Ad Hoc中基于双线性对和证书的组密钥管理协议

针对当前多数分布式组密钥管理协议不能提供密钥认证及不能抵御主动攻击的安全问题,设计了满足认证性的CBPSTR(certificate- owned and bilinear pairing- based STR)协议.该协议采用特殊的三叉密钥树结构,结合STR和TGDH协议并引入证书和双线性对密码体制.CBPSTR协议包括6个子协议:建立多播组、成员加入、成员离开、合并多播组、拆分多播组和更新组密钥.安全性分析表明CBPSTR协议在计算上是安全的.与STR协议进行比较,CBPSTR协议具有较低计算和通信代价.由于具有成员间的认证性,CBPSTR能抵抗中间人攻击、密钥泄漏假冒攻击和未知密钥共享攻...     

车联网中面向服务的隐私保护群密钥管理方案

现有的采用密钥树结构的群密钥管理方案在降低群密钥管理开销方面不彻底,且没有考虑车辆的身份隐私.笔者提出一个面向服务的隐私保护群密钥管理方案,利用车辆假名绑定服务保护身份隐私,基于中国剩余定理设计群密钥因子,使服务群的成员能以一个模运算获得群密钥.对其进行分析表明:笔者方案比经典方案具有更高的安全性、较少的计算和通信开销.     

使用双线性配对实现组播密钥管理协议

目前多数Ad hoc网络中的组播密钥管理协议都是为了提高某一方面的代价而牺牲其他方面的代价,这与Ad hoc网络对带宽和计算资源的要求相矛盾.为解决这一矛盾,提出了新的分布式组播密钥管理方案,即基于双线性配对密钥树的TPAN协议.TPAN密钥树结合了PSTR方案和PTGDH方案的优点,在主干网络中使用了PSTR密钥树的结构,在部分节点分枝为PSTR密钥子树或PTGDH密钥子树.经过对协议通信代价和计算代价的比较及安全性分析,结果表明,该方案在通信代价和计算代价之间达到了平衡,都具有较小的代价,并且是安全的.     

计算有效的分布式组密钥管理方案

基于Diffie-Hellman密钥交换协议以及逻辑密钥树的思想,提出了一种分布式组密钥管理方案.与当前基于DH密钥交换协议中性能最优的TGDH方案相比,组成员加入时,模指数运算次数最多的组成员的模指数运算开销降低了33%.如果不引起逻辑密钥树平衡性失调,组成员退出时新方案中不需要模指数运算,即使引起逻辑密钥树平衡性失调,新方案中指数运算最多的组成员的模指数运算开销也降低了33%.     

高效的分布式组密钥协商机制

为了解决现有的组密钥协商机制需要各组用户在本地维护完整的密钥树信息,从而严重制约安全组播系统可扩展性的问题,提出一种高效的分布式组密钥协商机制(EDKAS).在该机制中,每个组用户仅需维护一个五元组结构的密钥树分支,降低了用户的存储开销和通信开销.同时,该机制采用分布式树平衡算法,使得尽管每个组用户仅维护部分密钥树信息,仍可以很好地保持密钥树的平衡.实验结果表明: EDKAS可以有效地降低维护密钥树的存储开销和通信开销,可适用于较大规模的分布式安全组播系统.     

基于逻辑密钥树的组播密钥管理研究进展

介绍了基于逻辑密钥树的组播密钥管理方案,以及针对逻辑密钥树的改进方案.分析了各个方案如何从组播应用的要求和限制出发,在满足安全需求、提高服务质量的同时尽量降低开销,指出各个方案都是在安全性、服务质量和开销等3个方面的要求之间进行适当的折衷与平衡.通过对各个改进方案的出发点及其优缺点的分析,为如何根据实际情况设计适合具体组播业务的密钥管理方案提供了参考.     

