WiMAX认证方案研究

WiMAX安全要实现两大目标:一是为整个无线网络提供机密性保护;二是提供网络接入控制功能。IEEE802.16的安全子层采用了认证客户端/服务器密钥管理协议,在该协议中基站(即服务器)能够对分发给客户端SS的密钥进行控制。本文首先分析了WiMAX网络物理层和MAC层面临的安全威胁,然后给出了WiMAX网络安全体系架构。最后,对散列消息认证码(HMAC)、X.509证书和可扩展认证协议(EAP)进行了详细的介绍。     

基于无证书密码学的移动自组网密钥管理

在分析现有的AdHoc网络密钥管理方案存在的缺陷基础上,基于无证书密码学提出一个AdHoc网络密钥管理方案。将系统主密钥分发给一组预选节点,由其合作实现私钥生成中心PKG功能。该方案有效地克服密钥托管问题与恶意节点的合谋攻击,同时一次单播即可安全高效地实现节点私钥更新。分析与仿真结果表明其具有较高的安全性和实用性。     

PEM标准下密钥的证书管理方式

分析了 ＰＧＰ系统、ＳＭＴＰ、ＰＯＰ３协议的安全性问题,在 ＰＥＭ标准下实现了密钥的证书管理,包括证书的申请、分发、存放、更新、注销、失效管理。应用密钥的证书管理方式,可以大大改善网络的安全性。     

基于CPK的高效移动Ad Hoc网络密钥管理方案

移动Ad Hoc网络具有的动态网络拓扑、无线链路的弱安全性、节点的有限物理保护和无中心基础结构等特性,使得它面临严重的安全问题。因此鲁棒的密钥管理服务是移动Ad Hoc网络的安全基础。提出了一个基于椭圆曲线组合公钥方案和门限密码系统的移动Ad Hoc网络密钥管理方案。本方案的主要创新点是提出了三层密钥管理模型,并基于此模型,提出了节点密钥生成、密钥份额分发、节点密钥更新、密钥份额更新和密钥撤销的具体实现。三层密钥管理模型实现较高的安全性和较低的密钥管理开销。与基于证书的和基于身份的密钥管理方案相比,本方案在安全性和效率方面更加适用于移动Ad Hoc网络。     

WEB访问控制之身份密码方案研究

因为网络技术日益成熟,所以网络的安全问题从过去对网络服务器的攻击逐渐转移到对WEB应用的攻击,文章分析了基于传统公钥密码体制安全机制的缺点,提出WEB应用中采用基于身份的加密安全机制,并给出一个新的密钥分发方案。避免了传统公钥密码体制中因管理大量用户证书而带来的种种弊端。     

基于CPK的融合网络密钥生成系统

分析WSN和Internet融合网络的密钥管理需求,设计一种基于组合公钥算法的融合网络密钥生成系统,阐述系统各模块功能,在VC++ 6.0上利用TOM高精度计算库实现基于标识的组合映射密钥的生成与封装。在该系统中,私钥以ID证书形式存储于节点,密钥管理中心以约50 KB的种子矩阵存储量实现了密钥的规模性分发,具有强扩展性。     

新型安全电子邮件加密系统的设计与实现

基于身份公钥加密是一种以用户的身份标识符作为公钥的新型加密体制。本文首先介绍基于身份的公钥加密方案(IBE),给出IBE安全加密体制的基本框架结构与工作原理;设计了一个IBE密钥管理方案,实现IBE公钥和私钥的安全分发;提出了一套基于IBE的安全电子邮件系统,开发了一个PKG密钥服务器和Outlook邮件客户端加密插件,并实现IBE密钥管理方案;最后讨论了IBE邮件加密系统的安全问题。     

一种入侵容忍的密钥分发方案

提出了一种入侵容忍的密钥分发方案。在该方案中,密钥的生成由若干服务器通过秘密共享机制协作完成,每个服务器并不知道所生成的密钥,只持有其秘密份额。密钥分发的过程同样基于秘密共享实现,由用户获取各服务器所持有的秘密份额进行恢复从而获取密钥。分析表明,该方案中不存在唯一失效点,即使一定数量的服务器被攻击者控制后,系统仍然可以完成密钥分发。     

