车载FlexRay总线安全协议的设计与实现

针对智能车、网联车的高速发展所引发的车载信息安全问题设计了车载FlexRay总线安全协议。该协议包含两个模块:节点身份认证模块和网络安全加密模块。节点身份认证模块采用密钥交换算法以及非对称加密算法保证连入总线节点身份的合法性;网络安全加密模块采用对称加密算法以及哈希算法保证总线传输数据的机密性、真实性和新鲜性。与其他协议相比,该协议既能够提供节点的身份认证,又能在不影响总线实时通信的基础上保护总线的信息安全。实验结果表明,该协议能够在满足实时通信的基础上为汽车提供从启动到运行全方位的信息安全防护,提升了车载FlexRay总线的信息安全防护级别。     

基于计算模型的OpenID Connect协议认证性的自动化分析

分析了OpenID Connect协议的消息结构,基于计算模型应用Blanchet演算对OpenID Connect协议进行了形式化建模,应用自动化验证工具Crypto Verif验证了其认证性.结果表明:在OpenID Connect协议中,客户端能够认证终端用户,但是终端用户与授权服务器之间不能相互认证、令牌终端不能认证客户端.为此,给出了OpenID Connect协议中不具有认证性问题的解决方法.     

一种身份认证协议的形式化描述与验证

身份认证作为实现网络安全的第一步，是网上商务信息安全交换的关键。而认证协议一旦存在漏洞。必然会导致秘密信息的泄漏，这就需要采用一种形式化的方法去描述和验证认证协议。本文采用着色Petri网描述身份认证协议，同时提出了一种用1-可达性分析方法和向回分析方法相结合的策略，验证了该身份认证协议的安全性。     

低成本RFID协议的设计及BAN形式化分析

目的通过分析现有的典型RFID认证协议的效率与成本,针对数字化图书馆RFID认证协议的高成本问题,提出一个低成本的RFID认证协议。方法通过去掉标签中的随机数模块,然后利用阅读器存储能力强、存储随机数模块来确保发出消息的新鲜性。结果该低成本RFID认证协议仅使用一对提前预约好的密钥对,降低了标签的硬件成本和计算能力。结论通过BAN形式化分析,该协议达到了预期的安全协议的认证目标,非常适合于低成本的RFID系统。     

用户认证协议的安全分析

认证是网络安全中最重要的一个安全目标,所有其他的安全属性例如完整性、不可否认性、可信性等都依赖于通信双方的认证。因此,很多安全认证协议被提出。而判断协议是否有效的方法主要是模拟。模拟只能证明协议在制定的模拟环境下是否可以达到安全目标。而对于正常真实的各种情况无法真正反应。本文提出了模型检测的方法来对其中一种用户认证协议进行了验证,通过模型检测协议的安全属性可以检测系统能达到的任何状态,比模拟的结果更有效。     

采用RADIUS协议的AAA系统的研究

AAA是认证、授权、计费系统的简称,用来完成对用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等功能。其核心模块Radius服务器与网络接入服务器之间的通信协议采用RADIUS协议。通过对RADIUS协议层次结构、软件结构特点、工作原理及认证计费流程的详细分析,验证了AAA系统采用RADIUS协议的可行性。     

采用RADIUS协议的AAA系统的研究

AAA是认证、授权、计费系统的简称,用来完成对用户身份合法性的鉴别、权限的分配、话单的采集、费用的结算等功能.其核心模块Radius服务器与网络接入服务器之间的通信协议采用RADIUS协议.通过对RADI-US协议层次结构、软件结构特点、工作原理及认证计费流程的详细分析,验证了AAA系统采用RADIUS协议的可行性.     