Ad Hoc网络中基于簇的安全组播密钥协议

针对Ad Hoc网络中Joux协议不能抵抗主动攻击的问题,提出了一种基于簇的安全组播密钥协议.该协议采用基于身份的公钥密码体制,增加时间戳机制,同时不使用认证中心,对簇内成员进行身份认证.安全分析表明:该协议能够很好地抵抗Ad Hoc网络中的主动和被动攻击,安全地协商组密钥.性能分析表明:相对于使用认证中心的协议,减少了协议中包括通信轮数、通信次数、广播次数、消息总量等的通信开销,降低了协议中包括点乘、配对、指数运算的计算开销.     

安全群组通信系统中的密钥分配机制

提出了一种基于B-树结构的新的组密钥分配方案(BKA),包括集中式分配协议(C-BKA)和分布式分配协议(D-BKA).该方案提供了密钥独立性,能够确保密钥分配的前向、后向安全性,并且能够抵抗联合攻击.集中式方案虽然不可避免地存在单失效点,但协议的计算量和通信量都较小,能够高效地处理成员的加入与退出,扩展性好,适用于任意大小的群组.分布式方案与集中式相比计算量虽有所上升,但具有密钥产生公平性,不会形成单失效点,通信量亦较小,同样能够很好地适应群组的动态变化,扩展性好,对中小规模分布安全组通信系统尤其适用.     

多密钥隐私保护决策树评估方案

为了保护机器学习中决策树数据和模型的隐私,并减少计算和通信开销,提出了一种多密钥隐私保护决策树评估(multi-key privacy-preserving decision tree evaluation,MPDE)方案。利用分布式双陷门公钥密码(distributed two-trapdoor public-key crypto,DT-PKC)系统对所有数据进行加密。基于跨域安全加法协议实现来自不同公钥加密的两个密文的加法,改进原有的安全比较协议以支持多用户多密钥,保护了请求信息、分类结果和决策树模型的隐私。引入可信第三方密钥生成中心,减少了实体之间的通信开销,且在密钥分发完后离线。采用服务代理商代替用户与云服务器交互,降低了用户与云服务器之间的通信开销和用户的计算开销。安全与性能分析表明该方案具有高隐私性和高效性。同时,仿真实验显示该方案具有更低的计算开销。     

一种基于椭圆曲线密码体制的组密钥约定方案

在分析基于Diffie—Hellman的组密钥约定协议BD和TGDH的基础上，提出一种新的基于椭圆曲线密码体制的组密钥约定方案TGDH—BD。由于该方案建立在椭圆曲线离散对数计算难题之上，最大可能地减少了通信开销与计算工作量，因而更安全有效，适合分布式网络环境的组应用。     

基于树结构的Wimax网络组密钥管理方法

为了改善802.16e安全标准中组密钥管理的安全与应用性能,首先分析了常见的组密钥管理机制和Wimax无线网络的组密钥管理解决思路,利用密钥树和单向函数g,提出了一种改进的基于树结构的Wimax组密钥管理方法,设计了节点加入和离开网络时组密钥更新的过程.分析结果表明,与传统的逻辑密钥分层方案(logical key hierarchy,LKH)相比,该方法在密钥存储、密钥更新、通信量以及组管理者的计算量方面均有较好的性能.为Wimax网络的组密钥管理提供了一条有效解决思路,具有较高的实际应用价值.     

基于身份的移动网动态可认证群组密钥协商协议

群组密钥协商是保证无线网络群组安全通信的重要工具之一。2007年,Tseng等提出一种适合无线移动网络的高效群组密钥协商协议。对Tseng协议安全性进行分析,发现Tseng协议不具备认证性,不能抵御主动攻击。因此,通过改进Tseng协议,提出一种新的动态可认证群组密钥协商协议。该协议基于身份的公钥密码体制,降低了建立和管理公钥基础设施的代价;同时,协议支持节点间的相互认证。分析结果表明：协议满足群组密钥所要求的安全准则,降低了普通节点的计算和通信成本。     

基于状态密钥树的安全群组密钥分发协议

为了减少群组密钥分发协议的存储代价,提出了一种基于状态密钥树的群组密钥分发协议.给出了状态密钥树的构造方法.分别给出了当组员加入/离开通信组时的群组密钥分发协议的过程.分析了协议的安全性和性能.状态密钥树将组控制者密钥服务器的存储代价从O(n)减少到O(logdn).     

