虚拟专用网安全隧道技术方案

提出了一种虚拟专用网安全隧道技术方案。在这个方案中，将L2TP与IPSec相结合，L2TP的数据报文经过Ipsec的封装，构成安全报文。首先在传输层对数据报进行L2TP封装，然后在网络层进行IPSec协议封装，在接收方进行相对应的拆封处理。这样不仅利用了L2TP的封装机制，而且对数据分组提供了安全性保护，并解决了IPSec只支持IP协议的问题，保证了多数据报在隧道中传送的安全性，能够满足远程用和企业的安全性要求。并结合企业文档管理系统提出了虚拟专用网的应用方案。     

增强型第二层隧道协议eL2TP的加密机制

L2TP是工业标准的Internet隧道协议，由于它不提供数据的加密机制，不能保证数据的机密性．故提出增强型第二层隧道协议eL2TP解决方案，该方案扩展了L2TP协议，借助微软点到点加密协议MPPE保证数据的机密性．     

基于ECC的SIP身份认证密钥协商协议

为在SIP认证协议中实现用户匿名性并提高协议的安全性能，将挑战/应答机制、椭圆曲线密码技术和口令认证相结合，提出一种新的匿名SIP认证协议。协议仅使用少量的椭圆曲线点乘运算，既保障认证的安全性又有效降低了整体运算量。协议在认证过程中引入高熵随机数，认证双方使用挑战/应答机制的三次握手实现双向认证，同时协商生成后续会话所需密钥。通过对协议的BAN逻辑分析和多种已知攻击的非形式化分析，证明该协议具有较高的安全性能。经与相关协议的效率比较，协议认证过程所需的运算量更小。     

移动IP认证协议

在对移动IP协议的基本工作原理以及移动口协议存在的安全威胁进行分析的基础上，给出了移动IP认证协议的安全目标，并提出了一个安全移动口注册协议，对协议的安全性进行了详细分析．     

基于RADIUS/EAP的WLAN认证及其安全性分析

介绍了基于RADIUS/EAP协议的IEEE 802.1x无线局域网的接入认证过程与结构,针对无线局域网访问控制具有的三方协作过程特点,分析了无线局域网的安全机制,指出了或者由于协议自身缺陷或者由于不恰当的系统实现或者由于协议恶化,均可以导致有无线局域网的6个方面的安全漏洞,指出了需充分利用RADIUS/EAP分组结构的数据段提供加密认证并且还需设计双门接入的认证机制。最后比较了常见的四种安全接入方案,指出了在不同程度和范围内具有一定的抵御各种攻击的能力。     

L2TP虚拟专用网

从L2TP协定入手,介绍了L2TP协议的基本技术和拨号访问服务器及L2TP网络服务器,详细阐述了在此基础上建立的认证模块、日志模块和LAC模块,并对用L2TP创建VPN进行了探索,在多种UNIX环境下建立了原型,积累了建立VPN的经验,为其他VPN的建立打下了基础。     

Web服务器的安全与认证技术

提出了Web服务器安全的两个层次；数据传输的安全和内容的安全。介绍了Web服务常用的安全技术，对称密钥加密系统和非对称密钥系统。论述了SSL安全协议的安全机制和它在Web上的应用。介绍了利用Windows NT作为Web服务器架设企业网站如何进行网站安全认证的方法。     

基于间接认证链的输入测试证明方法

针对无法运用认证测试方法中的输入测试对Yahalom协议进行验证的问题,提出一种基于间接认证链的输入测试证明方法。该方法引入间接一致性的概念,解决了Yahalom协议中存在的不完整的挑战-应答机制和输入测试在原证明方法上只具备直接性这2个问题,成功地将输入测试运用于验证Yahalom协议,并将该证明方法推广到对Yahalom-Paulson协议的验证。新的证明方法扩展了输入测试的应用范围。     

个人通信系统中的移动用户登记认证协议

基于个人通信系统的公钥Ｐ＆Ａ模型，设计了用户位置登记认证协议，并采用ＢＡＮ认证逻辑对协议的安全性进行了形式化证明，对协议的计算复杂性进行了定性分析．分析表明，所提出的协议与现有的协议相比具有许多新的安全特性．     

