基于d维纠缠态的安全量子投票协议

在投票过程中如何保护投票人的隐私是当前量子投票协议设计中的一个重要研究课题.本研究通过对d维量子纠缠态进行分析,利用其相位可以隐藏秘密信息的性质,设计一 个安全量子投票协议.通过对协议的分析发现,在量子信道中传递选票信息时,协议能够隐藏投票信息,满足投票人对身份信息的安全性和匿名性需求,有效保证投票人的投票信息不被窃取...     

Radius服务器中EAP认证子系统的设计

无线网络的信息安全问题一直是限制它发展的一个重要因素.解决这个问题的一个办法是在认证服务器中部署EAP认证子系统.Radius是目前应用最广泛的AAA协议,提供用户的认证,授权和计费服务.基于EAP协议,可以在Radius服务器上支持多种不同安全性能的身份验证方法.在Radius服务器上设计了一种EAP认证子系统,该系统支持EAP-MD5、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS、EAP-PEAP五种认证方法,并且具有良好的安全性和可扩展性.     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

一种改进的RC（3,7）安全协议

针对在无条件安全通信中,现有的俄罗斯纸牌协议在3个游戏者和7张纸牌的情况下（RC（3,7）协议）显著存在通信信息冗余的问题,提出一种消息构造算法和一组发送规则.首先计算最小信息集合,然后给出通信数据,最后通信方发送基于最小信息集的消息,这样就形成了一种改进的RC（3,7）协议.通过形式化推理的方式证明了新算法的有效性,在此基础上证明了新协议的有效性.为通信各方建立了博弈模型,并对模型的2种可能模式进行匹配,通过这种方式证明了该协议的安全性.结果表明：与原始协议比较,改进的RC（3,7）协议应用于身份认证具有更加安全、更少信息冗余等特点.     

基于三因素的远程身份认证系统安全威胁研究

三因素(密码、智能卡、生物特征)身份认证是目前身份认证领域研究热点.三因素身份认证面临来自客户端、网络、服务器端等多个环节的安全威胁,只有理清可能面临的安全威胁才能设计符合要求的安全高效身份认证协议.通过总结分析国内外相关文献后总结出基于三因素身份认证协议面临的安全威胁和需要实现目标,为下一步实现安全高效的基于三因素身份认证方案提供基础.     

基于安全协议的智能灌溉系统设计

针对现有智能灌溉系统中数据交互的安全问题,设计了一种基于安全协议的智能灌溉系统.智能灌溉系统以此安全协议为核心,并设计身份认证模块、签名模块、签名验证模块,实现了安全协议.最后对智能灌溉系统进行实验与仿真,实验结果表明基于安全协议的智能灌溉系统运行效率高,在智能灌溉装置计算能力和传输能力较弱的情况下具有良好的适用性和安全性.     

一种新的量子密钥分发、认证协议

为了提高量子密钥的分发效率,降低信道要求,并在密钥分发过程中实现身份认证,提出了一种新的量子密钥分发协议,在该协议中载波光子的发送与接收仅由一方完成.该协议只有一条量子信道,通过在量子信道的中段对光子进行偏振调制,可将欲传递的信息附加到光子上;同时,该协议通过通信双方的共享信息进行身份认证,避免了以往同类协议中不安全的经典信道.该协议属于偏振光类型的量子传输协议.当收发均由一方进行时,能有效地提高光子的利用效率,并增强安全性能.     

一种高效的匿名口令认证密钥交换协议

针对云计算等网络新应用中用户隐私保护问题,提出了基于椭圆曲线CDH假设的匿名口令认证密钥交换APAKE协议,通过它用户既能与服务器建立共享会话密钥,又不会暴露其真实身份信息.通过系统模型、安全模型定义及严格的形式化证明,验证了此APAKE协议满足正确性、PAKE安全性及用户匿名性.通过与现有协议对比分析表明:所提APAKE协议既能抵抗身份冒充攻击及离线口令猜测攻击,也提供双向认证;协议效率得到很大提高,客户端及服务器端计算复杂度均有大幅降低.     

C-TNC:适用于Openstack的可信云接入协议

在Openstack云接入认证过程中引入可信网络连接(TNC)思想,实现了一种强身份认证的终端接入云C-TNC协议.该协议从信道安全、平台安全、用户身份安全角度出发,将可信连接思想应用到云平台接入过程中,有效弥补了目前Openstack云平台存在的认证不足问题,从接入源头保证了云环境的安全.安全性实验结果显示:本协议可以有效防止由接入终端不可信导致的各类安全攻击.     

一种基于零知识证明的远程桌面认证协议

目前桌面云环境下用户身份认证过程中用户属性可能存在泄漏。针对此种安全威胁,提出了一个远程桌面认证模型。在该模型的基础上,提出了一种基于零知识证明的远程桌面认证协议ZPBRDAP。该协议包括属性注册协议(AR协议)与身份认证协议(IA协议),在不暴露用户身份属性的同时完成用户身份认证。最后,分析了该协议的正确性、安全性以及协议效率,表明该协议具有良好的可用性。     

一种适用于Ad hoc网络的轻量级密钥交换协议

通过对Ad hoc网络安全性特殊需求的分析,提出适合其特点的轻量级节点间密钥交换协议. 协议使用一种新的基于ID的身份认证机制相互验证身份;使用改进的Blom机制生成加密密钥和认证密钥,分别用于数据私密性保护和报文完整性检查. 为了防止敌方捕获密钥,提出基于节点间数据流的密钥更新机制. 针对节点撤销,给予相应的解决方案. 从不同的角度对协议进行安全性分析,通过和其他实现方法比较,在性能方面证明其高效性.     