云环境下基于PKI的一次性口令身份认证系统设计

当前身份认证系统口令设计过程复杂,不仅容易出现认证错误的现象,而且大大增加了计算复杂度,影响整体性能。为此,提出一种新的云环境下基于PKI的一次性口令身份认证系统,给出设计系统总体结构,其主要由CA证书服务模块、RA注册模块、认证模块与用户模块构成。身份认证选用用户数字证书与一次性口令相结合的形式,对用户名与一次性口令进行验证时,通过用户名得到其数字证书,利用“挑战-应答”协议判断用户是否合法。介绍了一次性口令生成技术,给出公开大素数与保密大素数的确定过程。实验结果表明,采用所设计系统对云环境下用户进行身份认证,不仅认证精度高,而且整体性能强。     

网络安全中的两种认证协议及安全性分析

研究对称密钥算法产生的安全问题. 根据网络安全的特点设计了两种简单认证协议: 点到点简单认证协议和可信第三方的简单认证协议. 通过使用形式化分析方法（基于知识与信念推理的模态逻辑方法〖CD2〗SVO逻辑）, 对以上两个认证协议进行了安全性分析, 证实其达到了面向密钥的目标、 密钥确认目标和相互信任密钥目标.     

云环境下公钥基础设施的一次性口令身份认证系统设计

当前身份认证系统口令设计过程复杂,不仅容易出现认证错误的现象,而且大大增加了计算复杂度,影响整体性能。为此,提出一种新的云环境下基于PKI的一次性口令身份认证系统。给出设计系统总体结构,其主要由CA证书服务模块、RA注册模块、认证模块与用户模块构成。身份认证选用用户数字证书与一次性口令相结合的形式,对用户名与一次性口令进行验证时,通过用户名得到其数字证书,利用"挑战-应答"协议判断用户是否合法。介绍了一次性口令生成技术,给出公开大素数与保密大素数的确定过程。实验结果表明,采用所设计系统对云环境下用户进行身份认证,不仅认证精度高,而且整体性能强。     

EC密钥协商与分布式认证协议集成

分析了开放网络环境的认证,指出了综合利用多种密码技术设计认证系统以满足日益复杂认证需求的必要性。通过研究认证与密钥交换机制,分析现有协议特性,权衡认证系统安全性、效率及需求等因素,提出了一种认证与密钥交换协议。协议进行分布式认证,综合利用EC密钥协商和对称密钥传输进行密钥交换,可实现双向身份认证和显式密钥认证。该方案可使认证系统性能提高,需求降低。     

CSP方式的安全协议建模研究

本文使用通信顺序进程(Communicating Sequential Process)建模和分析认证协议,CSP有着良好的语义来描述认证协议,并且比较适合分析协议的特性.本文阐述了如何使用CSP对协议建模并在CSP基础上描述了安全协议的安全性所要满足的条件.     

CCSDS-TC协议安全技术分析研究

由于空间链路固有的开放性,国际空间数据系统咨询委员会(Consultative Committee for Space Data Systems,CCSDS)建立的空间数据系统面临着窃听、篡改、伪装等安全威胁,因此研究CCSDS空间数据系统链路层的安全协议和安全技术十分重要.研究基于CCSDS空间通信系统链路层遥控(Telecommand,TC)协议采用的加密、认证及认证加密等安全技术,分析了TC协议为用户提供的服务,TC使用的协议数据单元和协议执行规程,研究了空间数据链路安全(Space Data Link Security,SDLS)协议为CCSDS链路协议提供的加密、认证和认证加密等安全服务的原理和协议执行规程,并利用OPNET网络仿真平台对使用SDLS协议的TC协议的协议规程进行了实现与仿真,验证了通过SDLS协议将安全技术应用于TC协议的正确性和可行性.结果表明,SDLS协议采用的加密、认证及认证加密等安全技术可以为CCSDS链路层的协议提供安全防护,为真实的空间通信网络的通信安全提供技术支持和重要保障.     

