可信增强TLS协议的设计与实现

针对当前应用最为广泛的安全传输层(TLS)协议不能解决通信终端被攻击而造成的信息泄露问题,以及在TLS协议中引入对通信终端的完整性证明带来的安全性和兼容性问题,提出了与标准TLS协议兼容,并且支持对通信双方进行完整性证明的可信增强TLS协议的设计与实现方案.该方案完成了通信双方的完整性信息的交换和验证,从而解决了因通信终端的完整性遭到破坏而造成的信息泄露问题.此外,提出了TLS协议中通信终端的身份与完整性信息的绑定方案,从而有效避免了重放攻击.最后对协议的安全性进行了分析证明,并对协议实现情况进行了测试,测试结果表明可信增强TLS协议与标准TLS协议兼容且具有良好的性能.     

SSL协议安全性能分析及改进措施研究

随着信息传递的速度飞速增长,网络通信安全防御成为网络安全领域的重点研究之一.目前绝大多数网络安全厂商将改进完善现有的网络安全协议作为一种重要的防御手段.但由于加密技术出口的限制政策,我国无法进口.国内电子商务的安全问题又日益严重,故提出了改进SSL协议安全性的研究.主要从SSL协议漏洞和SSL协议攻击两个方面进行分析,发现一些重大漏洞,并得出相应的改进措施.同时,详细地分析并改进了密钥强度漏洞、密钥管理漏洞、数字签名漏洞、防范通信业务流攻击、Change Cipher Spec消息丢失、密钥交换算法欺骗预防方式、中间人攻击等防范措施,并画出改进措施流程图.     

一种基于ECDLP有身份认证的ECDH密钥协商方案

为了解决ECDH（elliptic curve key agreement scheme-diffice-hellman version）密钥协商方案中,通信双方在公开信道上通过协议协商会话的临时密钥及双方都不能识别对方身份的问题。在研究ECDH密钥协商算法的基础上,提出了一种基于安全椭圆曲线离散对数问题的有身份认证的ECDH密钥协商方案。该方案可以实现密钥协商双方的双向身份认证,有效地防止了中间人的攻击。通过对密钥协商消息的双重保护,实现了公开信道上安全通信。     

实现SSL协议快速连接的一种解决方案

在使用SSL进行信息的安全传输前,必须先使用SSL握手协议建立安全连接.为了提高Server与Client的连接速度,对标准的握手协议进行改进,即通过在Client长时间存储Server端的配置和双方协商的参数,减少Server端发送的数据和双方数据交换次数,有效降低通信流量,提高握手会话过程的建立速度.     

一种支持密钥协商的标签所有权转换协议

针对标签在流通过程中的安全通信和所有权安全转换问题,提出了一种能提供密钥协商功能的标签所有权转换协议。通过将该协议分为认证与密钥协商和所有权转换与异常恢复两个阶段来实现相应的功能。采用GNY逻辑对协议的安全性进行了分析,结果表明该协议能够提供标签与所有者之间的双向认证和会话密钥协商,将标签的所有权安全地转换给新所有者,并能抵御中间人攻击、重放攻击和去同步化攻击等多种攻击手段。在Linux系统中实现了该协议,获取了标签计算耗时等运行指标。实验数据表明,标签的计算耗时较短,适用于低成本标签。     

可证明安全的射频识别双向认证协议

由于射频识别系统中读写器和标签是在不安全的无线信道中进行通信,而且随着移动读写终端的出现,使得读写器和服务器通信也不安全,容易受到假冒攻击、窃听攻击、中间人攻击等安全威胁,针对此问题提出了基于中国剩余定理的射频识别双向认证协议。该协议利用对称加密、模运算等方式提高信息传输的安全性,引入时间戳来抵抗中间人攻击,并利用中国剩余定理对各方进行认证,最后采用随机更新密钥的方式进行密钥更新,并通过形式化证明的方法和常规攻击分析的方式来验证协议安全性。将该协议与其他协议进行安全性、计算量和存储量的比较,结果表明:文中协议安全性高、计算量小且存储量适中,在射频识别领域安全方面具有一定的应用价值。     