基于直接匿名证言的可信平台身份证明协议的设计

直接匿名证言(DAA)既解决了隐私CA的瓶颈问题,又实现对TPM的认证和匿名,是当前可信计算平台身份证明最好的理论解决方案之一,TCG在TPMv1.2中将其作为解决平台身份证明问题的标准.但该标准中仅仅重点描述了DAA实现认证和匿名的原理、复杂运算和关键步骤,并没有给出具体和完整的协议流程.基于DAA基本原理设计了可信平台身份证明的安全协议:AI-DAA.该协议不仅能够实现可信平台身份认证和隐私保护,而且还能保证协议实体之间的双向身份认证和信息传输的机密性.协议安全性分析表明,AI-DAA不仅能防止消息重放攻击,而且还能抵御中间人攻击.     

Implementation of Security Facilities in Simple Network Management Protocol (SNMP)

Simple Network Management Protocol (SNMP) is the most widely used network management protocol on TCP/IP-based networks. However, the lack of security features, notably authentication and privacy, is its weakness. To rectify this deficiency, a new version of SNMP, known as SNMPv3, is presented. The principal security facilities defined in SNMPv3 which include timeliness mechanism, authentication, privacy and access control are outlined, and a example on how to implement security features in a practical software system is given.     

Implementation of Security Facilities in Simple Network Management Protocol (SNMP)

Simple Network Management Protocol (SNMP) is the most widely used network management protocol on TCP/IP-based networks. However, the lack of security features, notably authentication and privacy, is its weakness. To rectify this deficiency, a new version of SNMP, known as SNMPv3, is presented. The principal security facilities defined in SNMPv3 which include timeliness mechanism, authentication, privacy and access control are outlined, and a example on how to implement security features in a practical software system is given.     

Ubiquitous Computing Identity Authentication Mechanism Based on D-S Evidence Theory and Extended SPKI/SDSI

Ubiquitous computing systems typically have lots of security problems in the area of identity authentication by means of classical PKI methods. The limited computing resources, the disconnection network, the classification requirements of identity authentication, the requirement of trust transfer and cross identity authentication, the bidirectional identity authentication, the security delegation and the simple privacy protection etc are all these unsolved problems. In this paper, a new novel ubiquitous computing identity authentication mechanism, named UCIAMdess, is presented. It is based on D-S Evidence Theory and extended SPKI/SDSI. D-S Evidence Theory is used in UCIAMdess to compute the trust value from the ubiquitous computing environment to the principal or between the different ubiquitous computing environments. SPKI-based authorization is expanded by adding the trust certificate in UCIAMdess to solve above problems in the ubiquitous computing environments. The identity authentication mechanism and the algorithm of certificate reduction are given in the paper to solve the multi-levels trust-correlative identity authentication problems. The performance analyses show that UCIAMdess is a suitable security mechanism in solving the complex ubiquitous computing problems.     

Secure DHCPv6 Mechanism for DHCPv6 Security and Privacy Protection

With the rapid developmen of the Internet,the exhaustion of IPv4 address limited the development of the Internet for years.IPv6,as the core technology of the next generation Internet,has since been rapidly deployed around the world.As the widely deployed address configuration protocol,DHCPv6 is responsible for allocating globally unique IPv6 addresses to clients,which is the basis for all the network services.However,the initial design of the DHCPv6 protocol gave little consideration to the privacy and security issues,which has led to a proliferation of privacy and security accidents breaches in its real deployment.In this paper,to fundamentally solve a range of possible security and privacy issues,we propose a secure DHCPv6 mechanism,which adds authentication and encryption mechanisms into the original DHCPv6 protocol.Compared with other proposed security mechanisms for the DHCPv6,our method can achieve all-around protection for the DHCPv6 protocol with minimal change to the current protocol,easier deployment,and low computing cost.     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。     

一种新型移动数据库终端身份认证方案

以SRP-6协议和ECC算法为基础设计一种移动数据库终端身份认证方案。与其他同类方案相比,该方案不仅具有较小的存储开销和计算量,而且支持用户和设备的双重身份认证,能够抵抗窃听攻击、重放攻击、伪装主机攻击以及位置隐私攻击等多种攻击行为,从而能够更好地满足移动数据库身份认证的功能需求和安全需求。     

一种面向服务的统一身份认证协议

针对面向服务体系结构（Service—Oriented Architecture，SOA）的身份管理中存在的安全问题，提出了一种面向服务的统一身份认证协议，阐述了其认证原理，分析了其安全性和性能。该协议以认证Diffie—Hellman密钥交换协议为基础，结合SOA的特点，为各SOA应用提供了强身份认证，并能简易地实现单点登录。从理论上分析，该协议是简单、安全、有效的，具有一定实用价值。     

采用区块链的物联网数据共享方案

针对物联网(IoT)数据共享过程中存在的安全漏洞和隐私泄露风险,提出一种基于区块链的物联网数据共享方案.采用数据的不可篡改、分布式存储、隐私保护、可追溯及访问控制,将消息队列遥测传输(MQTT)作为通信协议和中间件,并为其提供身份认证和主题权限管理.结合国产加密算法实现密钥交换、数据摘要和加密传输,通过区块链记录设备的行为,在提高可信度的同时提供追溯的能力,采用智能合约对数据和主题进行共享和管理,实现链上链下数据协同保障数据的一致性.通过系统原型实现与测试,结果表明：该方案能够确保物联网设备之间共享数据时的安全性和隐私性,满足物联网应用性能需求,具有可行性.