中间人攻击下增强身份保护的IKEv2改进

首先探讨了IKEv2协议可能遭受中间人攻击和密钥生成方案面临蜕化消息攻击的缺陷,针对退化消息攻击的威胁提出了基于共享密钥的密钥生成方案.针对存在的身份保护缺陷进行了分析,并相应地对IKEv2协议进行改进,提出的方案能够有效地进行身份保护.改动后的实现代价并不大,也不破坏ISAKMP框架及交换的对称性.     

抗合谋攻击的多变量群签名方案

多变量公钥密码体制能抵御量子计算机的攻击,被认为是后量子时代的一种安全的密码体制备选方案.提出了一种基于多变量公钥密码体制的群签名设计模型,同时在分析该方案时,提出了一种合谋攻击方案,可以有若干合谋攻击者对群签名体制进行伪造签名攻击.随后,给出了一种新的矩阵乘法定义,以及素矩阵等概念,并提出了一种可以抵抗合谋攻击的基于多变量公钥密码体制的群签名设计模型.分析结果表明:该方案不仅能够从根本上抵抗合谋攻击和伪造签名攻击,而且在保证匿名性的前提下,能够真正实现签名成员身份的可追查性,同时通过构造安全的密钥生成协议保证群签名私钥的不可知性,因此具有更高的安全性.     

B／S 架构下基于会话指纹的同源重放攻击应对方案研究

针对采用“内网IP地址＋NAT”接入互联网形成的内网中容易发生同源重放攻击的问题，通过引入会话指纹（ Session Fingerprinting）的概念，提出了基于会话识别的同源重放攻击应对方案。该方案通过会话指纹，识别会话的变化，适时地要求用户输入原始认证信息，例如，用户名和密码，进行身份认证，达到应对重放攻击的目的。代码实现和理论分析均表明，提出的应对方案能够有效地应对同源重放攻击。     

新的不可否认门限代理签名方案

对文献的门限代理签名方案进行了密码分析,发现该方案不能抵抗内部攻击和公钥替换攻击.提出了一个新的安全高效的不可否认门限代理签名方案,新方案克服了原方案的缺点,不仅能够抵抗内部攻击、公钥替换攻击和合谋攻击,而且满足安全门限代理签名方案的安全要求,可以在公开信道中进行.     

基于数字签名的安全电子商务交易系统的实现方法

为了在一个不安全的计算机网络系统上实现安全的电子商务交易,本文给出了具有手写签字效果的网上安全电子商务交易系统的实现方法和方案,可保证网络上电子商务交易的保密性、完整性、不可抵赖性、鉴别即身份认证,并且能够防御重放攻击。实验结果表明该方法相当强大、安全、可靠且可用性强。     

一种基于双线性对的门限签名方案

通过对现有门限签名方案的分析,发现很多门限签名方案存在安全上的缺陷,特别是在抵抗内部恶意成员的攻击方面.使用双线性映射工具,提出基于双线性对的门限签名方案.该方案通过可验证的方法来防止秘密分发者和秘密共享者的欺骗行为,利用可信中心参与和增加签名者的身份信息来阻止抵抗群体内部成员的合谋攻击,克服了门限签名方案上的弱点.同其他方法进行分析对比,结果表明,该方案还具有验证简单,个体密钥能重复使用,效率高,安全性强的特点.     

一种融合Cookie和Puzzle抵御DoS攻击的方法

在Cookie机制和Client Puzzle方法的基础上,提出一种身份检查方案,在Cookie中嵌入Puzzle,应用MD5算法,可以在不改变系统结构和运行平台的前提下对网络协议进行安全改进.分析和实验说明,方案能够增强网络协议防御DoS攻击的能力。     

SHI2002群签名方案的安全性分析

SHI2002群签名方案是Tseng—Jan群签名方案的一个改进方案．通过对该方案的安全性进行分析，发现该方案不能抵抗广义伪造攻击，即任何一个非群成员均可以在不经过群经理的许可下，伪造一个群成员的身份证书和相应的秘密密钥；利用这个身份证书和秘密密钥，可以对任意的消息进行签名，签名能够通过验证算法．从而导致任何一个非群成员均能够代表整个群做签名，群经理却无法追查出签名者的身份．故该方案不能保护整个群体的利益．     

标准模型下格上抗合谋攻击安全的代理重加密方案

随机预言模型下安全的密码方案并不能保证在现实世界中的安全性,而构造标准模型下、基于格上困难问题,可抗合谋攻击的身份型代理重加密方案一直是密码学界的研究热点。通过采用陷门产生函数、左右抽样、bit分解等技术,设计了一个抗合谋攻击安全的基于身份代理重加密方案。在标准模型下,将该方案的安全性规约为判定性LWE(learning with errors)困难假设,证明了其能够达到IND-Pr ID-CPA安全,并对单向、多跳和抗合谋攻击等性质进行了分析。     

一种基于软令牌的企业即时通信双向认证方案

为了提高EIM(Enterprise Instant Messenger)的安全性,在对比当前常用认证技术的基础上,提出了一种结合HASH函数、对称密码机制以及挑战/应答机制的基于软令牌的双向认证方案.最后对该方案进行了性能分析.结果表明:该方案具有保护用户身份信息,防止诸如重放、假冒和穷举等常见身份认证攻击,实现双向...     

