串空间中数据机密性与起源性的新证明

串空间中理想及其推论大大简化了安全协议的分析,但现有的定理只适用于基于对称密钥的安全协议,不适用于基于非对称密钥的安全协议,因此使用原始串空间理论对基于非对称密钥的协议安全性分析会非常繁琐.为了使理想的概念也可同时应用于基于非对称密钥安全协议的分析过程,提出并证明了可同时应用于基于对称密钥和非对称密钥安全协议的数据机密性和机密数据起源性定理.首先,对原始的串空间理论进行了扩展,定义了子串和一组正则串机密数据子串,对数据机密性定理进行了重新定义,在数据机密性定理的定义中,考虑到对非对称密钥安全协议的分析,加入了私钥的机密性条件,并从正则串和攻击者串两个角度重新对数据的机密性进行了严格完整的证明.然后,又从数据的机密性定理出发,首次提出了机密数据的起源性定理.该定理证明了安全协议中的机密性数据具有唯一起源性.由于两个新定理同时考虑了对称密钥和非对称密钥安全协议的情况,因此可以同时应用于基于对称密钥和非对称密钥的协议的安全性分析.与原始的串空间理论相比,数据机密性和机密数据起源性定理的提出可以大大简化安全协议的分析步骤,提高分析的效率.最后,应用数据机密性和机密数据起源性定理,重新分析了NSPK协议,说明了其存在攻击的原因.     

数据起源安全模型研究

数据起源是在该数据的生命周期中对数据当前状态及转化行为的记录.如果缺乏有力的保护措施,起源记录很容易受到意外破坏,甚至是恶意篡改.研究了数据起源本身特有的安全需求以及广播加密方案,构建了新的数据起源安全模型.该模型使用密钥树再生长的方法,解决了机密性需求中审计用户数量动态变化的问题;为了增加签名的安全性,引入了时间戳(Time Stamp)技术.     

一个基于活体指纹的用户身份认证协议及其形式化分析

基于认证协议要求,提出了一个基于活体指纹的用户身份认证协议,并运用BAN逻辑对该协议进行了形式化分析.除形式化分析外,还从安全性和执行效率方面对该协议进行了定性分析,分析表明该协议能够使网络上的双方完成双向认证,有效地抵抗重放攻击,保证认证信息的机密性.并且具有良好的执行效率.     

一个基于活体指纹的用户身份认证协议及其形式化分析

基于认证协议要求,提出了一个基于活体指纹的用户身份认证协议,并运用BAN逻辑对该协议进行了形式化分析.除形式化分析外,还从安全性和执行效率方面对该协议进行了定性分析,分析表明该协议能够使网络上的双方完成双向认证、有效地抵抗重放攻击、保证认证信息的机密性,并且具有良好的执行效率.     

一个基于活体指纹的用户身份认证协议及其形式化分析

基于认证协议要求，提出了一个基于活体指纹的用户身份认证协议，并运用BAN逻辑对该协议进行了形式化分析。除形式化分析外，还从安全性和执行效率方面对该协议进行了定性分析，分析表明该协议能够使网络上的双方完成双向认证、有效地抵抗重放攻击、保证认证信息的机密性，并且具有良好的执行效率。     

CCMP协议的量化可验安全分析

为了分析无线局域网IEEE802.11i标准中替换存在严重安全问题的WEP协议的CCMP协议的安全性能,利用Bellare的量化可验安全模型对CCMP建立形式化分析模型,从数据机密性保护和完整性保护两个方面,建立与攻击者攻击成功的概率有关的优势函数对CCMP协议进行量化可验分析.分析表明,CCMP协议的认证性和机密性对应的攻击成功概率分别为O(n)×2-64和O(n2)×2-128.该协议设计达到了预期的安全设计目标,满足无线局域网安全需求.     

基于符号模型自动分析隐私保留的用户认证协议安全性

利用大数据特征,PPMUAS协议声称实现了移动用户的隐私保护和认证,但并没有给出严格证明.故本文首先应用Applied PI演算对PPMUAS协议进行形式化描述,然后分别使用非单射一致性和Query对认证性和秘密性进行建模,最后把PPMUAS协议的Applied PI演算模型转换为安全协议分析工具ProVerif的输入,应用ProVerif对其进行形式化分析与证明.结果表明PPMUAS协议具有秘密性,但缺少认证性,并给出了解决方法.     

对SLMAP认证协议的被动攻击

无线射频识别(RFID)系统的双向认证机制可以有效的保护标签的认证性和机密性。文中对提出的一个超轻量级RFID认证协议—SLMAP协议进行了被动攻击。攻击表明,SLMAP协议并不能抵抗被动攻击。通过侦听2轮阅读器和标签的认证交互消息,标签共享的全部秘密信息都可以被推导出来。     

云计算平台下的数据起源安全方案

讨论了云计算平台下的起源系统的安全,依据这些安全问题提出新的数据起源安全方案.利用数字签名为起源数据提供不可伪造性保障;用会话密钥加密修改日志,并用门限加密方案对会话密钥加密,将信任分布化,提供机密性保障.     

