标准模型下基于无证书密钥封装的口令认证密钥交换协议

为确保协议的安全性,提出了一种标准模型下可证安全的口令认证密钥交换协议。利用无证书密钥封装机制来传递口令等用户身份验证信息;基于DDH(decision Diffie-Hellman)假设,在标准模型下证明了新协议的安全性。结果显示,该协议是前向安全的,可实现用户间的双向认证,能够有效地抵抗多种攻击。     

不需加密的三方口令认证密钥交换协议

现有三方口令认证密钥交换协议都需要某种加密方案。本文应用扩充口令的思想给出了一种新的三方口令认证密钥交换协议，省去了加密的环节；每个用户分别与可信任的服务器共享一个口令，任意两个用户可以依靠服务器进行身份认证和密钥交换。     

通用可组合安全的匿名认证密钥交换协议

针对智能卡登录系统中远程身份认证和密钥交换问题,提出一种具有通用可组合安全的基于口令的匿名认证密钥交换协议——πpAKE.该协议采用匿名技术进行登录认证及信息存储管理,使用Diffie-Hellman(DH)算法实现数据交换,同时生成临时会话密钥.由此节省了登录的运算开销,且协议具有前向安全性.研究从形式化论证角度出发,利用通用可组合安全认证理想函数FAUTH模型和密钥交换理想函数FKE模型,构建πpAKE的通用可组合安全模型,并在此模型下,对πpAKE安全性进行论证,结果表明,该协议具有通用可组合的安全性能.     

高效的基于口令的三方密钥交换协议

基于口令的三方密钥交换协议,通过一个保存了客户的口令或是关于口令的验证值的可信第三方服务器,实现了两个需要相互通信的客户的身份认证和密钥协商。但由于口令的低熵性,使得现有的很多基于口令的三方密钥交换协议容易遭受字典攻击。在现有协议的基础上,利用对称加密算法和Diffie-Hellman两方密钥交换方法,提出了一个高效的基于口令的三方密钥交换协议。该协议能抵御各种现有的攻击,并提供完美的前向安全性。     

基于椭圆曲线密码的可认证密钥协商协议的研究

基于椭圆曲线Diffie-Hellman问题,提出采用共享口令机制的基于椭圆曲线的可认证密钥协商协议(ECAKA),协议安全性依赖于椭圆曲线离散对数难题。该协议提供身份认证、密钥确认、完美前向安全性,并能够防止中间人攻击。     

利用信任模型构建安全路由协议

摘要：传统网络中的身份认证工作一般都是由集中式的认证机构来完成。在移动Ad Hoc网络中,由于没有固定基站或中心节点,所以很难实现集中式的身份认证机制。只能寻找其它更合适Ad Hoc网络的机制来进行认证。分析了动态信任模型和自组织公钥管理方面的主要问题和研究方法。提出了一种无需任何信任第三方认证服务器的动态信任模型,在该模型中通信节点自己产生公私密钥对并颁发证书,邻居节点之间通过相互认证的过程来建立路由信息,利用动态信任模型组建一个可信任的Ad Hoc网络,从而保障网络通信的安全     

基于Weil配对的口令认证组密钥交换协议

针对以往组密钥交换协议中存在的计算效率和安全性方面的问题,提出一种基于Weil配对的口令认证组密钥交换协议.将三叉逻辑密钥树结构与Weil配对相结合,使用简单的点乘运算和双线性配对运算来替代复杂的求幂运算,经过3轮通信来完成组密钥的建立和认证过程,实现安全的密钥交换.实验结果表明,该算法降低了逻辑密钥树的高度和复杂性,进一步提高了计算效率.在安全性方面,能够抵抗在线和离线字典攻击等一系列干扰,具有向前安全性.     

可证安全的口令认证/密钥交换协议的研究动态

口令认证／密钥交换（PAKE协议）协议允许通信双方利用短小易记的口令在不安全的网络上进行相互认证并建立安全的会话密钥,它有着非常广泛的实际应用背景和重要的理论意义。文章介绍了PAKE协议的研究发展动态、PAKE协议的通信模型和PAKE协议标准化工作的研究进展,分析了现有标准候选协议的优劣,指出了需要进一步研究的问题。     

关于S-3PAKE协议的漏洞分析

通过分析一种基于CCDH假设的简单三方密钥交换协议(S-3PAKE协议),指出了该协议未对攻击者可能的身份进行全面考虑,缺乏完备认证机制的缺陷,阐明了当攻击者本身就是与服务器共享一对认证口令的合法用户时,该协议不能有效地抵抗在线口令猜测攻击,并提出了一种对S-3PAKE协议进行在线口令猜测攻击的具体方法。使用该方法,攻击者只需与服务器进行通信,即可对其他用户的口令进行猜测分析。     

