密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

IKE协议中基于预共享密钥验证的主模式研究

IKE协议已成为因特网上最具应用前景的密钥交换协议.简要介绍IKE的工作机制之后,对其消息交换的全过程给出了安全性分析.针对现有协议存在的不足,对基于预共享密钥验证的主模式交换过程给出了新的改进模型,提出了身份散列载荷的概念以及进行两次认证的思想,保护了预共享密钥的安全,进而也增强了抵御中间人攻击和DoS攻击的能力.最后,结合freeS/WAN源代码,修改和增加了相应的函数,将改进思想融入其中.     

一种基于椭圆曲线的多方密钥交换协议

在分析已有的Differ-Hellman两方密钥交换协议的基础上,提出了一种基于椭圆曲线的多方密钥协商协议,把椭圆曲线公钥密码体制运用于密钥协商的认证过程,能够有效地防止中间人攻击和重放攻击,保证了密钥协商协议的安全性和实用性.     

中间人攻击下增强身份保护的IKEv2改进

首先探讨了IKEv2协议可能遭受中间人攻击和密钥生成方案面临蜕化消息攻击的缺陷,针对退化消息攻击的威胁提出了基于共享密钥的密钥生成方案.针对存在的身份保护缺陷进行了分析,并相应地对IKEv2协议进行改进,提出的方案能够有效地进行身份保护.改动后的实现代价并不大,也不破坏ISAKMP框架及交换的对称性.     

二元多项式环上密钥交换协议之密码分析

密钥交换与加密、数字签名一起被公认是现代密码学中的三个密码原语和网络安全服务,但目前抗量子计算的密钥交换协议的研发远未成熟.2010年,Romańczuk和Ustimenko提出了一个公钥基础设施背景下基于有限域上矩阵群和多项式环的两方密钥交换协议.但在2012年,Blackburn,Cid和Mullan对其发起一种存在性攻击.首先分析这种攻击因被动敌手需要使用密码系统的一个秘密参数而无效的原因.其次针对教科书式RU协议缺乏数据源认证的局限性,具体构造了一种中间人攻击.分析结果表明:RU协议对此种在常见网络安全威胁模型下计算上可行的主动攻击是脆弱的.     

SSL协议安全性能分析及改进措施研究

随着信息传递的速度飞速增长,网络通信安全防御成为网络安全领域的重点研究之一.目前绝大多数网络安全厂商将改进完善现有的网络安全协议作为一种重要的防御手段.但由于加密技术出口的限制政策,我国无法进口.国内电子商务的安全问题又日益严重,故提出了改进SSL协议安全性的研究.主要从SSL协议漏洞和SSL协议攻击两个方面进行分析,发现一些重大漏洞,并得出相应的改进措施.同时,详细地分析并改进了密钥强度漏洞、密钥管理漏洞、数字签名漏洞、防范通信业务流攻击、Change Cipher Spec消息丢失、密钥交换算法欺骗预防方式、中间人攻击等防范措施,并画出改进措施流程图.     

基于IPSec的虚拟专用网络密钥交换实现及其安全分析

本文研究了基于IPSec结构的虚拟专用网密钥交换的基本概念和原理，详细地阐述了通过一系列参数的协商在非安全的公共IP网络中建立安全通信的密钥交换机制，给出了基于Linux系统的客户机／服务器VPN密钥交换的软件实现，对其安全特性作出了分析，指出其具有抗服务拒绝攻击，抗中间人攻击，抗连接插入攻击和防止窍听等安全性能，最后对今后研究发展的方向作了进一步的展望。     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

一个基于SIP安全的三因子密钥认证协议

Yoon和Yoo运用椭圆曲线密码提出了一个新的基于会话发起协议(SIP)的三因子密钥认证方案并声称能够抵抗多种攻击.然而,作者研究发现Yoon和Yoo的方案不能抵挡伪造攻击和中间人攻击.为了改进以上缺陷,提出了一个安全、有效的三因子远程认证新方案并进行了安全性分析,分析表明新方案可以抵挡以上攻击并实现了用户匿名性.     

一种新的单/多密钥交换协议

文章提出一种新的无散列函数单/多密钥交换协议;该协议同Diffie-Hellm an协议一样都是建立在离散对数问题上的,具有较好的安全性;该协议具有身份认证功能,可以避免Diffie-Hellm an协议中存在的漏洞——中间人攻击,而且它既可以进行单密钥交换又可以进行多密钥交换。     

IPSec VPN网关中IKE消息通信机制的设计

介绍了在IPsec VPN(IP secllrity Virtual Prirate Net)安全网关中动态密钥交换协议IKE(Intemet Key Exchange)的消息通信机制的设计方法,深入研究了消息队列中管理消息、网络消息、内核消息通信方案,对IKE的系统设计提出全新的模块架构和实现方案.     

面向 IPSec 的关联数据库结构的研究

在分析IP安全机制、网络密钥交换和安全关联的基础上，确定了基于IP安全机制的关联数据库所应包含的基本数据结构，并给出了在Linux环境下的结构说明及其中每个参数的具体含义和作用.     

基于Linux的IPSec VPN网关中IKE协议的设计

介绍了在IPSec VPN（IP Security Virtual Private Net）安全网关中动态密钥交换协议IKE（Internet Key Exchange）的设计方法．深入研究了IKE协议组成、协商过程、密钥管理等若干问题,对IKE的系统设计提出全新的模块架构和实现方案。     

基于预共享密钥IKE SA的分析与改进

分析了基于预共享密钥IKESA协商过程中存在的安全问题，提出了改进HASH计算的新方法，分析表明，该方法降低了对内存的消耗，提高了IKESA协商过程的安全性。     

基于公钥签名的IKE分析与改进

研究了Internet密钥交换协议中基于公钥签名的身份认证技术，针对DSS公钥签名幂运算量过大的缺点，将MQV认证密钥协商协议引入到：IKE(Internet Key Exchange)身份认证技术中，新的认证方法减少了幂运算的次数，从而提高了IKE密钥协商的效率．     

基于PDS的IKE安全协议形式化分析

介绍了支持复杂协议形式化并行推导的PDS协议衍生推导系统和IKE协议.给出了使用PDS形式化衍生IKE协议的核心认证部分的方法.     

IKE协议认证方式分析和改进

IKE协议作为IP Sec协议组的重要组成部分,在保证因特网的安全通信方面起着重要的作用。在分析IKE协议定义认证方式及其改进方案的基础上,我们对基于IKE协议抵御拒绝服务攻击的认证方式改进作了进一步的探讨。     

基于亲密伙伴安全通信方案的移动扩展研究

在对原有亲密伙伴安全通信方案及IPSec协议深入研究的基础上,结合移动IPv6网络中移动节点的特性,提出了一种基于移动IPv6网络的安全通信扩展方案.通过使用IKE移动性支持协议 (Mobile IKE,MOBIKE) 、在移动网络中构造动态分布式管理节点,解决了原方案不能直接运用于移动网络以及网络带宽利用率低的问题,使IPSec策略在移动IPv6网络中得到了灵活的应用.最后,通过对新方案进行仿真和分析证明了该方案的可行性.     

基于数字签名的IKE主模式认证机制的分析与改进

通过对基于数字签名的IKE主模式认证机制的分析 ,指出了协议中存在的对协议发起方身份保护的安全问题 ,这一问题同样存在于IKEv2的数字签名认证中 .文中对这一问题给出了协议的改进方案 ,并分析说明 ,改进的方案可有效地保护协议发起方的身份信息