使用双线性配对实现组播密钥管理协议

目前多数Ad hoc网络中的组播密钥管理协议都是为了提高某一方面的代价而牺牲其他方面的代价,这与Ad hoc网络对带宽和计算资源的要求相矛盾.为解决这一矛盾,提出了新的分布式组播密钥管理方案,即基于双线性配对密钥树的TPAN协议.TPAN密钥树结合了PSTR方案和PTGDH方案的优点,在主干网络中使用了PSTR密钥树的结构,在部分节点分枝为PSTR密钥子树或PTGDH密钥子树.经过对协议通信代价和计算代价的比较及安全性分析,结果表明,该方案在通信代价和计算代价之间达到了平衡,都具有较小的代价,并且是安全的.     

基于椭圆曲线密码体制的通信认证

基于椭圆曲线密码体制,为增强移动通信的安全性设计了一个新的方案.新方案不需要使用数字证书作为系统公钥,VLR(访问网络)可在不需要HLR(归属网络)的支持下实现VLR和ME(移动用户设备)的双向认证,且新方案具有椭圆曲线的短密钥、高强度的优点,具有较高的安全性.实验结果证明,相比其他方案,新方案具有更少的通信时间和通信量.     

EC密钥协商与分布式认证协议集成

分析了开放网络环境的认证,指出了综合利用多种密码技术设计认证系统以满足日益复杂认证需求的必要性。通过研究认证与密钥交换机制,分析现有协议特性,权衡认证系统安全性、效率及需求等因素,提出了一种认证与密钥交换协议。协议进行分布式认证,综合利用EC密钥协商和对称密钥传输进行密钥交换,可实现双向身份认证和显式密钥认证。该方案可使认证系统性能提高,需求降低。     

一个具有完备前向安全性的基于口令认证密钥协商方案

在基于网络的分布式环境中,基于口令的认证密钥协商方案是一项基本的安全防护机制.对一个已有的基于口令的认证密钥协商方案[Chen T H,Hsiang H C,Shih W K.Securityenhancement on an improvement on two remote user authentication schemes using smart cards.Future Generation Computer Systems,2011,27(4):337-380]做了安全分析,指出其易受离线口令猜测攻击,并且不具备完备的前向安全性.在此基础上,提出了一个安全性增强的远程口令认证密钥协商方案.所提出的方案继承了已有方案的优良性质,能够抵抗离线口令猜测攻击,并且具有完备的前向安全性.经过安全分析,论证了所提出的方案具有强安全性,适合于在分布式环境中对用户和服务器提供双向认证和密钥协商.     

一种基于双线性配对的代理多重签名方案

将矢量空间秘密共享方法和双线性配对相结合,构造了一种基于双线性配对的代理多重签名方案.经过分析表明,该方案满足了一个强代理多重签名体制的安全要求,以双线性配对为工具,与已有的基于RSA和离散对数的代理多重签名方案相比,具有计算效率更高的特点和更广泛的实际应用前景.     

一种安全高效的认证密钥协商协议

SAKA协议不具有密钥泄露安全性。为此,按照L．Law所定义的认证密钥协商协议的安全特性,提出一种基于椭圆曲线密码体制的安全高效认证密钥协商协议——SEAK协议。对本协议的安全性进行分析,证明了它在ECDH难解的前提下是安全的协议;因为SEAK协议平均只需2个整乘和2次信息交换次数,所以它是一个高效率的协议。     

一种基于HTTP摘要认证的SIP安全机制

会话初始化协议(SIP)基于Client/Server结构,由于受到SIP自身特点及应用环境的影响,目前SIP常用的安全机制大都只提供Server对Client的认证,且大都没有提供会话密钥协商的机制,容易受到服务器伪装攻击。在分析了SIP面临的安全威胁以及SIP安全机制的现状后,通过对SIP协议的扩展,设计和实现了一种基于HTTP摘要认证的SIP安全机制。该机制能实现双向身份认证和密钥协商功能,使SIP认证和加密更为灵活。     

基于双线性映射的匿名跨域认证方案

为保证跨域资源访问的安全性,提出一种基于双线性映射的匿名跨域认证协议,该协议可以避免传统基于公钥基础构架的跨域认证方案中证书传递的繁琐性,以及现有基于身份的跨域认证方案中权威机构冒充内部成员进行跨域访问资源的弊端,同时具有实体追踪能力,支持双向匿名实体认证.性能分析表明该方案具有较好匿名性和安全性.     

基于双线性对的分簇WSN密钥协商和认证协议

利用双线性对灵活和简便的特点,提出基于双线性对的分簇WSN密钥协商和认证协议,针对分簇无线传感器网络实现安全有效的管理。该协议基于节点身份和轮值实现节点间的双向身份认证,能保持会话密钥的新鲜,从而提高网络的安全性。仿真实验表明,该方案能够有效提高网络的安全性,且具有通信开销小的特点。     

基于签密技术的可认证密钥协商协议

对Zheng的可认证密钥协商协议进行改进,提出基于身份签密的可认证密钥协商协议。该协议具有签密技术的优点,在同一个逻辑步内同时实现了认证和加密两项密码功能,提高了协议的效率;基于身份的公钥密码系统的使用,降低了建立和管理公钥基础设施的代价,用户无需存储、管理和传输公钥及其证书;另外,椭圆曲线上双线性对使协议能以短的密钥和小的计算量实现同等安全要求。文中所提的可认证密钥协商协议具有计算量和传输量小,安全性高的特点。     

