自动信任协商安全性的形式化分析与验证

为了对自动信任协商(ATN)的安全性进行形式化分析与验证,文中借鉴安全协议的形式化分析方法,提出一种用进程代数Applied π演算对ATN建模并验证其安全性的方法.该方法将ATN形式化为两个协商者进程的并发执行,其中一个协商者的进程就是对其拥有的证书及授权策略的静态建模;ATN的安全性被定义为Applied π演算的观察等价性,从而使该方法不仅能检查授权策略执行的安全性,而且能对协商者的隐私安全进行验证.借助安全协议的自动分析工具ProVerif,文中实现了对ATN安全性的自动分析.实验结果表明,用Applied π演算形式化及验证ATN的安全性是可行的,安全性验证可自动完成,并且效率较高.     

基于BAN逻辑的SADSR协议安全性分析

移动Ad hoc网络路由协议为加强其安全性,采用了密码技术,使其成为安全协议的一种.这使得采用形式化的方法分析其安全性成为可能.本文根据移动Ad Hoc网络路由协议的特点,采用BAN逻辑对协议的安全性进行描述,指出了协议应满足的条件.并对协议的运行过程进行了形式化,给出具体的分析方法.采用该方法对安全路由协议SADSR进行了安全验证,说明方法的有效性.     

Kerberos协议的改进

以ＲＳＡ算法作为加密和签名工具，对Ｋｅｒｂｅｒｏｓ协议中票证和验证码的形式以及验证协议进行了改进，使整个验证过程更安全，可靠，在此基础上，通过在网络防火墙中增加网络验证服务器，实现了跨网络的远程安全访问方案。     

用串空间分析路由协议SGSR

用形式化方法分析安全协议是协议分析的有效手段,近年来,出现了众多的研究方法.串空间模型是一种新兴的形式化分析工具,其中,"理想"和"诚实"两个概念简化了分析协议的步骤.首次利用串空间理论对由徐兰芳提出的一种安全的Ad Hoc网络路由协议SGSR进行分析,并分析了它的认证性和机密性,结果证明此协议能够达到协议的目标。     

一种身份认证协议的形式化描述与验证

身份认证作为实现网络安全的第一步，是网上商务信息安全交换的关键。而认证协议一旦存在漏洞。必然会导致秘密信息的泄漏，这就需要采用一种形式化的方法去描述和验证认证协议。本文采用着色Petri网描述身份认证协议，同时提出了一种用1-可达性分析方法和向回分析方法相结合的策略，验证了该身份认证协议的安全性。     

支持移动网络的身份验证协议研究

为了解决主机在移动过程中发生跨域时,移动网络应用层的安全性,结合移动网络的特点以及存在的安全威胁,对Kerberos域间身份验证协议进行改进,减少客户端参与的协议报文交互次数,使其适合为移动网络的应用服务提供身份验证服务,并采用形式化方法对改进的身份验证协议进行安全性验证.结果表明改进的安全协议能够提供与原有协议相同的安全性.     

IP网络访问控制机制的设计与实现

网络安全问题的严峻性和安全需求的普遍化,要求人们有必要在IP网络中提供基础安全控制.基于面向网络基础设施的安全模型,通过分析网络层的安全威胁,设计了IP网络访问控制机制.该机制由密钥协商和报文检测协议组成,实现通信双方的双向身份验证,保证传输过程中报文的真实性和完整性.在比较各类形式化技术的基础上,采用抽象协议表示法对相关协议进行了形式化描述和验证.该访问控制机制提供网络主机间的访问控制,解决了其他在网络边缘实施的访问控制机制无法解决的网络内部安全问题.该机制适合在较小的网络范围内实施,如局域网等,适合于更大网络范围的机制正在研究中.目前已经在Linux平台上实现了该机制,并简单分析其性能.     

基于Tecton的验证系统Violet

在Tecton语言对面向概念的构件进行形式化规范的基础上,创建了Violet验证系统对构件的性质进行自动验证。Violet系统是基于重写技术的验证工具,其主要目的是辅助用户发现和理解构件规范的验证,并建立经过验证的软硬件的构件库。描述了系统在可视化和自动化方面的主要特性,并实现了位交换协议的Tecton规范和系统验证。     

卫星传感器网络中基于可信节点的安全定位算法

安全性作为评估无线传感器网络定位算法性能的主要指标．虽然近年几个安全定位算法从不同程度上解决这一问题,但都存在着不足。针对恶意攻击存在环境下,卫星传感器网络中节点的自定位问题,基于验证点思想提出既能使用不同定位算法,又不需要增加甚至不用锚点的高质量安全定位协议-SIJPVN-LA。SLPVN-LA利用各节点的定位误差服从相同概率分布且相互独立的性质,结合验证点思想和某种定位算法实现节点安全定位。基于MMSE定位算法的协议性能仿真表明,算法可以有效克服恶意锚点的影响。     

安全协议的形式化验证技术研究

对安全协议形式化验证方法所应用的技术进行了研究，总结了当前安全协议的各种形式化验证方法的特点，指出今后一段时期内安全协议形式化验证技术的研究方向．     

SSL协议在现场总线远程控制中的应用

针对现场总线远程控制中涉及到的网络安全问题，提出并实现了SSL协议，完成了身份认证、传输数据的加密和完整性检测。可以为现场总线的远程控制提供高级别的安全保护。     

射频识别LMAP协议改进研究

安全问题是射频识别技术领域的重要问题,轻量级安全协议成为该技术领域研究的主流.针对轻量级相互认证协议易受克隆攻击、去同步攻击等安全隐患问题,在对原有协议分析的基础上提出了系列改进措施,即通过对原有协议增加时间戳机制、物理不可克隆函数(physical unclonable function,PUF)电路以及改进密钥的生成方式来提高协议的安全性,并利用BAN逻辑对改进协议的安全性进行形式化证明.从安全性、计算量和存储量等方面将改进协议与其他协议进行比较,结果表明,协议安全性高,计算量小,也适合标签的存储量,在射频识别领域安全方面具有一定的应用价值.     

