一个基于椭圆曲线的自认证代理密钥分配协议

基于公钥自证明与代理签名的思想,本文首次提出一种基于椭圆曲线密码体制的代理的密钥分配协议,该协议不仅能够抵抗目前已知的各种攻击方法,具备较高的安全性,而且操作简单,无需繁琐的身份鉴别认证过程和时钟同步过程,也无需引入可信CA中心和时戳服务器,大大降低了密钥分配的成本,具有较强的实用性。     

基于签密技术的可认证密钥协商协议

对Zheng的可认证密钥协商协议进行改进,提出基于身份签密的可认证密钥协商协议。该协议具有签密技术的优点,在同一个逻辑步内同时实现了认证和加密两项密码功能,提高了协议的效率;基于身份的公钥密码系统的使用,降低了建立和管理公钥基础设施的代价,用户无需存储、管理和传输公钥及其证书;另外,椭圆曲线上双线性对使协议能以短的密钥和小的计算量实现同等安全要求。文中所提的可认证密钥协商协议具有计算量和传输量小,安全性高的特点。     

基于可信第三方的快速域间垂直切换认证协议

针对异构无线网络中的域间垂直切换,提出一种基于可信第三方的切换认证和密钥协商协议,协议分别考虑了向上切换和向下切换两种切换场景.文中还改进了一种三方密钥分配协议,用于实现域间垂直切换认证过程中的临时密钥分配.分析比较表明,该方案在安全和性能上具有较好的折中性.     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

基于椭圆曲线密码协议产生会话密钥的研究与设计

自从1985年Neal.Koblitz和Victor.Miller首先提出了椭圆曲线密码以来,椭圆曲线理论越来越被人们重视.利用椭圆曲线密码体制的ECDH协议产生会话密钥,在会话密钥产生过程中,利用ECES-ElGamal协议对用于产生会话密钥的数据进行加密,同时利用ECDSA协议进行数字签名,这样可提高密钥的安全性并可确认双方的身份.利用该方法设计的会话密钥产生方案,只需要认证中心支持,而无需密钥分配中心管理,解决了密码体制中会话密钥存储与管理的问题.     

一种新的量子密钥分发、认证协议

为了提高量子密钥的分发效率,降低信道要求,并在密钥分发过程中实现身份认证,提出了一种新的量子密钥分发协议,在该协议中载波光子的发送与接收仅由一方完成.该协议只有一条量子信道,通过在量子信道的中段对光子进行偏振调制,可将欲传递的信息附加到光子上;同时,该协议通过通信双方的共享信息进行身份认证,避免了以往同类协议中不安全的经典信道.该协议属于偏振光类型的量子传输协议.当收发均由一方进行时,能有效地提高光子的利用效率,并增强安全性能.     

一种改进型WSN数据聚合动态身份认证机制设计

为了解决无线传感网络数据聚合过程中增加新的节点所引发的身份认证安全信息泄漏问题,提出了一种改进型的密钥协商和认证机制.该机制的节点通过主密钥与认证的轮数形成认证密钥,以此替代主密钥,从而充分确保主密钥信息的安全.同时还建立了认证器规则,以此完成节点相互间的认证.在此基础上,利用二次剩余定理对认证器信息与认证密钥加密,从而为认证信息在不同节点间的交互安全提供了保障.从安全和性能分析结果看,该协议机制能够有效地抵抗一系列网络攻击行为.对比其他的基于主密钥的认证协议,该认证协议具有较低的能量消耗,又因不需要第三方认证中心而具有较好的可扩展性,能够适应网络规模的不断增大.     

一种适用于基于身份的认证密钥协商的逆向防火墙协议

基于身份的认证密钥协商允许两方或者多方在不安全信道上建立安全的会话密钥。目前的认证密钥协商协议无法抵抗导致随机数泄露的后门攻击,比如已知特定于会话的临时攻击。基于此,我们设计了一种适用于基于身份的两方认证密钥协商的逆向防火墙协议。该协议在随机预言机模型下是安全的,能够抵抗强的临时会话秘密值泄露攻击,提供了消息抗泄露性。同时该协议不使用双线性对,节省了系统运行时间。最后,利用JPBC库实现了该协议。实验结果表明了该协议与同类型的协议相比,具有较小的带宽和较短的运行时间,十分适合应用于资源受限的系统中。     

一个适用于移动通信系统的高效双向认证和密钥协商协议

提出了一个基于公钥加密的无线双向认证和密钥协商协议,解决了无线通信中的身份认证和密钥协商问题.该协议只需两次通信即可完成,且只需进行很少量的信息传输,具有结构简单、运算量小、执行效率高等特点,特别适用于计算资源有限的移动用户,具有较高的实用性.     

基于SRP-6协议的认证与密钥交换方案

针对Web服务中身份认证的问题,分析了SRP-6(Secure Remote Password-6)协议的密钥交换机制,提出了一种基于简单对象访问协议(SOAP)和SRP-6协议的认证与密钥交换方案(SRP-over-SOAP).该方案将SOAP消息进行扩展,通过在SOAP头中加入标记,实现了SOAP消息对SRP认证信息的传递.文中还将该方案用于Web服务,实现了服务器和客户机间的双向身份认证.     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