AFC系统中票/卡密钥安全分发方案的应用研究

在城市轨道交通自动售检票系统中,非接触式智能卡已普遍被用作车票介质.为保障乘客票/卡的有序、安全使用,对票/卡的功能密钥和应用密钥进行严格地管理显得尤为重要.基于公共密钥基础设施框架,研究和设计了轨道交通自动售检票系统中票/卡功能密钥的安全分发技术方案,包括加密传输、传输节点认证和票/卡应用密钥自动更新等关键方法及步骤.     

基于SIP协议的网络电话安全方案及实现

以基于身份的非对称加密技术为核心,引入身份证书和更具灵活性的XML格式属性证书,解决用户身份认证、私钥分发和安全实现增值服务问题。与话者在通话时,利用证书向PKDC进行身份认证,获取私钥,用于加密传输会话密钥。在信令协商过程中,CPL服务器通过验证用户的属性证书提取用户属性,更加便捷地实现增值服务。     

基于密钥服务器的IEEE 802.11i密钥更新方案

随着WLAN的广泛应用,无线安全越来越受到人们关注,密钥管理作为安全系统的实现基础亟待解决。针对IEEE802.11i标准为产生新的对等密钥PTK,STA与AP之间需要重新进行四步握手协议而加重STA开销的问题,提出一种基于密钥服务器的密钥更新方案(KSRS)。该方案对802.11i的密钥层次结构进行修改,增加了密钥更新层,可达到集中密钥更新的目的;结合STA的漫游特性,借鉴集中式密钥管理思想,引入可信实体KS来分发并更新密钥,可提供灵活的密钥管理操作。经性能分析,该方案的开销较小,能更加适应STA的移动性。     

CPK私钥网上分发协议

CPK鉴别系统的密钥由密钥管理中心（KMC）统一管理。公网密钥的管理由公网KMC负责,专网密钥的管理由各专网KMC负责。CPK鉴别系统的密钥分发,除已有离线私钥分发的协议之外,还可设置网上在线分发私钥的协议。根据CPK的特点,没有私钥的＂空＂卡仍具有数据加密和对签名的验证功能,只是没有脱密和签名功能。     

基于PKI体系的无线局域网认证方案研究

本文提出了一个基于公钥基础设施PKI体系的认证方案。实现了认证服务器对接入点AP的认证,在临时密钥的分发过程中,实现了全加密的分发,即认证服务器向AP和用户分发临时密钥都进行加密。同时提出了三级密钥体系机制,即私钥、会话密钥和临时密钥,实现了认证密钥和加密密钥的分离。     

安全OA模型的研究与设计

为解决目前OA系统的安全性问题,结合智能卡技术、PKI技术、文件访问控制技术,提出了由用户安全登录、信息安全传输、文件安全访问3个部分组成的安全OA模型.用户安全登录主要是结合MD5分组变换技术,采用服务器、客户端应答模式实现,服务器、客户端之间的会话密钥则由可信密钥服务器产生,同时该服务器还负责文件密钥的分发,通过访问控制模块实现文件的安全访问,而信息安全传输则是采用混合加密方式完成,相关加解密都在智能卡内部完成.实验结果表明,该系统效率高,安全性强.     