一种无线传感器网络中基于簇的安全协议

在SPINS,SECOS协议的基础上,提出了基于簇的安全协议(cluster-based security protocol,CBSP).CBSP中安全的簇首选举及基于组播认证的密钥更新机制,有效提高了簇及密钥管理的安全性,减少了节点及网络资源消耗.利用串空间模型对协议进行形式化分析,验证了其正确性.CBSP中基于簇的入侵检测机制有效地抵御了外部节点的攻击.基于IDS的更新响应机制减少了簇首和密钥更新周期,进一步优化了CBSP.仿真结果显示,CBSP能很好地适应无线传感器网络特性,当网络遭受选择转发攻击时,CBSP能有效抵御攻击,减少资源损耗.     

WSN中节点可移动场景下分簇式组密钥管理方案

针对无线传感器网络中节点能否移动的问题,结合中国剩余定理和椭圆曲线密码体制相关理论,提出了一种WSN中节点可移动场景下的分簇式组密钥管理方案.网络采用簇内分组思想,将组密钥管理分为2级,一级管理为簇头节点管理本簇内组长节点,二级管理为组长节点管理组内成员节点.其中一级管理采用中国剩余定理理论产生簇密钥,将计算量转交给基站,同时也节省了节点的存储开销;二级管理采用椭圆曲线密码体制产生组密钥,且每个小组共享的组密钥各不相同.移动节点重新加入网络时,由预加入簇的簇头节点对移动节点的历史更新信息进行确认,并对其数字签名进行验证,确定身份合法后将其分配给簇内成员尚有空缺的组.实验和分析结果表明,该方案中传感器节点存储开销低、能耗低,且用较小的开销实现了较高的安全性,更适合节点资源受限且易遭受攻击的无线传感器网络.     

安全多播中密钥更新机制的性能优化

针对安全多播中密钥更新的可扩展性问题,提出了一种改进的逻辑密钥分层机制.在更新密钥树时,由密钥服务器产生随机数,而多播组成员使用单向散列函数可以直接计算出变动路径中的全部或部分密钥,减少了更新密钥的计算量和在多播信道中的通信量,因此使密钥服务器的平均代价减少约1/3.在此基础上提出了适合于这种改进机制的批处理更新算法,可以对多次成员变动仅进行一次更新操作.实验分析表明,与原机制的批处理更新算法相比,该算法又可使密钥服务器的代价至少减少1/3.因此,采用这种改进机制的批处理更新算法可以进一步提高计算和通信性能.     

一种新的组播安全通信密钥管理协议

在分析群组通信安全问题的基础上,采用一种折中的方法,提出一种混合的分组分层的组播群组密钥管理协议,以解决组规模较大的安全组播应用中存在的问题.新的组播安全通信协议有效地降低了协议通信带宽、解密和加密计算等负载,具有较好的可扩展性,适合大型动态组播.     

一种适用于Ad hoc网络的轻量级密钥交换协议

通过对Ad hoc网络安全性特殊需求的分析,提出适合其特点的轻量级节点间密钥交换协议. 协议使用一种新的基于ID的身份认证机制相互验证身份;使用改进的Blom机制生成加密密钥和认证密钥,分别用于数据私密性保护和报文完整性检查. 为了防止敌方捕获密钥,提出基于节点间数据流的密钥更新机制. 针对节点撤销,给予相应的解决方案. 从不同的角度对协议进行安全性分析,通过和其他实现方法比较,在性能方面证明其高效性.