WINDOWS 2000中的IPsec配置

Windows 2000支持Internet安全协议IPsec，对信息的传输提供了机密性、完整性和认证性。分析Windows 2000中的IPsec工作机制，给了IPsec安全策略的配置方法。     

基于认证测试的通用安全协议设计方法

以认证测试方法为基础,提出了一种通用的安全协议形式化设计方法,使用该方法对Needham-Schroeder(NS)公钥协议进行了重新设计.最后通过认证测试方法证明了重新设计的NS协议能够满足安全协议的保密性、身份认证和数据认证的要求,并且有效避免了原NS协议存在的中间人攻击问题.     

MAC与IPSec认证

分析了目前的开放网络环境通信传输面临的安全威胁，同时介绍消息认证方法和IPSec协议如何进行消息认证和数据完整性验证，以及所使用的MAC算法。这对在电子商务和其他通信传输设计中的消息认证和数据完整性检测有十分重要的意义。     

基于Strand Space模型的CCITT X.509协议分析

运用前沿的安全协议形式化分析方法--Strand Space模型理论,对CCITT X.509协议进行了分析,指出了该协议在保密性和认证正确性方面的缺陷,得到了BAN逻辑分析没有得到的保密性缺陷和相同的认证正确性缺陷.同时提出了改进的X.509协议,并用Strand Space模型论证了改进协议的保密性和认证正确性.     

具有优化和安全特征的基于模式码比较的WSN数据融合协议

数据融合及其安全性是无线传感器网络(wireless sensor network,WSN)实现高效、安全通信的关键.提出了一种具有优化和安全特征的模式码比较无线传感器网络数据融合协议,在该协议中,基于非物理意义的模式码保证了数据的机密性,传感节点利用模式比较算法实现数据融合,结合一种优化的发送节点选择机制,在进行数据...     

基于Merkle树的起源完整性解决方案

分析了数据起源需要满足的完整性要求和可能遭受到的完整性威胁,制定了通过电子签名和哈希图等技术手段来保证数据起源完整性的方案.阐述了该方案的安全性,并提出了安全起源的下一步研究内容.     

A Novel Video Data.Source Authentication Model Based on Digital Watermarking and MAC in Multicast

A novel video data authentication model based on digital video watermarking and MAC （message authentication code） in multicast protocol is proposed in this paper, The digital watermarking which composes of the MAC of the significant vid eo content, the key and instant authentication data is embedded into the insignificant video component by the MLUT （modified look-up table） video watermarking technology. We explain a method that does not require storage of each data packet for a time, thus making receiver not vulnerable to DOS （denial of service） attack. So the video packets can be authenticated instantly without large volume buffer in the receivers. TESLA （timed efficient stream loss tolerant authentication） does not explain how to select the suitable value for d, which is an important parameter in multicast source authentication. So we give a method to calculate the key disclosure delay （number of intervals）. Simulation results show that the proposed algorithms improve the performance of data source authentication in multicast.     

针对指纹模板的可逆信息隐藏编码方法

通过融合指纹、人脸、口令等用户身份信息来进行多模态认证可以提高身份认证系统的安全性.而利用信息隐藏技术,可以将几种身份信息嵌入到某一种生物模板中实现安全存储.本文介绍了一种以指纹模板为隐藏载体的多模态认证技术,该技术的关键问题是要保证嵌入信息后的指纹图片的质量,以确保匹配的精度.为此,提出了一种将二元信息稀疏化的数据嵌入编码方法,利用这种编码可以有效降低数据嵌入过程中对指纹图片的修改,从而改善载密图片的质量,以达到提高匹配精度的目的.该方法嵌入脆弱水印,用于指纹模板的完整性认证.     

一种互认证密码协议的设计和分析

为在不安全的网络中建立安全的通信，提出了一种用于网络管理互认证的具有较高效率的密码协议，介绍了该密码协议的相关设计背景。总结了若干关于密码协议设计的原则，通过运用经过补充的BAN逻辑对该协议进行形式化分析，并通过计算机对该协议的握手协议过程进行仿真。仿真结果表明，在被加密协议参数相同的条件下，该协议减少了系统开销，提高了协议效率。     

IPv6数据认证及认证算法的研究

下一代互联网的核心协议IPv6,其安全性有了很大的提高。该文从IPv6基本头标和认证头标的格式入手,对IPv6认证数据的计算、AH的处理过程以及认证算法进行了详细描述,并对两种常用的认证算法进行了分析比较,阐述了认证算法的限制以及可以采用哪些手段来降低这种负面影响,最后针对具体应用提出了建议。     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。