Park等远程用户认证协议的分析与改进

2009年Park等提出了一个高效远程用户认证协议,并宣称这是第一个能抵抗离线口令猜测攻击的基于智能卡的口令认证方案,具有不需要存储口令表、没有时间戳、传输和计算量小等优点.然而,本文指出了他们的方案无法抵抗离线口令猜测攻击和伪造攻击.为克服其安全性缺陷,提出了不影响原方案功能的、基于随机数和基于时间戳的两个认证协议.技术分析表明提出的改进方案是安全、高效和实用的.     

可证明安全的基于RSA的远程用户口令认证协议

身份认证是确保信息系统安全的基本手段,基于RSA的认证协议由于实用性较强而成为近期研究热点.讨论了Xie等提出的一个基于RSA的双因子远程用户认证协议,指出该协议不能抵抗重放攻击和密钥泄露仿冒攻击,无法实现所声称的安全性,并且存在用户隐私泄露和可修复性差问题,不适于实际应用.给出一个改进方案,在随机预言机模型下,基于RSA假设证明了改进方案的安全性.与现有的基于RSA的同类协议相比,改进协议在保持较高效率的同时,首次实现了可证明安全性,适用于安全需求较高的移动应用环境.     

信息管理系统的口令安全方案

在ＭＩＳ系统的用户口令管理中引入单向函数和智能卡技术,单向函数使得入侵者从口令表中只能浏览到用户的加密口令,并且从加密口令获得用户的秘密口令是非常困难的;智能卡的引入使得用户的登录依赖于不易仿制的外部存储装置,因此这样的ＭＩＳ系统有效地保护了用户的口令,具有较高的安全性能．     

一种基于身份的数字签名算法研究

文电处理系统是一种用于作战命令及文书快速传送和快速处理的通信系统,该系统需要具备可靠、高效且适合移动设备的身份认证机制。针对该安全问题,利用基于身份的密码体制,提出了一个基于身份的数字签名方案。该方案系统开销小,运算量低,与同类方案比较也具有较好的效率。安全与性能分析表明,该方案是安全高效的,适合于在文电处理系统中使用。     

一种基于ELGamal签名和零知识证明的双向认证方案

利用有向签名的方法,结合零知识证明的思想,在ELGamal签名机制的基础上提出了一种新型的基于身份的双向认证方案。只有特定的双方用户,不必暴露自己的秘密信息就可以实现双向身份认证。该方案具有良好的安全性和较低的计算复杂度。     

云计算环境下动态用户行为认证的机制、模型与分析

在云计算中,终端用户对云资源软硬件的影响和破坏远比目前用户利用因特网进行资源共享要严重的多,因此相对于用户的身份,用户的行为是否真实可信是云计算研究的一个重要内容。提出了户行为认证的机制,包括行为认证集的确立、行为证据的获得、行为认证的策略,建立相应的随机Petri网模型,并通过量化瞬时变迁的实施概率来模拟不同的认证选择,利用系统达到稳定状态时位置中的平均标记数来评价认证效果,为云计算的安全应用奠定理论和实践基础。     

支持数据完整性验证的可问责数据交易方案

针对数据交易方案的密钥泄露、合谋等安全问题,提出原子性可问责的数据交易方案。将数据审计技术与智能合约结合实现自动支付,确保交易过程中数据的完整性以及支付的公平性;采用自认证公钥密码技术设计用户注册过程,确保即使遭受单点故障问题,用户私钥仍然安全;借助会话密钥加密通信,解决了对称密钥分发问题,同时能够高效维护通信安全;构造了可公共审计的问责机制处理用户争议,以抵抗合谋攻击。安全性分析及实验表明本方案不仅能抵抗密钥泄露攻击和合谋攻击,还能够降低通信成本、高效问责。     

基于Plug-in的WWW安全认证系统研究

插件(Plug-in)结构能使软件动态寻找和加载特定代码模块,被越来越广泛地采用.在基于B/S体系结构中采用Plug-in技术可以有效地增强浏览器功能.从基于Web的安全认证出发,研究了浏览器中Plug-in程序设计方法,提出了浏览器中采用Plug-in技术实现基于IC卡的用户身份认证方案,通过对服务器资源设定和Web页面改造,实现了用户对服务器Web资源访问控制功能.     

