUX操作系统中实现。     

PEM标准下密钥的证书管理方式

分析了 ＰＧＰ系统、ＳＭＴＰ、ＰＯＰ３协议的安全性问题,在 ＰＥＭ标准下实现了密钥的证书管理,包括证书的申请、分发、存放、更新、注销、失效管理。应用密钥的证书管理方式,可以大大改善网络的安全性。     

新的单轮无证书群认证密钥协商协议

群认证密钥协商协议可以使多个参与者在公开信道中建立会话密钥。提出了一种高效的基于PKC的无证书群认证密钥协商协议,由于采用了无证书机制,简化了基于证书的协议中复杂的证书管理问题,同时也解决了基于身份的协议中密钥托管问题。还对新协议进行了严格的形式化证明和计算量的横向比较,结果显示,新协议是安全且高效的。     

基于WPKI的移动通信端到端认证协议

提出了一个在不同移动运营商中移动终端的相互认证协议.该协议利用WPKI机制,实现对双方公钥证书的认证.最后采用BAN逻辑,对协议的形式化分析表明协议达到了认证目标.     

一个基于身份的非交互可否认源认证协议

可否认源认证方案能够让接收方确认消息发送方的身份,但不能向第三方证明发送方的身份,在电子商务和电子政务中有广泛的应用。在假定计算Diffie-Hellman问题是困难的前提下,利用双线性对,构造了一个基于身份的非交互可否认源认证协议,并在随机预言模型下证明了方案的安全性。分析结果表明新提出的协议可以抵抗伪造攻击、假冒攻击、中间人攻击以及重放攻击等。该协议基于身份,不需要证书,可简化密钥管理;其通信和计算效率较高,实现简单,可用于计算能力受限的设备。     

基于ECC组合公钥的GSM双向认证

针对目前GSM网络认证和密钥协商过程中存在的安全隐患,提出了基于椭圆曲线组合公钥技术的GSM离线双向认证,在引入了非对称密钥加密的同时却不需要引入可信任第三方CA机构,能有效解决大规模网络环境中密钥生产、分发、存储管理与证书验证难等问题。实验分析表明,该方案不仅实现了GSM的双向认证,而且与其它方案相比,节省了网络带宽,降低了对存储空间的要求,且每次认证都实现了加密密钥刷新。     

基于区块链的高透明度PKI认证协议

公钥基础设施（PKI）作为互联网空间安全基础设施的重要组成部分,为互联网的信息传输提供必要的真实性、完整性、机密性和不可否认性。现有的公钥基础设施存在证书颁发机构权力过大、吊销查询困难等问题。随着区块链技术的发展,可以利用区块链技术去中心化、透明度高、结构扁平等优点来解决上述公钥基础设施存在的问题,提高整个互联网建立信任关系的能力和效率。因此,提出基于区块链的高透明度PKI认证协议。该协议通过加入门限签名技术提出了改进的实用拜占庭容错共识算法（TS-PBFT）。TS-PBFT算法降低了原有实用拜占庭容错（PBFT,practical Byzantine fault tolerance）共识算法的通信复杂度,减少了通信开销;TS-PBFT 算法在视图切换协议的主节点选举引入了外界监督机制,增加了可监管性;TS-PBFT 算法在快速一致性协议中引入了批处理机制,提升了共识过程的性能。该协议一方面在提出的PBFT 算法的基础上引入了区块链技术,提升了证书吊销查询的安全性,并引入了计数布隆过滤器,提升了证书查询的效率;另一方面,该协议在证书的生命周期管理中增加了证书审计流程,对证书颁发机构的行为做出监管,促使其提高安全标准,达到限制其权力的目的。安全性分析和效率实验分析表明,所提协议系统具有抵抗伪装申请证书攻击等安全属性,与已有PKI协议相比在TLS/SSL握手耗时上具有优势。     

一种新型非交互移动代理路径检测协议

移动代理目前广泛应用于分布式并行计算、网络信息搜索、电子商务等领域,但安全问题一直是阻碍其发展的重要原因。结合身份密码学知识和洋葱路由工作原理提出了一种新型的非交互式移动代理路径检测协议,检测过程中无需双方协商,既节省了网络带宽,又加快了加解密速度。基于身份的加密也避免了公钥基础设施中身份证书的复杂管理,提高了系统运作效率。     

基于PKI的通用无线认证协议研究

基于PKI的WTLS协议涉及复杂的证书操作,需耗费较大的通信和计算开销,且缺乏对服务器证书的有效性检查.引入可信证书验证代理(TCVP)和证书有效性凭据(CVT)等概念,由TCVP为无线通信节点(WN)生成短时有效的CVT,WN通过交换CVT来完成证书的有效性检查和公钥交换.基于此,提出了一种通用无线认证协议(GWAP).在GWAP框架下,采用ECC算法设计了一种具体的无线安全认证协议,并进行了效率分析.结果表明,该协议在确保安全的前提下降低了通信开销.     

支持双认证方式的单点登录方案

支持多认证方式的单点登录是目前的一个新需求,通常这又使认证协议的实现和跨域的认证更加复杂。为此提出一种灵活的支持证书、口令及其组合认证的单点登录方案。方案通过认证协议模板和临时证书票据设计,避免了单点登录的认证协议重复设计,并简化了跨域认证的信任模型。