IKE协议中基于预共享密钥验证的主模式研究

IKE协议已成为因特网上最具应用前景的密钥交换协议.简要介绍IKE的工作机制之后,对其消息交换的全过程给出了安全性分析.针对现有协议存在的不足,对基于预共享密钥验证的主模式交换过程给出了新的改进模型,提出了身份散列载荷的概念以及进行两次认证的思想,保护了预共享密钥的安全,进而也增强了抵御中间人攻击和DoS攻击的能力.最后,结合freeS/WAN源代码,修改和增加了相应的函数,将改进思想融入其中.     

认证和密钥协商协议的分析与比较

身份认证和密钥协商是通信中一个非常重要的安全问题。介绍了几个经典的网络安全认证和密钥协商协议,并指出了它们各自的特点,在此基础上,对认证和密钥协商协议的若干热点研究方向进行了归纳和展望。     

基于IPSec的虚拟专用网络密钥交换实现及其安全分析

本文研究了基于IPSec结构的虚拟专用网密钥交换的基本概念和原理，详细地阐述了通过一系列参数的协商在非安全的公共IP网络中建立安全通信的密钥交换机制，给出了基于Linux系统的客户机／服务器VPN密钥交换的软件实现，对其安全特性作出了分析，指出其具有抗服务拒绝攻击，抗中间人攻击，抗连接插入攻击和防止窍听等安全性能，最后对今后研究发展的方向作了进一步的展望。     

IKE中的PSK身份认证模式的分析与改进

指出了现有IKE协议的PSK身份认证模式缺乏对密钥生成材料的保护，对整个协议的安全性有不利的影响．在分析现有的PSK身份认证模式的基础上，保留了其原有的安全机制，并充分利用预共享密钥自身的加密功能对密钥生成材料加以保护．     

基于可公开认证密钥共享的电子现金系统

构造了一个改进的、基于可公开认证密钥共享的电子现金支付实现方案,其中的参数可以重复使用,并且能够抵抗银行利用所掌握的用户身份进行欺诈的风险,这无疑提高了系统的效率,增强了系统的安全性.     

一种无线局域网预共享密钥自动更新协议

提出了基于图像密码的新型无线局域网自动密钥更新协议,协议架构合理,利用原始标准协议中的保留字段,并使用图像密码系统生成安全强度足够的PSK,并完成PSK的自动定时更新,新的安全架构能很好地满足安全需求,可安全接入采用PSK模式的接入点(AP),并有利于安全可靠的公共场景下的无线局域网应用.     

基于中国剩余定理的传感器网络簇内密钥共享

针对层次型无线传感器网络,提出一种新颖的密钥共享方案,利用中国剩余定理来解决簇头与簇成员之间的共享密钥对建立问题.通过实验与理论分析证明,该方案与其它方案相比具有以下优点:1)存储最优,只要求每个传感器节点存储2个密钥,且存储开销与网络规模无关;2)网络全连通,任何一对簇头-簇成员节点都能够建立1个全网唯一的共享密钥;3)计算开销和通信开销低;4)网络能够抵抗物理捕获节点攻击和共谋攻击.     

基于身份的密钥协商协议对Kerberos的改进

详细论述了Kerberos协议的认证过程及主要缺陷,介绍了基于身份的公钥密码学理论,提出了基于身份的可认证密钥协商协议,在此基础上对Kerberos协议进行改进,使其具有更高的安全性.通过详细的安全性能分析,该方案使系统更安全,更加容易管理和维护.     

基于Hash的无线传感器密钥预分配方案

提出了一种基于查找表映射Hash的无线传感器网络密钥预分配管理方案.该方案利用查找表加密算法同时具有加密和生成Hash值的特性,动态地生成节点间通信的公共密钥.引入分簇节点方式来提高网络的连通性和存活率,并节省了存储空间.仿真结果及实验分析表明,本方案具有良好的安全性、连通性和抗捕获能力,并可有效地利用存储空间.     

基于属性的认证密钥协商协议

提出了一个通用的基于属生的抗选择密文安全的密钥封装方案,并根据密钥抽取函数的不同功能,将标准模型下密钥抽取细化为随机提取和密钥抽取两个步骤.再以此为基础,设计了一个新的基于属性的认证密钥协商协议,定义了基于属性的可证安全密钥协商模型,并在标准模型下证明了该协议的安全性.     

基于RADIUS协议的校园网络认证系统的研究

随着校园网络的发展,以及用户的不断增加,如何在校园网中对用户进行安全、高效的认证和访问控制,已经成为首要解决的问题。文章尝试通过对Linux的Netfilter包过滤技术的接口编程,将Netfilter包过滤技术与RADIUS认证系统结合起来,从而实现了对校园网络用户进出Internet的认证和访问控制。     

一种适用于Ad hoc网络的轻量级密钥交换协议

通过对Ad hoc网络安全性特殊需求的分析,提出适合其特点的轻量级节点间密钥交换协议. 协议使用一种新的基于ID的身份认证机制相互验证身份;使用改进的Blom机制生成加密密钥和认证密钥,分别用于数据私密性保护和报文完整性检查. 为了防止敌方捕获密钥,提出基于节点间数据流的密钥更新机制. 针对节点撤销,给予相应的解决方案. 从不同的角度对协议进行安全性分析,通过和其他实现方法比较,在性能方面证明其高效性.     