Ad Hoc中基于双线性对和证书的组密钥管理协议

针对当前多数分布式组密钥管理协议不能提供密钥认证及不能抵御主动攻击的安全问题,设计了满足认证性的CBPSTR(certificate- owned and bilinear pairing- based STR)协议.该协议采用特殊的三叉密钥树结构,结合STR和TGDH协议并引入证书和双线性对密码体制.CBPSTR协议包括6个子协议:建立多播组、成员加入、成员离开、合并多播组、拆分多播组和更新组密钥.安全性分析表明CBPSTR协议在计算上是安全的.与STR协议进行比较,CBPSTR协议具有较低计算和通信代价.由于具有成员间的认证性,CBPSTR能抵抗中间人攻击、密钥泄漏假冒攻击和未知密钥共享攻...     

基于双线性对的域间认证与密钥协商协议

结合代理签名和签密方案的特点,以双线性对为工具,设计了一个域间电子商务的认证与密钥协商协议。该协议能够实现移动用户与服务提供商之间的双向认证和移动用户的匿名性,并且会话密钥保持了新鲜性,做到一次一密钥,保证了协议的公平性和实用性,能够克服重放攻击、拒绝服务攻击、中间人攻击和密钥泄漏假冒攻击。     

基于PPUF的高效RFID隐私认证协议

基于PPUF技术,设计了一个具有隐私保护功能的RFID认证协议RPAP．在协议RPAP中,仅要求标签配置一个PPUF函数,而不需要具备其它的计算能力,因此其标签的生产成本低;另一方面,PPUF函数的不可预测性和不可克隆性保证了RPAP协议具有强隐私性:证明了它能抵抗包括破解攻击在内的各种隐私安全攻击;同时PPUF函数的可仿真性保证了协议RPAP具有高效性和良好的可扩展性．     

3GPP-无线局域网异构互联的认证信令优化

针对3GPP-WLAN互联网络的认证协议EAP-AKA,首先建立了3GPP-WLAN用户通过无线局域网(WLAN)实现接入的认证数学模型.通过分析指出,3GPP AAA服务器每次从认证中心获取认证矢量(AV)的数目K与重认证次数对认证信令开销所带来的影响.在考虑了重认证次数影响后,提出了一个新的自适应K选择机制,该机制利用终端在前一WLAN中总的认证次数、重认证次数和K来预测推断当前WLAN中所需的K值.仿真结果表明,新的机制相比固定的K选择机制能更有效降低由获取AV所带来的信令开销.     

入侵容忍技术在身份认证系统中的应用

结合SITAR分布式入侵容忍体系结构和ITPAS密码认证体系统的特点,提出了一个具有入侵容忍功能的分布式密码认证系统模型,并在设计中考虑了冗余、多样性、代理、共享秘密和分布式入侵检测等技术,以求解决认证服务的入侵容忍问题和密码数据库的防字典攻击问题。     

利用P2P技术实现移动终端在WLAN内的漫游认证

针对IEEE 802.11i协议中身份认证和主密钥协商造成认证时延过大的问题,提出了一种利用P2P Chord技术管理无线局域网(WLAN)内认证信息的认证优化机制.站点在首次接入WLAN时将协商生成的认证信息发布至P2P Chord环中.当站点在接入点(AP)间发生切换时,可从P2P Chord环中查找出相应的认证信息以完成后续的协议交互,无需通过认证服务器重新认证,从而显著降低复杂认证引起的时延.理论推导及实验结果表明:该认证信息管理方案能够降低站点在AP间的切换时延,满足实时应用通信质量的需求;同时还可以减轻认证服务器的负担,在一定程度上防止单一故障点的存在.     

基于串空间模型的3GPP认证密钥交换协议分析

基于串空间模型理论及认证测试方法形式化分析了第3代伙伴计划(3GPP)认证密钥交换协议,指出了该协议应用于不安全的信道时存在保密性和认证正确性的缺陷,同时给出了对该协议的2个攻击方法.由此提出了一种改进的3GPP认证密钥交换协议以克服原协议存在的缺陷,应用串空间模型理论及认证测试方法形式化证明了该改进协议在不安全的信道上可确保消息的保密性,移动用户和服务网络间的双向认证,以及消息加密密钥和完整性密钥的新鲜性.     

基于认证测试的通用安全协议设计方法

以认证测试方法为基础,提出了一种通用的安全协议形式化设计方法,使用该方法对Needham-Schroeder(NS)公钥协议进行了重新设计.最后通过认证测试方法证明了重新设计的NS协议能够满足安全协议的保密性、身份认证和数据认证的要求,并且有效避免了原NS协议存在的中间人攻击问题.     

基于攻击者的“角色冒充”的协议验证方法

网络的普及使得网络安全问题日益重要 ,协议的安全性和密码算法的安全性是网络数据安全的两个最基本的概念。介绍了几种具有代表性的安全协议的形式化验证工具 ,并提供了用 JAVA语言实现的基于攻击者和秘密的安全协议验证算法。提出了身份验证协议必须交换秘密的概念 ,还为协议的形式化验证过程设计了框架。实现的验证工具是证伪的