一种基于 PUF 的低成本 RFID 认证协议分析与改进

分析了一种基于物理不可复制（PUF） RFID认证协议的安全性,通过中间人篡改协议通信内容,指出该协议容易遭受去同步攻击和整体揭露攻击,给出了攻击的细节,并将原有协议进行改进。对比分析表明：改进的协议成本低,安全性高,具有极强的隐私性,并可有效的避免上述攻击问题。     

无线网中基于ECC的认证和密钥交换协议

为适应密码技术在无线通信中的应用要求,Aydos、Mangipudi等人以椭圆曲线密码为基础,分别提出了适用于无线通信网络的身份认证和密钥交换协议.而研究发现,这些协议中仍存在中间人攻击、服务后否认、假冒攻击等安全隐患,且不能提供前向保密性.为此,本文提出一个安全的身份认证和密钥交换协议,经验证说明该协议不仅能防止上述安全隐患,而且执行效率更好,适于为无线通信环境中用户端与服务器间进行相互认证,建立一个双方共享的会话密钥.     

HTTPS通信流截获解析系统的设计与实现

针对安全传输协议中存在的如SSL和TLS虽然可以保障通信内容的机密性,但无法完全隐藏传输数据长度、通信的持续时间以及通信的频度等信息的问题,提出一种新的方法,即利用HTTPS通信流报文的首部信息,解析并重构出与用户浏览序列对应的页面"指纹"序列;在分析SSL和HTTP通信行为的基础上,给出了基于最大包长度以及时间阈值对HTTPS通信流报文进行解析重组获取页面"指纹"序列的"指纹"序列抽取算法.在此基础上,对HTTPS通信流截获解析系统即HTCPS进行总体设计.实验结果表明,该方法不但能够时HTTPS通信流进行解析,并且能重构出页面"指纹"序列.     

基于DAA和TLS的匿名远程证明协议

为了解决使用直接匿名证明方法进行远程证明易受伪装攻击的问题,提出了一种基于直接匿名证明和安全传输层协议(TLS)的匿名远程证明协议.使用可信平台模块,完成平台配置和匿名身份的度量并生成签名信息;改进身份认证和证书校验机制,并使用TLS协议的扩展消息传输远程证明内容;结合匿名证明、完整性报告和密钥协商机制设计总体协议,从而在交互双方构建出匿名认证的可信信道.分析表明:改进方案满足身份认证的不可伪造性、匿名性、可控的可链接性和不可克隆性,能够抵御重放攻击和伪装攻击,且设计的协议兼容扩展的TLS协议架构,便于部署.     

一个高效的匿名口令认证密钥协商协议

匿名口令密钥协商(APAKE)协议在保持用户匿名性的同时,可以为网络上共享口令的通信双方建立会话密钥.分析了一个高效APAKE协议存在的安全问题,进而提出了新的高效匿名口令认证密钥协商协议,并对所提协议的安全性、匿名性和抗字典攻击等安全需求进行了分析.服务器和用户完成协议需要2次模幂运算,运算效率较高.     

一个基于SIP安全的三因子密钥认证协议

Yoon和Yoo运用椭圆曲线密码提出了一个新的基于会话发起协议(SIP)的三因子密钥认证方案并声称能够抵抗多种攻击.然而,作者研究发现Yoon和Yoo的方案不能抵挡伪造攻击和中间人攻击.为了改进以上缺陷,提出了一个安全、有效的三因子远程认证新方案并进行了安全性分析,分析表明新方案可以抵挡以上攻击并实现了用户匿名性.     