基于Hash函数的轻量级RFID双向认证协议

通过对轻量级RFID系统中基于Hash函数认证协议安全性及计算成本等因素进行研究,分析了目前该类协议存在的安全缺陷和计算成本。通过对协议的改进,提出了一种轻量级RFID双向认证协议,在满足同等安全性能的条件下,减轻了标签的计算成本,提高了标签的计算性能,并通过BAN逻辑形式化证明了协议的安全认证过程。通过51单片机与天线模块仿制电子标签进行实验,从安全性、隐私性、协议性能等因素与其他基于Hash函数的协议比较。实验表明,本协议认证过程时间更短,并当数据库标签数量越多,改进协议的计算成本优越性较其他协议越突出,具有一定的实用价值。     

认证和密钥协商协议的分析与比较

身份认证和密钥协商是通信中一个非常重要的安全问题。介绍了几个经典的网络安全认证和密钥协商协议,并指出了它们各自的特点,在此基础上,对认证和密钥协商协议的若干热点研究方向进行了归纳和展望。     

基于802．1x和Iptables的校园网安全认证系统实现

随着校园网规模逐步扩大,网络安全问题日益严重,为了更好地解决校园网安全系统中的用户认证和管理问题,介绍了基于802．1x协议和Iptables技术的校园网安全认证系统的设计与实现方法,实现了校园网用户的安全接入认证机制．     

HTTP重定向在网关认证中的应用

网关认证主要用于认证从本地网络访问外部网络的用户,这要求所有的网络访问请求必须穿过网关系统.为了改善网关认证过程的友好性,在网关系统中增加了特别针对HTTP访问请求的重定向模块--ReHTTP,使得未经认证的用户在访问Web页面的时候能够自动转向到网关认证页面. ReHTTP重定向功能采用了模拟TCP连接建立和加速TCP校验和算法,并通过硬件中断的底层方式实现,其性能要比基于操作系统协议栈的实现方式提高至少1个数量级.     

自动信任协商安全性的形式化分析与验证

为了对自动信任协商(ATN)的安全性进行形式化分析与验证,文中借鉴安全协议的形式化分析方法,提出一种用进程代数Applied π演算对ATN建模并验证其安全性的方法.该方法将ATN形式化为两个协商者进程的并发执行,其中一个协商者的进程就是对其拥有的证书及授权策略的静态建模;ATN的安全性被定义为Applied π演算的观察等价性,从而使该方法不仅能检查授权策略执行的安全性,而且能对协商者的隐私安全进行验证.借助安全协议的自动分析工具ProVerif,文中实现了对ATN安全性的自动分析.实验结果表明,用Applied π演算形式化及验证ATN的安全性是可行的,安全性验证可自动完成,并且效率较高.     

基于数据挖掘的智能入侵检测系统模型及实现

入侵检测作为主动的安全防御技术,是计算机网络中继防火墙之后的第二道安全防线,是近年来网络安全领域的研究热点.研究了基于数据挖掘的网络入侵检测系统的建模及实现,建立融合简单规则、协议分析、数据挖掘分析为一体的模型,其中着重讨论了基于数据挖掘技术的网络入侵检测系统的实现方法.     

适用于电力物联网的安全接入认证装置设计

针对电力物联网海量边缘侧设备接入可能导致的安全问题,首先分析了边缘设备安全接入需求;然后研究了融合协议过滤、协议适配、网络安全隔离、安全接入认证技术于一体的物联网边缘侧安全接入认证技术。基于上述技术,设计了包含外网处理单元、隔离交换单元、系统管理单元、密码运算单元和内网处理单元在内的电力物联网安全接入认证装置;最后选取某省充电桩运营系统作为试点应用场景,分别从安全性能和通信性能两方面进行测试分析。测试结果表明,该安全接入认证装置能够在基本不影响设备通信性能的前提下,实现电力物联网海量设备的安全接入认证,在面对不同类型边缘设备接入时仍具有良好的可靠性和泛化性,可有效降低核心业务系统被非法入侵的风险。