基于格的两方口令认证密钥交换协议

口令认证密钥交换协议能使共享低熵的通信方在开放的网络中建立安全的会话密钥,基于Gorce-Katz框架提出了基于格的两方口令认证密钥交换(password-based authenticated key exchange,2PAKE)协议,协议采用具有近似平滑投射哈希函数(approximate smooth projective Hash,ASPH)性质的选择明文攻击(chosen plaintext attack, CPA)安全的和带有标签的选择密文攻击(chosen ciphertext attack, CCA)安全的密码体制,利用平滑投射函数的纠错性生成随机参数,通过伪随机函数计算会话密钥;与同类协议相比,该方案降低客户端密钥长度,减少服务器端投射密钥的生成次数,具有较高的效率以及完美前向安全性,在抵抗量子攻击的同时可实现显式双向认证。     

基于口令的跨服务器认证密钥交换协议研究

为了满足某些特殊通信服务在跨服务器认证密钥交换时必须由客户直接协商产生会话密钥的要求,该文提出一种新的基于口令的跨服务器认证密钥交换协议。该协议对在线字典攻击的反应灵敏度及发现此类攻击的计算代价和通信代价低;分析结果表明,新协议满足基于口令的认证密钥交换协议的安全性要求。     

无线网中基于ECC的认证和密钥交换协议

为适应密码技术在无线通信中的应用要求,Aydos、Mangipudi等人以椭圆曲线密码为基础,分别提出了适用于无线通信网络的身份认证和密钥交换协议.而研究发现,这些协议中仍存在中间人攻击、服务后否认、假冒攻击等安全隐患,且不能提供前向保密性.为此,本文提出一个安全的身份认证和密钥交换协议,经验证说明该协议不仅能防止上述安全隐患,而且执行效率更好,适于为无线通信环境中用户端与服务器间进行相互认证,建立一个双方共享的会话密钥.     

基于社交网络的智能手机轻型安全认证协议设计

传统的基于PKI的公钥加密认证方式,以其高的计算需求对资源受限的智能终端提出新的挑战.考虑到现实手机通讯网络具有社交网络特点,提出一种基于社交网络的智能手机轻型安全认证协议,使用Kerberos协议分发对称密钥,使用对称加密方式替换原来公钥加密方式,结合用户常用联系人数量小的特性规避了大规模密钥分发和管理问题,并使用BAN逻辑对协议安全性进行形式化分析.实验结果表明,所提协议在智能手机上运行速度快,资源需求量少,终端续航时间长.     

网络安全问题分析与对策

通过分析当前计算机网络系统中的各种安全威胁和网络威胁的起因，以及对计算机网络系统进行攻击的各种手法以及网络安全问题所导致的严重后果，提出了解决计算机网络安全问题的对策方法，重点研究网络安全防御技术，并对网络安全防御技术的设计和应用提出实现的方法．     

安全高效的空间信息网中群组密钥交换协议

为实现空间信息网中保密通信,提出一个适用于空间信息网的群组密钥交换协议。协议充分考虑了空间信息网中结点的通信特点,所有的卫星结点根据其所在的轨道划分为不同的簇。协议由簇内阶段、簇间阶段和密钥分发阶段组成,每个结点均生成密钥贡献值并汇总至地面中心结点,中心结点生成密钥并秘密发送给每个结点。证明了协议具有语义安全性,进行了通信复杂度分析并利用NS2软件进行了仿真验证。结果表明:相比其他协议,本文协议在空间信息网中应用时具有较高的通信效率。     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

基于PPSK的物联网终端可信准入认证系统设计与实现

物联网技术在有力推进智慧校园建设的同时也对网络安全提出了更高的要求。目前,物联网终端准入可信认证机制尚未成熟：现有的基于MAC地址认证模式难以避免地址伪冒的问题,IEEE 802.1x认证模式存在终端适用性不强、管理维护难度高的缺点,而预共享密钥模式(pre-shared key,PSK)则不满足接入设备及身份具有不可否认性等合规性要求。为解决此类问题,本文基于私有预共享密钥模式(Private-PSK,PPSK)+用户预注册系统设计并实现了物联网终端准入可信认证系统。该系统可有效减少身份冒用、地址假冒等方面的安全问题,可大幅增强物联网终端管理安全。此外,本文进一步给出了在校园网内如何提高物联网系统的高可用性、高安全性的具体实践经验。