基于Diffie-Hellman的无线Mesh网络快速认证机制

为了保证无线Mesh网络中移动客户端能够安全快速通过认证,提出了基于Diffie-Hellman算法的快速接入认证和切换认证两种方案。在接入认证方案中,Mesh客户端通过预分发的标签经4次握手完成首次接入认证后,计算用于切换认证的共享密钥,并将密钥预分发给切换的目标接入点。客户端在后续的移动过程中,利用共享密钥经3次握手完成双向认证,认证过程无需认证服务器的参与。对上述两种方案的安全性和性能代价进行了分析,结果表明新提出的两种认证方案的通讯代价和计算代价更小,具有认证时延短、认证效率高的优点,且在网络合法用户可信的前提下是安全的。     

基于CP-ABE的云存储数据访问控制方案

结合云存储的应用环境,构造了一种基于密文策略属性的加密(ciphertext policy attribute based encryption,CP-ABE)技术和收敛加密技术的混合加密数据访问控制方案.该方案包括密钥发布中心、用户和云服务器三方实体,能高效、灵活、细粒度地进行数据的访问控制,可提高云存储服务器的空间利用率,并使用签名技术支持数据源认证和数据完整性认证.理论分析与实验验证了该方案具有较高的实际应用价值.     

一种改进随机密钥预分配的网络分簇密钥管理方案

由于原随机密钥的预分配的管理方案节点存储空间要求高、抗毁性较低,提出了一种使用公钥和引用Hash表中开放式并增加密钥管理的非身份认证密钥管理方案.改进的方案中降低网络节点存储空间要求,增强无线传感器网络抗毁性能.Matlab仿真表明,此方案中单个节点密钥存储量减少至少一半;网络中簇内节点连接率为100%;在安全性方面,能有效减少节点密钥破解的数量,未捕获节点的密钥暴露概率是比原随机密钥的预分配的管理方案要低20%以上.     

基于区块链的分布式物联网身份认证方案

随着计算机设备与通信技术的飞速发展,连接网络的设备数量正在以指数级迅速增长,然而在设备数量激增的背景下,数据泄露、数据篡改等数据安全问题也随之而来,因此设备之间的身份认证就显得尤为重要。然而在传统的网络环境中,身份认证大多采用集中式的网络结构,依靠身份认证中心等对设备身份进行管理,然而由于物联网设备的异构性和资源有限性,传统的集中式的身份认证方案并不完全符合物联网系统。为解决上述问题,本文在区块链的技术框架下提出了一种基于区块链的分布式物联网身份认证方案,该方案包括一种基于区块链的分布式物联网架构,并在该架构的基础上,提出了一种基于哈希链的身份认证方案以及一种基于网络安全编码的密钥分配方案,由于区块链技术具有开放性、不变性、可追溯性和容错性等特性,因此可以确保物联网场景中数据传输的私密性,从而提供安全的通信环境。文中对方案相关的性能指标进行了评价,实验分析证实了所提出的方案的高效性和可扩展性。     

一种基于身份可认证两方密钥协商方案

为了降低计算开销,提高安全性,通过 Diffie-Hellman 协议建立密钥共享,结合用户身份信息,以 VBNNIBS 签名思想作为基础,提出了一种可认证的两方密钥协商方案。密钥生成中心 KGC 结合用户身份信息仅为用户生成部分私钥和公钥,其完整的私钥和公钥由用户结合自己的长期私钥生成,安全性基于椭圆曲线离散对数问题。方案中无双线性对运算,只需椭圆曲线上4次点乘运算、1次模运算、3次哈希运算,通信双方只需2次通信就可实现双方认证和密钥协商,提高了密钥产生的效率。分析表明,该方案具有完美前向保密性、抗密钥泄露伪装攻击、已知会话密钥通信安全、非密钥控制、抗重放攻击等安全属性。性能及安全性比较表明,该方案在安全性和性能方面具有较大的优势,适用于资源受限的无线网络通信环境中。     

具有许可控制功能可认证的群组密钥协商方案

针对动态对等群组设计了一个具有许可控制功能并且可认证的密钥协商方案.该方案利用秘密分享实现了许可控制与密钥协商的有机结合,保证了密钥协商方案的系统性和实用性;组成员之间使用基于身份的密钥协商完成相互的认证,解决了传统方式采用PKI公钥证书所引起的带宽消耗和计算开销,保证了群组通信的安全性和高效性.     

基于格密码理论的装备保障信息网络身份认证方案

针对当前装备保障信息网络身份认证方案无法抵抗正在崛起的量子计算机攻击及认证效率较低的问题,基于新的格密码理论,提出了装备保障信息网络在量子计算环境下安全且快速的身份认证方案。该方案采用理想格结构生成方案的主密钥,将装备身份信息输入到原像抽样函数中得出装备身份信息对应的认证密钥,利用无陷门的采样技术产生出装备的认证信息。结果表明：该方案在理想小整数解问题困难性假设的条件下,达到了适应性选择身份和选择消息攻击下的不可伪造性安全;在保证安全的前提下,该方案在达到相同的安全等级水平时在认证速率和验证速率方面均高于传统基于RSA和ECC的认证方案。     

基于802.1x的认证技术在校园网中的应用

IEEE802．1x是基于端口的访问控制协议,802．1x的体系结构由申请者系统(Supplicant System)、认证者系统(Authenticator System)、认证服务器(Authentication Server)三部分组成,采用“可控端口”和“不可控端口”的逻辑功能,实现了认证与业务的分离,保证了网络传输的效率。结合本校校园网的实际情况,提出了在校园网改造中使用802．1x作为接入认证协议的网络拓扑方案。针对校园网中未授权用户盗用校园网资源的现象,分析了合法用户私自设置代理服务器或提供NAT服务的代理行为。根据代理服务器和NAT的工作原理提出了检测用户代理行为的途径,设计和实现了能够检测用户代理行为的802．1x客户端程序。