一种Gen2v2标准下的高效隐私保护认证协议

EPC Class-1 Generation-2 Version-2（Gen2v2）标准不仅继承了原有标准的通信距离长和读取率高的优点,而且提出了一个全新的安全架构以提高系统的安全性。目前,Gen2v2标准安全架构下的安全认证协议设计已经成为该领域的研究热点之一。该文在分析现有符合Gen2v2标准的安全认证协议的基础上,提出了一种新的符合Gen2v2标准的高效隐私保护认证协议。该协议不仅具有数据机密性、标签匿名性和前向安全性,而且能够抵御假冒攻击、位置追踪攻击、嗅探攻击、重放攻击和去同步攻击。与现有协议相比,该协议具有较小的通信和时间开销,更加适合大规模的部署。     

轻量级RFID双向认证协议设计与分析

针对低成本RFID系统常用的基于Hash运算认证协议的安全性进行研究,分析了该类协议存在的安全缺陷和不足,给出设计低成本RFID认证协议满足安全需求的思路,提出了一种轻量级的RFID双向认证协议,运用BAN逻辑的形式化分析方法,对该协议的安全性进行证明。结果显示,该认证协议能满足RFID应用中面临的机密性、完整性和可追踪性的安全需求,可抵制跟踪、标签假冒、重放等攻击,弥补已有基于Hash运算的认证协议中存在的安全缺陷,更适合低成本RFID系统对应用安全的需求。     

一种适合NGN的鉴别业务框架的研究一种适合NGN的鉴别业务框架的研究

鉴别业务是为下一代网络(NGN)中的各种应用提供安全保障的基本服务,但目前NGN中缺乏其相应的实现机制。通过对鉴别业务在NGN中的位置和需求的分析,提出了一种在NGN中构建鉴别业务的体系结构。并在此基础上,提出了一种利用改进的Kerberos协议作为该体系结构中鉴别机制的实现方案。最后使用BAN逻辑对该协议的正确性进行了证明。     

移动IP中基于时戳的注册协议

讨论了移动IP注册过程中的安全问题,提出了基于时戳的安全注册协议,由公钥密码体制和时戳相结合来实现实体认证．由于移动结点的计算能力有限,所以在移动结点和家乡代理之间的相互认证中也使用了共享密钥密码体制,以防重放攻击．     

通用可组合安全的Internet密钥交换协议

通过对新一代Internet密钥交换协议(IKEv2)进行分析,指出了其初始交换过程中存在发起者身份暴露和认证失败问题．而在无线接入网络环境下,对发起者身份等敏感信息进行主动保护是十分必要的．提出了一种适用于无线网络环境下的Internet密钥交换协议,该协议让响应者显式地证明自己的真实身份,实现了对发起者主动身份保护．并通过重新构造认证载荷,有效防止了认证失败问题．在通用可组合安全模型下,证明了该协议达到了通用可组合安全．性能分析和仿真实验表明,该协议具有较少的计算量和通信量．     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

基于端到端协议的RFID双向认证协议

RFID是一种非接触式自动识别技术。为了解决RFID系统存在的诸多安全问题,本文提出了一种基于端到端协议的RFID双向认证协议,分析了该协议的安全性,对比了RFID几种常见的基于密码技术的安全协议,表明了本方案在减少阅读器与标签通信传输回合数的同时可有效避免欺骗、中间人攻击、重放攻击和冒充攻击。     

标准模型下基于无证书密钥封装的口令认证密钥交换协议

为确保协议的安全性,提出了一种标准模型下可证安全的口令认证密钥交换协议。利用无证书密钥封装机制来传递口令等用户身份验证信息;基于DDH(decision Diffie-Hellman)假设,在标准模型下证明了新协议的安全性。结果显示,该协议是前向安全的,可实现用户间的双向认证,能够有效地抵抗多种攻击。     

一种改进的TETRA系统鉴权协议

提出了TETRA(terrestrial trunked radio)系统的新的鉴权协议,协议将鉴权算法的运行实体设为HLR(home location register),而不是VLR(visitor location register),当无法保证VLR和HLR之间的通信安全时,所提出的协议仍然可以有效避免产生对已知明文攻击的开放性,同时有利于满足将来网间漫游和认证算法自主性的需要,对于提高实际数字集群通信系统的安全性具有十分重要的意义。