可证明安全的WLAN Mesh接入认证协议

针对目前WLAN Mesh安全解决方案中,一个新的Mesh设备在接入时要与其邻居及认证服务器之间进行两次802.1X认证和两次四步握手,大大增加了设备的接入时间和复杂性的问题,基于Diffie-Hellman密钥交换,采用签名认证方式,提出了一种新的接入认证协议。新的协议只需要四轮的协议交互便可以实现上述三者之间的相互认证和密钥确认,而不需要四步握手进行密钥确认。在DDH假定成立的前提下,新的协议在扩展模型中是可证明安全的,并且通信效率和计算效率都优于现有方案。     

通用可组合安全的匿名认证密钥交换协议

针对智能卡登录系统中远程身份认证和密钥交换问题,提出一种具有通用可组合安全的基于口令的匿名认证密钥交换协议——πpAKE.该协议采用匿名技术进行登录认证及信息存储管理,使用Diffie-Hellman(DH)算法实现数据交换,同时生成临时会话密钥.由此节省了登录的运算开销,且协议具有前向安全性.研究从形式化论证角度出发,利用通用可组合安全认证理想函数FAUTH模型和密钥交换理想函数FKE模型,构建πpAKE的通用可组合安全模型,并在此模型下,对πpAKE安全性进行论证,结果表明,该协议具有通用可组合的安全性能.     

通用可组合安全的Internet密钥交换协议

通过对新一代Internet密钥交换协议(IKEv2)进行分析,指出了其初始交换过程中存在发起者身份暴露和认证失败问题．而在无线接入网络环境下,对发起者身份等敏感信息进行主动保护是十分必要的．提出了一种适用于无线网络环境下的Internet密钥交换协议,该协议让响应者显式地证明自己的真实身份,实现了对发起者主动身份保护．并通过重新构造认证载荷,有效防止了认证失败问题．在通用可组合安全模型下,证明了该协议达到了通用可组合安全．性能分析和仿真实验表明,该协议具有较少的计算量和通信量．     

新的可证明安全的快速认证协议

利用Canetti-Krawczyk模型构造了一个快速认证协议,并对该协议的安全性进行了详细的分析和证明。分析表明,该协议实现了Canetti-Krawczyk模型下可证明安全的快速身份认证、密钥协商和密钥更新,且具有双向实体认证、完美的向前保密性等安全属性,满足了认证的安全需求。该认证协议仅需进行2轮交互即可完成,通信开销小,计算量较低,为用户间的相互认证提供了一种高效的解决方案。     

通用可组合认证密钥交换协议

物理不可克隆函数是指对一个物理实体输入一个激励,利用其不可避免的内在物理构造的随机差异输出一个不可预测的响应．针对传感器节点的计算、存储和通信能力有限等问题,基于物理不可克隆函数提出物理不可克隆函数系统的概念,并在此基础上提出一个新的用于无线传感器网络的认证密钥交换协议,最后在通用可组合框架内给出新协议抵抗静态敌手的安全性证明．相比于传统基于公钥加密的认证密钥交换协议,新协议不使用任何可计算的假设,而是基于物理不可克隆函数系统的安全属性实现,因此在很大程度上减少了计算和通信开销．该协议涉及较少的交互次数,认证协议计算仅仅需要散列函数、对称加密和物理不可克隆函数系统．     

一种新的Mesh网络漫游接入协议

针对无线Mesh网络现有接入认证协议不能满足节点漫游对性能和身份保护需求的问题,基于“通用可组合”安全模型的组合特性与匿名技术,采用将身份与归属域分开处理的方式,设计了一种满足漫游特殊要求——身份保护和认证时延的接入认证协议,该协议不仅具有可证明的安全性和必需的安全性质,而且通信效率优于原有协议。     

身份与位置分离网络中的可证明三元认证接入协议

针对身份与位置分离网络中接入协议的安全问题,提出一种可证明的三元认证接入协议,实现了所有通信实体(终端、接入交换路由器和认证服务器)的双向认证,有效地防止了未授权终端的接入,防止了伪造的认证服务器和非法的接入交换路由器.通过对Ballare-Rogaway模型的扩展和性能分析可知,该协议基于BR扩展模型是可证明安全的.     

基于Kerberos的无线Mesh网络身份认证机制

提出一种基于Kerberos的无线Mesh网络身份认证机制,该机制采用了上层认证和底层加密相结合的结构,可以很好地实现对Mesh节点的接入授权管理和密钥传输管理,快速地完成Mesh节点间的安全关联,从而增加了网络的安全性.     