具有优化和安全特征的基于模式码比较的WSN数据融合协议

数据融合及其安全性是无线传感器网络(wireless sensor network,WSN)实现高效、安全通信的关键.提出了一种具有优化和安全特征的模式码比较无线传感器网络数据融合协议,在该协议中,基于非物理意义的模式码保证了数据的机密性,传感节点利用模式比较算法实现数据融合,结合一种优化的发送节点选择机制,在进行数据...     

OvBNN authentication based on cooperative signature for wireless sensor networks

The universality of the application of wireless sensor networks( WSN) makes more attention be paid on the security problem. Node authentication is not only the basis of network security,but also the premise of key management and secure routing protocol. Although the signature mechanism based on symmetric encryption is high in energy efficiency,it is vulnerable to be attacked and there is a time delay during authentication. Traditional public key encryption mechanism with improvement in security brings in complex algorithm and costs much time,which is not suitable for WSN. In this paper,a signature authentication mechanism,an optimized variant Bellare Namprempre Neven( OvBNN) is presented to quickly complete the authentication by mutual cooperation between nodes so as to make the nodes use the intermediate calculation results of their neighbor nodes directly.Simulation results show that the proposed mechanism is superior to traditional authentication mechanisms both in energy consumption and authentication time.     

基于LPN的快速RFID隐私认证协议

大多数基于LPN问题设计的RFID协议主要侧重于身份认证协议,较少涉及隐私识别与认证,为解决此问题,对现有的基于LPN问题设计的认证协议与实现隐私识别的认证协议进行系统性的分析,总结这类协议的优点与存在的缺陷,利用RFID系统中拥有的大型存储设备数据库和伪随机数产生器,设计了一个基于LPN的具有快速识别的RFID隐私认证协议(FIP_Auth). 此外,将FIP_Auth协议与Tree-LSHB+、BAJR、MMR协议进行了效率与安全性的比较. 研究结果表明:FIP_Auth协议具有识别速度快、可证明的隐私性和认证性等优点,并且具有良好的可扩展性.     

基于Merkle可信树的DTN网络分片认证研究

DTN网络的工作环境决定了传统的安全认证机制无法使用,现有的认证算法存在着持续时间过长。对DTN网络的存储与通信资源占用过大、使用条件苛刻等诸多缺陷。文章主要以Merlde可信树为基础,通过研究DTN（Delay／DismptedTolerantNetworks,容断容延迟网络）中的安全分片认证机制,结合身份认证机制,设计了一套适用于DTN网络的分片认证算法。该算法在性能表现上优于现有算法,具有较高的实用价值。     

移动Ad Hoc网络综合交互认证机制

当前移动ＡｄＨｏｃ网络安全策略只对某些特定节点进行认证,没有对路由信息进行必要的安全措施,因此是一种不完善的安全体制。阐述了一种通过把动态路由协议(ＤＳＲ)和ＥＣＣ(Ｅｌｌｉｐ ｔｉｃＣｕｒｖｅＣｒｙｐｔｏｇｒａｐｈｙ)结合在一起的,对于ＭＡＮＥＴ中所有路由信息和数据信息进行交互式的综合认证机制。首先研究了当前移动ＡｄＨｏｃ网络安全策略,提出了移动ＡｄＨｏｃ网络综合交互认证机制,然后分析了ＥＣＣ加密的ＩＭＭＡＳ机制,最后进行了ＯＰＮＥＴ仿真试验,并说明此机制有一定的先进性和创新性。     

基于双线性映射的匿名跨域认证方案

为保证跨域资源访问的安全性,提出一种基于双线性映射的匿名跨域认证协议,该协议可以避免传统基于公钥基础构架的跨域认证方案中证书传递的繁琐性,以及现有基于身份的跨域认证方案中权威机构冒充内部成员进行跨域访问资源的弊端,同时具有实体追踪能力,支持双向匿名实体认证.性能分析表明该方案具有较好匿名性和安全性.     

基于SSLv3协议的双层代理系统的设计

主要对SSLv3协议的加密技术和安全机制进行了介绍,并利用SSLv3协议和双层代理相结合的方式构建了一个基于C/S结构的安全连接系统,该系统利用jdk1.5的JSSE类函数,以及openssl工具实现了服务器与客户的双向认证;同时给出了该系统实现的流程图,并对运行结果进行了分析。分析结果表明:该系统依附并服务于其他网络产品,支持双向认证,能为网络中传输的信息提供加密服务,因此它能为没有安全手段的网络产品有效地提供安全传输和客户认证。     

一种面向服务的统一身份认证协议

针对面向服务体系结构（Service—Oriented Architecture，SOA）的身份管理中存在的安全问题，提出了一种面向服务的统一身份认证协议，阐述了其认证原理，分析了其安全性和性能。该协议以认证Diffie—Hellman密钥交换协议为基础，结合SOA的特点，为各SOA应用提供了强身份认证，并能简易地实现单点登录。从理论上分析，该协议是简单、安全、有效的，具有一定实用价值。