一种新型移动数据库终端身份认证方案

以SRP-6协议和ECC算法为基础设计一种移动数据库终端身份认证方案。与其他同类方案相比,该方案不仅具有较小的存储开销和计算量,而且支持用户和设备的双重身份认证,能够抵抗窃听攻击、重放攻击、伪装主机攻击以及位置隐私攻击等多种攻击行为,从而能够更好地满足移动数据库身份认证的功能需求和安全需求。     

一种隐蔽用户身份信息的认证方案

分析了一种基于随机数和Hash函数的认证方案(NHRA)的认证过程,发现该方案存在着远程主机上容易泄露用户身份信息的安全问题。针对该问题,构造了一个基于随机数和Hash函数、隐蔽用户身份信息远程身份认证方案。该方案允许用户自主选择和更改口令、能够抵御假冒远程主机攻击、抵御假冒合法用户攻击,对用户身份信息认证更加安全有效。     

指定验证人的门限环签名研究

将指定验证人的思想引入门限环签名,利用双线性映射构造了一个基于ID的指定验证人(t,n)门限环签名方案.在该方案中,不少于t个用户合作才能产生有效的环签名,且只有指定的验证人可以验证签名的有效性,任何人无法确定t个签名人的身份.因此该方案在随机预言模型下能抵抗适应性选择消息和身份攻击,且计算高效,签名过程不涉及映射运算,验证签名只需n+1次映射运算.     

对一个无证书部分盲签名方案的分析与改进

对汤鹏志等提出的一种无证书部分盲签名方案进行了密码分析,指出方案中签名请求者可以非法修改协商信息.为了有效抵抗篡改协商信息攻击,提出了一种改进的无证书部分盲签名方案.在随机预言机模型下证明了改进方案对无证书密码体制的两类敌手的自适应选择消息和身份攻击是存在性不可伪造的,其安全性可以归约为k-CAA问题和ICDH问题.     

基于有限域上遍历矩阵的零知识身份证明

探讨了零知识身份证明的方法,并基于有限域中遍历矩阵的加密特性给出了具体的实现方案。分析了各种可能的攻击,该方案可抵御常见攻击。     

无双线性对的基于无证书的移动IP注册协议

目前大多数基于无证书的移动IP注册协议需要复杂的双线性对运算,这使得移动IP的注册过程开销较大,效率较低,不利于实时通信。基于无对运算的无证书签名方案,提出了高效安全的移动IP注册协议。由于在注册的过程中省去了复杂的对运算,所以减少了注册时间,提高了注册效率。此外,该协议通过在注册过程中用移动用户的临时身份代替真实身份实现了用户匿名性;通过使用临时随机数Nonce可以抵抗重放攻击。安全性分析的结果表明所提出的协议是高效的、安全的。此外,与同类协议进行的安全和性能比较结果证明在能提供同样高的安全性能级别的协议中,该协议所设计的IP注册过程的时延是最短的。     

基于格密码理论的装备保障信息网络身份认证方案

针对当前装备保障信息网络身份认证方案无法抵抗正在崛起的量子计算机攻击及认证效率较低的问题,基于新的格密码理论,提出了装备保障信息网络在量子计算环境下安全且快速的身份认证方案。该方案采用理想格结构生成方案的主密钥,将装备身份信息输入到原像抽样函数中得出装备身份信息对应的认证密钥,利用无陷门的采样技术产生出装备的认证信息。结果表明：该方案在理想小整数解问题困难性假设的条件下,达到了适应性选择身份和选择消息攻击下的不可伪造性安全;在保证安全的前提下,该方案在达到相同的安全等级水平时在认证速率和验证速率方面均高于传统基于RSA和ECC的认证方案。     

对一个基于身份部分盲签名方案的分析与改进

通过对一个基于身份的部分盲签名方案的分析,指出其存在公共信息被非法篡改的漏洞.针对这一问题,在原方案的基础上进行改进,提出一个新的部分盲签名方案.证明了改进方案的正确性、公共信息不可篡改性和部分盲性,并利用随机预言机模型证明了方案在适应性选择消息和身份攻击下是存在性不可伪造的.     

基于身份的指定验证者代理签名方案的改进

王等人结合了代理签名方案与指定验证者签名方案的优点,利用Weil对的双线性映射,构造了一个基于身份的指定验证者代理签名方案.然而,该方案是不安全的,存在严重的安全漏洞,攻击者可以利用代理授权参数成功的伪造原始签名者.当出现争议时,可信中心无法揭示原始签名者的真正身份.为了避免这一安全隐患,提出了新的签名方案,新方案克服了原方案的不足,提高了系统的安全性.