蓝色的魅力——IBM安全电子交易解决方案

(三) 4、IBM认证中心解决方案 SET使用一个可以信赖的第三方即认证中心(CA)的证书来证实公共密钥真的属于所有者。证书由认证中心进行了数字签名,它包含了所有者信息及所有者的一个公开密钥。 IBM的Registry for SET是一个程序,用于产生和管理SET协议中要求使用的证书。Registry for SET可以作为一个消费者认证中心(CCA)、商家认证中心(MCA)和/或支付网关认证中心(PCA)。可在不同的机器上运行不同的CA(如一台为CCA、一台为MCA),也允许多个CA在一台机器上运行。 Registry for SET有三个主要的组成部分,即管理者、批准者和服务器: ●管理者提供图形化用户接口,可方便地用于认证服务器的操作管理,并可进行密码及密钥的安全管理。 ●批准者提供图形化用户接口,用于证书申请的审批和管理。 ●服务器提供由应用程序自动处理证书申请或借助证书审批管理工具由管理员人工处理证书申请。     

基于BB84协议的量子密钥分发系统研究

量子密码技术提出以后,得到了人们的普遍关注,它是目前唯一能够证明的绝对安全的保密通信方式。随着量子信息技术的发展,量子密钥分发技术开始从理论走向实际应用。为了研究在实际量子密钥分发系统中各部件对密钥分发效率的影响,提高密钥分发速率,对基于BB84协议的光纤量子密钥分发系统进行建模分析,研究了影响密钥分发效率的参数。数值仿真表明:准单光子源中平均光子数和光纤长度是影响最终密钥协商速率的关键参数。为进一步提高量子密钥分发系统的效率提供了参考。     

一种针对弹性CA的分布式密钥产生方案

弹性CA是一种使用入侵容忍技术保护CA密钥的CA系统,它采用了新的私钥分割方法加强了系统的安全性,但其使用的密钥分发中心却不利于CA私钥安全 .分布式密钥产生方案就是在传统的弹性CA方案的基础上取消了密钥分发中心,使用分布式的密钥产生和分割机制,从而保证了在CA初始化和整个运行过程中,任意t-1(t为门限值)台服务器都不可能窃得CA私钥,大大加强了CA系统安全 .     

高效无双线性对的带关键词搜索的基于证书加密方案

针对已有带关键词搜索的公钥加密方案中存在的复杂的证书管理、密钥托管以及密钥分发等问题,提出一种带关键词搜索的基于证书加密的方案。首先,给出带关键词搜索的基于证书加密方案及其安全模型的形式化定义;然后,基于椭圆曲线构造一个高效无双线性对的带关键词搜索的基于证书加密方案,并基于计算Diffie-Hellman问题（CDHP）证明了该方案满足适应性选择关键词攻击下的关键词密文不可区分性;最后,对所提出方案进行仿真模拟,并就方案特性和性能两个方面与已有的带关键词搜索的公钥加密方法进行对比。对比分析表明,所提出方案不仅具有隐认证、无密钥托管以及无密钥分发的优良特性,而且在计算效率和通信代价上要优于已有的带关键词搜索的无证书加密方案。     

一种层次多环结构的应用层组播安全模型

时延大、安全性较低等是现有应用层组播密钥管理的常见问题,提出了一种新型的应用层组播安全模型（SHMRP）,该模型有一个可信的密钥服务器（KS）,使用CRTSS方案对组密钥进行更新和管理,密钥的分发和节点的管理任务分散到各个环的领导节点来完成。通过NS-2网络仿真器,对SHMRP和SOKM进行仿真比较。试验表明：该模型具有较低的传输时延、较高的宽带利用率和数据传输率,应用该模型可以较好地提高组播的安全。     

标准模型下高效安全的基于证书密钥封装机制

基于证书密码体制有机结合了传统公钥密码体制和基于身份密码体制,不仅克服了基于身份密码体制固有的密钥托管和密钥分发问题,而且简化了传统公钥基础设施中复杂的公钥证书管理,是一种颇受关注的新型公钥密码体制.基于证书密钥封装机制,将密钥封装机制与基于证书密码体制相结合,具备基于证书密码体制的优良特性.基于双线性对,提出了一个高效的并且可证明安全的基于证书密钥封装机制方案.在标准模型下基于判定性截断q-ABDHE问题和判定性1-BDHI问题的困难性,该方案被证明满足适应性选择密文攻击下的不可区分安全性,即满足选择密文安全性.与已有的标准模型下安全的基于证书密钥封装机制方案相比,该方案具有更高的计算效率和更低的通信带宽要求.