基于双线性对的域间认证与密钥协商协议

结合代理签名和签密方案的特点,以双线性对为工具,设计了一个域间电子商务的认证与密钥协商协议。该协议能够实现移动用户与服务提供商之间的双向认证和移动用户的匿名性,并且会话密钥保持了新鲜性,做到一次一密钥,保证了协议的公平性和实用性,能够克服重放攻击、拒绝服务攻击、中间人攻击和密钥泄漏假冒攻击。     

基于Qmail-LDAP的大规模邮件系统的安全设计

讨论了基于LDAP的Qmail平台的安全邮件系统的实现和应用问题.首先介绍了SSL/TLS(安全套接字层/安全传输层)的模型,分析并给出了基于LDAP的POP、SMTP、IMAP的邮件服务协议安全的解决方法,讨论了LDAP协议的安全设计等相关问题.运用Stunnel和OpenSSL等开源软件包实现安全设计.     

基于SWIM卡公钥认证的二阶段握手加密套接层协议

根据普通智能手机移动接入时端端加密的安全需求，提出了一个基于SWIM卡公钥认证的二阶段握手加密套接层（SSL）改进协议．在握手的第1阶段，该协议由SWIM卡完成终端与网关之间基于公钥证书的身份认证，并产生、分发密钥材料．利用第1阶段的认证结果替代标准SSL握手协议的认证部分，利用第1阶段产生的共享密钥、随机数按照标准SSL密钥生成方法生成移动通信双方的会话密钥、初始化向量，进而完成第2阶段的握手SSL改进协议．所提协议的安全性通过了BAN的逻辑推理、证明，其适用性分析结果表明，在端端安全性、通信带宽效率变化、密码运算量和移动终端普适性等方面，它要比无线应用协议更适于移动应用的安全性需要，在相同的实验环境下，移动终端安全接入的时间也从3．5S缩短到1．5S．     

有效防御DDoS攻击的密钥交换协议的设计研究

针对现有密钥交换协议在保护通信双方身份信息和防御DDoS攻击方面的不足,提出一种在可信任第三方的辅助认证下实现的新型密钥交换协议．研究分析表明该协议能有效地保护双方通信实体的身份信息和防御DDoS攻击．     

基于硬件加密设备的身份认证协议的设计及安全性分析

本文首先对CHAP身份认证协议进行了概述,指出了CHAP协议的安全缺陷,然后将CHAP协议进行了改进,结合密码学技术、身份认证技术以及硬件加密设备技术,设计了一种基于硬件加密设备的身份认证协议,即UBAP（USB Key-based Authentication Protocol）协议,它采用软硬件相结合一次一密的强双因子认证模式,实现了服务器端和用户端双方可靠的双向身份认证,并对该协议进行非形式化的分析,证明其能够抵御重放攻击、服务器欺骗、网络监听、插入信道攻击、中间人攻击以及暴力攻击。     

一种具备原所有者无关性的无线射频识别标签所有权转换协议

针对标签所有权转换过程中的信息安全问题,提出了一种具备原所有者无关性的标签所有权转换协议。协议中主要包含原所有者、新所有者、标签和可信第三方四个通信实体。采用GNY逻辑对该协议的安全性进行了分析,结果表明该协议能够将原所有者对标签的所有权转交给新所有者;并能抵御跟踪攻击、重放攻击、中间人攻击和去同步化攻击,保护标签信息的前向安全和后向安全,提供原所有者无关性。对该协议进行了仿真实现,获取了标签计算耗时等数据。经过与其他协议的数据进行对比,该协议中标签的计算耗时较短,适用于低成本标签。     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

一种NDP中间人攻击及对策

邻居发现协议（NDP）作为IPv6协议的重要组成部分,取代了IPv4中的ARP协议、ICMP路由发现和ICMP重定向功能．主要分析了在使用CGA保护NDP安全情况下存在的一种新的中间人攻击,并在此基础上利用改进的CGA来防御这种中间人攻击,同时分析了这种改进的可行性及优点．