云制造系统用户认证和服务间协同高效可信安全技术

针对云制造系统不同安全域之间信任关系孤立导致的用户跨域访问重复进行身份认证和云服务跨域协同被拒绝的问题, 设计了一种面向云制造系统的域间互信过程模型, 提出了基于域间互信的用户认证和服务跨域协同高效可信安全优化技术, 实现了用户可信身份跨域传递和云制造服务跨域协同, 并在企业进行了应用验证, 给出了所提方法与传统方式的对比分析。分析结果表明, 提出的高效可信安全技术能够在提升云制造系统认证和服务跨域协同效率的同时不降低现有安全机制的防护强度。     

一种新型椭圆曲线密码系统协处理器的VLSI设计

研究了椭圆曲线运算的方法及椭圆曲线密码系统协处理器VLSI实现问题。基于一种新的投影坐标系,给出了求解椭圆曲线点乘运算的点加与倍点算法,提出了一种新的优化存储单元调度方案。根据研究的算法,得到了一种新型的协处理器VLSI结构。仿真结果表明,在50MHz时钟下,点乘运算速度为平均155次/秒。     

一种新的基于混合策略的动态组密钥管理方案

针对大型动态组通信,提出一种基于Iolus LKH SKDC混合策略的组密钥管理方案。该方案中全局组控制器通过密钥树来管理各个子组控制器,每个子组内采用改进的LKH SKDC方案管理子组成员;子组管理器根据成员ID值,利用单向散列函数计算成员所在路径上各节点密钥值。该方案具有分组管理和集中管理的优点以及良好的可伸缩性,它使LKH方案中的单点失效问题限制在子组范围内,不会对全局产生影响。理论分析和数值结果表明,该方案中子组管理器的密钥存储和动态更新开销大大减少,且用户在加入和退出子组时不会随机产生更新密钥,具有较好的综合性能。     

基于信任的服务实体跨域认证方案

根据目前基于身份的跨域认证过程中域代理(domain agent,DA)数量有限的特点,针对该跨域认证过程中计算复杂的问题,采用信任和基于身份密码体制相结合的方式,提出了基于信任的用户跨域访问信息服务实体(information services entity,ISE)资源的算法。该算法首先完成用户在DA的身份认证,然后采用提出的信任度判断方法进行信任度的判断达到双向认证的目的,最终实现用户跨域访问ISE。仿真结果表明,信任度的判断方法有效地实现抵抗“恶意”DA的攻击,同时该基于信任的ISE跨域认证方案与基于身份的跨域认证方案相比,计算量减少,通信开销降低。     

基于IBC策略驱动的组播内容分发方案

针对内容分发应用中的组播加密方案和多接收者加密方案所存在的动态组密钥管理复杂、计算和通信代价高等问题,分析了内容分发系统的典型安全需求,采用基于身份密码学提出了一种新的面向群组的安全内容分发系统模型与方案,经安全性与性能分析表明,方案满足接收方访问控制、发送方鉴别与防抵赖、策略加密等安全要求。将发送方的计算和通信代价降为O(1),同时具有密钥管理简单、组密钥更新开销小和易于实现等特点,能方便地应用于商业的组播内容分发系统。     

A new threshold authenticated encryption scheme using labor-division signature

This paper shows several security weaknesses of a threshold authenticated encryption scheme. A new threshold authenticated encryption scheme using labor-division signature is proposed without redundancy added to message blocks. On the assumptions of EDDH problems, the proposed scheme is secure against chosen-ciphertext attacks and existentially unforgeable against the chosen-message attacks in the random oracle model.     

Secure and efficient elliptic curve cryptography resists side-channel attacks

An embedded cryptosystem needs higher reconfiguration capability and security. After analyzing the newly emerging side-channel attacks on elliptic curve cryptosystem (ECC), an efficient fractional width-w NAF (FWNAF) algorithm is proposed to secure ECC scalar multiplication from these attacks. This algorithm adopts the fractional window method and probabilistic SPA scheme to recondigure the pre-computed table, and it allows designers to make a dynamic configuration on pre-computed table. And then, it is enhanced to resist SPA, DPA, RPA and ZPA attacks by using the random masking method. Compared with the WBRIP and EBRIP methods, our proposals has the lowest total computation cost and reduce the shake phenomenon due to sharp fluctuation on computation performance.     

基于AKB-OTS的传感器网络广播认证协议

现有的基于一次性签名的传感器网络广播认证协议因存储开销较大,较难适用于大规模尤其是多广播节点网络.提出基于辅助密钥的一次性签名方案(assistant-key based-onetime signature,AKB-OTS),引入辅助密钥和Merkle树机制对HORS进行改进,降低其公钥和私钥尺寸.提出基于AKB-OTS的多广播节点传感器网络广播认证协议.分析和验证表明,本协议存储、通信和计算开销低,能够抵抗穷举、选择明文、DoS等攻击,适用于大规模多广播节点传感器网络.     

Identity-based authentication protocol for grid

Current grid authentication frameworks are achieved by applying the standard SSL authentication protocol （SAP）. The authentication process is very complicated, and therefore, the grid user is in a heavily loaded point both in computation and in communication. Based on identity-based architecture for grid （IBAG） and corresponding encryption and signature schemes, an identity-based authentication protocol for grid is proposed. Being certificate-free, the authentication protocol aligns well with the demands of grid computing. Through simulation testing, it is seen that the authentication protocol is more lightweight and efficient than SAP, especially the more lightweight user side. This contributes to the larger grid scalability.