SSL协议安全性能分析及改进措施研究

随着信息传递的速度飞速增长,网络通信安全防御成为网络安全领域的重点研究之一.目前绝大多数网络安全厂商将改进完善现有的网络安全协议作为一种重要的防御手段.但由于加密技术出口的限制政策,我国无法进口.国内电子商务的安全问题又日益严重,故提出了改进SSL协议安全性的研究.主要从SSL协议漏洞和SSL协议攻击两个方面进行分析,发现一些重大漏洞,并得出相应的改进措施.同时,详细地分析并改进了密钥强度漏洞、密钥管理漏洞、数字签名漏洞、防范通信业务流攻击、Change Cipher Spec消息丢失、密钥交换算法欺骗预防方式、中间人攻击等防范措施,并画出改进措施流程图.     

一种新的单/多密钥交换协议

文章提出一种新的无散列函数单/多密钥交换协议;该协议同Diffie-Hellm an协议一样都是建立在离散对数问题上的,具有较好的安全性;该协议具有身份认证功能,可以避免Diffie-Hellm an协议中存在的漏洞——中间人攻击,而且它既可以进行单密钥交换又可以进行多密钥交换。     

密钥交换协议的安全性分析

通过对两种攻击的分析，指出缺少认证性的密钥交换协议是不安全的．从认证性入手，在以下两个方面探讨了密钥交换协议的安全性：一方面讨论该协议应采用的消息元素和密码体制，为规范此类协议的设计指出了一个可行方向；另一方面通过两个密码学游戏给出了安全密钥交换协议的定义，该定义量化了协议的认证性，与以往的定义相比，可更准确和直观地分析这种协议的安全性．     

一种基于椭圆曲线的多方密钥交换协议

在分析已有的Differ-Hellman两方密钥交换协议的基础上,提出了一种基于椭圆曲线的多方密钥协商协议,把椭圆曲线公钥密码体制运用于密钥协商的认证过程,能够有效地防止中间人攻击和重放攻击,保证了密钥协商协议的安全性和实用性.     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

基于口令的跨服务器认证密钥交换协议研究

为了满足某些特殊通信服务在跨服务器认证密钥交换时必须由客户直接协商产生会话密钥的要求,该文提出一种新的基于口令的跨服务器认证密钥交换协议。该协议对在线字典攻击的反应灵敏度及发现此类攻击的计算代价和通信代价低;分析结果表明,新协议满足基于口令的认证密钥交换协议的安全性要求。     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

基于混沌映射理论的身份验证蜻蜓密钥交换协议

蜻蜓协议是一种基于密码身份验证的密钥交换协议,该协议已经成为IETF的一个互联网使用的候选协议。然而,Harkins分析了该协议的安全性后,设计了一个算法成功地在一个多项式的时间内完成了对蜻蜓密钥交换协议的攻击。提出一种采用混沌映射理论设计算法的改进蜻蜓密钥交换协议,该协议基于混沌映射的离散对数问题CMBDLP和混沌映射的DiffieHellman问题CMBDHP,使用有限域乘法算法取代传统的混沌映射对称加密的方法,并且算法中引入Hash函数的计算,一方面提高了算法的效率,另一方面提高了算法的安全性。因此,与目前的蜻蜓协议相比,该协议更安全、更高效、更实用,可以抵抗密码猜测攻击、重放攻击、欺骗攻击、内部攻击以及Harkins提出的攻击,并且实现了完全正向保密和已知密钥保密。     

IKE协议中基于预共享密钥验证的主模式研究

IKE协议已成为因特网上最具应用前景的密钥交换协议.简要介绍IKE的工作机制之后,对其消息交换的全过程给出了安全性分析.针对现有协议存在的不足,对基于预共享密钥验证的主模式交换过程给出了新的改进模型,提出了身份散列载荷的概念以及进行两次认证的思想,保护了预共享密钥的安全,进而也增强了抵御中间人攻击和DoS攻击的能力.最后,结合freeS/WAN源代码,修改和增加了相应的函数,将改进思想融入其中.     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

二元多项式环上密钥交换协议之密码分析

密钥交换与加密、数字签名一起被公认是现代密码学中的三个密码原语和网络安全服务,但目前抗量子计算的密钥交换协议的研发远未成熟.2010年,Romańczuk和Ustimenko提出了一个公钥基础设施背景下基于有限域上矩阵群和多项式环的两方密钥交换协议.但在2012年,Blackburn,Cid和Mullan对其发起一种存在性攻击.首先分析这种攻击因被动敌手需要使用密码系统的一个秘密参数而无效的原因.其次针对教科书式RU协议缺乏数据源认证的局限性,具体构造了一种中间人攻击.分析结果表明:RU协议对此种在常见网络安全威胁模型下计算上可行的主动攻击是脆弱的.     