一种新的Mesh网络漫游接入协议

针对无线Mesh网络现有接入认证协议不能满足节点漫游对性能和身份保护需求的问题,基于"通用可组合"安全模型的组合特性与匿名技术,采用将身份与归属域分开处理的方式,设计了一种满足漫游特殊要求———身份保护和认证时延的接入认证协议,该协议不仅具有可证明的安全性和必需的安全性质,而且通信效率优于原有协议。     

无需后端数据库的RFID认证协议

为了克服使用后端数据库模式的无线射频识别(RFID)安全协议存在的缺点,基于通用可组合
安全模型,设计了一个轻量级不需要后端数据库的RFID认证协议,该协议实现了匿名、不可
追踪和双向认证. 因该协议的实现仅使用伪随机函数原语,所以具有较高的效率. 通用可组
合安全性保证了该协议在任意的和未知的多方环境中运行时仍然是安全的.     

移动无线mesh网络路由协议关键问题研究

为设计和改进适合MWMNs的路由协议,分析了MWMNs路由协议性能的主要影响因素,设计了MWMNs路由协议应首先考虑的链路可用性问题,在此基础上对DSR协议应用于MWMNs进行了可行性分析。研究结果显示,DSR协议由于动态机制还不够完善,没有考虑链路的可用性和可用时间等问题,并不能完全适用于MWMNs。     

一种实用的传感器网络广播认证协议

由于Tree-Based μTESLA协议随着网络中广播节点数量的增加产生大量开销,使其适用的网络规模受到限制．通过构造μTESLA参数链(μTESLA Parameters Hash Chain)和μTPC树(μTPC Merkle Hash Tree),对Tree-Based μTESLA协议进行改进,提出基于μTESLA参数链的传感器网络广播认证协议．分析和验证表明,该协议能够抵抗针对μTESLA参数分发过程的DoS攻击,较Tree-Based μTESLA协议的计算、通信和存储开销小,能够立即撤销被俘节点的认证能力,且适用于大规模多广播节点传感器网络．     

无线认证协议Server-specific MAKEP的一种改进

无线认证协议用于无线环境中各参与方之间相互确定对方的真实身份,防止假冒攻击.如果无线认证协议出现安全漏洞,整个会话就没有安全性可言,还会影响随后会话的安全性.针对无线认证协议Server-specific MAKEP存在的认证性缺陷,给出了对协议的一种改进.对改进后的协议进行模型检验分析的结果表明,改进后的Server-specific MAKEP协议满足认证性和保密性.此外,把存储空间的占用从移动装置转移到了固定装置,减少了移动装置存储空间的占有率,从而提高了移动装置的通信效率.     

分簇无线传感器网络安全多路径路由协议

针对多路径路由难以有效抵御恶意节点对无线传感器网络网络层的安全攻击,将多路径路由与节点可信度评价进行有效结合,以节点的转发数据包成功率和包重传率作为直接信任指标,邻居节点对评价节点的信任作为间接信任指标,提出一种基于可信节点的安全多路径路由协议.为降低网络开销,只对簇头节点进行可信度评价,并利用节点信任值衡量下一跳节点的可靠性,计算能达到期望安全性要求的多路径数目,进行信任多路径路由的建立.仿真结果表明:该协议能够有效地均衡路由能耗,延长网络生存周期,保障无线传感器网络的路由安全.     

安全高效的空间信息网中群组密钥交换协议

为实现空间信息网中保密通信,提出一个适用于空间信息网的群组密钥交换协议。协议充分考虑了空间信息网中结点的通信特点,所有的卫星结点根据其所在的轨道划分为不同的簇。协议由簇内阶段、簇间阶段和密钥分发阶段组成,每个结点均生成密钥贡献值并汇总至地面中心结点,中心结点生成密钥并秘密发送给每个结点。证明了协议具有语义安全性,进行了通信复杂度分析并利用NS2软件进行了仿真验证。结果表明:相比其他协议,本文协议在空间信息网中应用时具有较高的通信效率。     

Ad Hoc网络单向安全路由协议

针对现有的反应式路由协议普便缺乏有效的安全保障机制,对AODV、DSR等路由协议存在的主要安全隐患进行了研究,提出了一种只在路由请求过程中利用节点间相互签名来验证节点和琏径的有效性,而在返回源节点的路由应答过程中,中间节点不需要进行相互签名验证的Ad Hoc网络单向安全路由协议.