一种适用于HOTP的一次口令生成算法

采用HMAC SHA-1杂凑函数和动态截短函数设计了一次性口令算法HOTPC．该算法具有计算速度快、安全性高的特点，易于采用令牌或IC卡硬件实现．因此．该算法适用于HTOP认证架构．此外．提出了基于令牌的认证协议应具备的3个基本条件．并设计了一种基于计数器同步的认证协议．该协议通过在服务器端设置最大认证尝试次数来防止蛮力攻击．并设置前顾参数来实现计数器重同步．分析表明．谈协议能够有效抵抗蛮力攻击和截获／重放消息等常见攻击．具有很高的安全性．     

面向流式数据认证的变色龙认证树算法研究

针对流式数据应用的场景及其安全性需求,对流式数据认证相关内容进行研究,构造基于变色龙认证树算法的流式数据认证模型。在这个算法模型下,实现流式数据的添加、查询、认证等操作。动态变色龙认证树算法插入数据更稳定,查询验证时返回的认证路径更短,因此减少了时间、空间开销。测试结果表明动态变色龙认证树在插入、查询、验证效率上有了较大提升。     

一种轻量级RFID安全协议的改进

针对相关文献提出的基于异或和哈希算法的轻量级射频识别认证技术,对其潜在的危险进行了深入的分析。在此基础之上,结合应用于Internet或应用系统中的传统的安全机制和一些轻量级的节省资源的安全机制,对上述协议进行改进,提出一种新的轻量级射频识别安全协议。该协议适用于现实的系统中,以避免已确认的潜在危险,并充分考虑在RFID系统中,RFID标签低成本的要求、强大的约束性以及对外界不可抗拒性等限制RFID发展的主要因素。     

基于身份的车载网批量匿名认证方案研究

针对车载网匿名认证的安全与效率问题,运用双线性对理论,提出一个基于身份的车载网批量匿名认证方案.通过车载单元的防篡改装置与可信中心协同完成车辆的身份匿名和消息的签名,进一步增强方案的安全性,同时减轻可信中心的负载;通过批量验证,提高车载网匿名认证效率.安全性和效率分析结果表明,所提方案不仅满足匿名性、不可伪造性和不可否认性等安全特性,而且具有更好的时间复杂度和空间复杂度.仿真结果显示,所提方案在有效性和可行性方面均取得了较好的效果.     

基于Apache的Web安全技术的应用研究

对Apache的Web服务器安全性进行研究，分析了客户认证对受保护资源访问控制的策略，论证了数据加密和SSL协议对Web安全传输所起的作用，并在Linux和Solaris系统上实现了Apache的Web服务器的安全应用。     

基于耦合动态整数帐篷映象格子模型的轻量级 Hash 函数

基于耦合动态整数帐篷映象格子模型构造了一种适用于 RFID 认证系统的轻量级 Hash 函数。该算法具有输出任意字节长度散列值的能力,定义在整数集上,克服了目前主流混沌密码算法需要进行浮点运算的缺陷,适用于硬件资源有限的系统。实验及仿真分析结果表明,该 Hash 函数具有较高的安全性,能够满足 RFID 认证系统的安全需求。     

SIP安全机制研究

会话初始协议(SIP)是IETF制订的多媒体通信系统框架协议之一,也是3GPP的IP多媒体子系统(IMS)的重要组成部分。面对复杂、开放的因特网环境,SIP协议自身缺乏有力的安全机制,使其在安全性方面显得较为薄弱。该文从分析SIP的安全威胁入手,针对SIP协议报文明文传送、缺乏有力的身份认证这两大脆弱性,从数据加密和身份鉴定两方面研究了相应的安全解决方案,讨论了如何利用现有技术和手段改善SIP的安全性,并提出了进一步改善SIP安全性的一些思路。     

一个基于合成泛hash函数族的消息认证码

为有效认证多个字符串,提出一个输入可为字符串向量的消息认证码:VHMAC.VHMAC基于泛hash函数族的合成.为高效处理字符串向量,定义一个并行的泛hash函数族,其结果输入另一泛hash函数.将普通消息认证码的安全性定义扩展到输入为字符串向量的情形.在底层分组密码是伪随机置换的假设下,证明了VHMAC的安全性.此外,VHMAC还具有可预处理性和可并行运算性.