利用有限域上遍历矩阵实现基于隐藏基的密钥交换

针对传统密钥约定方案安全性较低问题, 提出一种新的密钥交换(约定)方案〖CD2〗基于隐藏基的密钥交换. 通过利用有限域上的遍历矩阵对当事双方各自所选择的基进行隐藏, 实现了交换操作. 通过交换操作, 最终实现了基于隐藏基密钥交换协议. 利用该协议, 当事双方可进行较大规模的密钥交换. 通过对交换操作的安全性分析可知, 该协议可以抵抗蛮力攻击, 具有较高的安全性和较强的实用性.     

格上两方口令认证密钥交换协议研究综述

量子计算机的发展威胁着传统基于数论的口令认证密钥交换协议的安全.由于格密码系统具有较高的渐进效率、可并行计算以及抗量子攻击等优点,基于格上难题的口令认证密钥交换协议的研究成为一大热点.本文归纳和总结近年来格上两方口令认证密钥交换协议的发展和研究现状,依据构造思路分类别对协议的设计思想及运行过程进行深入阐述,并从安全性和运行性能两方面进行分析比较.最后,我们指出格上两方口令认证密钥交换协议研究中存在的问题与挑战,并给出进一步的研究方向.     

有效防御DDoS攻击的密钥交换协议的设计研究

针对现有密钥交换协议在保护通信双方身份信息和防御DDoS攻击方面的不足,提出一种在可信任第三方的辅助认证下实现的新型密钥交换协议．研究分析表明该协议能有效地保护双方通信实体的身份信息和防御DDoS攻击．     

基于验证元的多密钥跨域交换协议

摘要:跨域的口令密钥交换协议(C2C-PAKE),可以使处于不同区域的用户通过不同的口令协商出共享会话密钥。本文针对大多数现存的跨域交换协议均需要依赖公钥密码算法效率较低的情况,在一个高效的三方密钥交换协议的基础上,提出了一个基于验证元的跨域密钥交换协议,该协议执行一次就能生成四把会话密钥,且无需使用公钥密码算法,与同类协议相比具有很高的效率。通过安全性分析证明,本文提出的协议能够抵御已知的各种攻击。     

一种新的域间基于身份认证密钥协商协议

目前对于密钥交换协议的研究越来越多,如基于Diffie-Hellman的密钥交换协议。但是对于密钥的认证却没有很好地解决,如何保证参与方的认证？例如在Diffie-Hellman密钥交换协议中,如何防止中间人攻击。目前的方案需要可信的第三方TTP（Trusted Third Party）的支持;密钥的更新和管理有困难,不同的域无法完成密钥交换。现提出一种新的域间基于身份认证的密钥交换协议,一方面使得在不同域间的用户也可以交换密钥;另一方面用户使用基于身份的密钥产生方案可以对用户进行认证。     

对Yahalom-Paulson协议的分析与改进

对原始Yahalom-Paulson协议和Backes与Pfitzmann的简化Yahalom-Paulson协议进行分析,指出各自协议中存在的漏洞.原始协议中存在类型缺陷攻击,简化协议中存在重放攻击导致协议参与实体间会话密钥不一致.对Yahalom-Paulson协议作出改进并使用串空间理论证明改进后协议的正确性.     

密钥交换协议JFK的分析与研究

快速密钥交换（JFK）协议是一种新的密钥交换协议，它的安全性引起了人们的重视。文中通过使用BAN类逻辑方法针对其安全目标进行了分析与研究。首先简介了JFK协议的两种形式和报文交互的工作原理，在此基础上指出了它所达到的安全目标，然后介绍了BAN类逻辑方法的符号语义说明和逻辑规则，并通过使用它对JFK协议中一种具体形式JFKr的安全性进行了分析证明。得出了JFK协议满足密钥交换协议的基本安全需求的结论。     

一种抗DoS攻击的密钥交换协议

对meCK模型进行了扩展, 增加了抵抗拒绝服务(DoS)攻击的能力。提出了一种抵抗拒绝服务攻击的密钥交换协议并分析了协议的各种安全属性。通过分析发现所给协议不但满足一般的安全需求而且具有抵抗拒绝服务攻击安全性以及抵抗临时密钥泄露安全性, 与同类协议DoS-CMQV 相比较, 在保持相等通信与计算效率的同时具有更强的安全性。     

由群论中换位子实现的密钥交换及其应用

密钥交换协议能够在两个人或多个人之间通过一个协议取得密钥并用于进一步的数据加密.基于群论中换位子的思想设计密钥交换协议,探讨置换群和矩阵群中由换位子实现的密钥交换及其应用.