一种面向SIP通信的域间认证与密钥协商机制

现有SIP安全机制在通信实体间的相互认证与密钥协商方面存在不足,针对此问题,设计了一种新的基于身份密码系统的域间密钥协商协议,然后基于该协议提出了一种面向SIP通信的认证与密钥协商机制.该机制解决了HTTP摘要认证下的单向认证以及预共享密钥问题,消除了S/MIME基于证书认证和不提供密钥协商的不足,且不同域的通信实体具有不同的系统参数.安全性分析及其实现表明,该机制在实现跨域SIP通信实体间的双向认证以及为后续媒体流机密传输提供密钥协商功能的同时可以满足SIP通信的性能要求.     

基于直接匿名证言的可信平台身份证明协议的设计

直接匿名证言(DAA)既解决了隐私CA的瓶颈问题,又实现对TPM的认证和匿名,是当前可信计算平台身份证明最好的理论解决方案之一,TCG在TPMv1.2中将其作为解决平台身份证明问题的标准.但该标准中仅仅重点描述了DAA实现认证和匿名的原理、复杂运算和关键步骤,并没有给出具体和完整的协议流程.基于DAA基本原理设计了可信平台身份证明的安全协议:AI-DAA.该协议不仅能够实现可信平台身份认证和隐私保护,而且还能保证协议实体之间的双向身份认证和信息传输的机密性.协议安全性分析表明,AI-DAA不仅能防止消息重放攻击,而且还能抵御中间人攻击.     

基于混沌的RFID双向认证协议

针对物联网环境下RFID系统已知的安全缺陷,提出了一种基于混沌的双向认证协议.该协议使用相对简单的异或运算和带混沌锁的哈希运算,实现了标签和阅读器之间高效低成本的双向认证.即使在阅读器和数据库之间信道不安全的情况下也能进行完成密钥分发和安全认证,提高了阅读器的移动应用能力,能有效地避免窃听、假冒、重放、位置跟踪等攻击.     

一种支持密钥协商的标签所有权转换协议

针对标签在流通过程中的安全通信和所有权安全转换问题,提出了一种能提供密钥协商功能的标签所有权转换协议。通过将该协议分为认证与密钥协商和所有权转换与异常恢复两个阶段来实现相应的功能。采用GNY逻辑对协议的安全性进行了分析,结果表明该协议能够提供标签与所有者之间的双向认证和会话密钥协商,将标签的所有权安全地转换给新所有者,并能抵御中间人攻击、重放攻击和去同步化攻击等多种攻击手段。在Linux系统中实现了该协议,获取了标签计算耗时等运行指标。实验数据表明,标签的计算耗时较短,适用于低成本标签。     

密码安全USB设备控制器IP的系统设计

针对通用串行总线(USB)的安全隐患,提出了USB接口的安全策略,包括主机与设备之间身份双向认证、总线传输安全、数据存储安全等基本功能.给出了一种主机与设备之间双向认证及密钥协商协议,提出了一种密码安全USB设备控制器的系统设计方案,并在现场可编程门阵列(FPGA)上对该方案进行了IP核验证.实验结果表明,该方案能够满足预期的安全功能需求,可为实际的系统开发提供芯片级安全保护.     

一种基于HTTP摘要认证的SIP安全机制

会话初始化协议(SIP)基于Client/Server结构,由于受到SIP自身特点及应用环境的影响,目前SIP常用的安全机制大都只提供Server对Client的认证,且大都没有提供会话密钥协商的机制,容易受到服务器伪装攻击。在分析了SIP面临的安全威胁以及SIP安全机制的现状后,通过对SIP协议的扩展,设计和实现了一种基于HTTP摘要认证的SIP安全机制。该机制能实现双向身份认证和密钥协商功能,使SIP认证和加密更为灵活。     

基于实体认证的安全DHCPv6系统实现

随着IPv6的不断发展,DHCPv6协议为IPv6环境下地址分配提供了极大的便利,但由于DHCPv6协议是基于DHCP协议进行扩展设计与实现,依然面临着许多安全威胁.本文提出并实现了一个具有实体认证功能的安全DHCPv6系统,在不改变现有协议的情况下对DHCP6消息进行认证,保证传输安全.同时,DHCPv6服务器为每个...     

构筑IPv6协议下的安全邮件系统

在分析PGP协议和IPsec协议的基础上，提出一种安全邮件系统的基本结构．并对邮件传输流程进行分析，初步实现了邮件在IPv6环境下发送、接收、加密、解密、签名、验证等功能。同时，系统融合了PGP的密钥证书管理功能，为电子邮件用户提供端到端的安全服务，实现了邮件在传输过程中的保密性、完整性、发送方和接收方身份认证以及不可否认性等。     

基于ECC的RDP认证机制研究

针对远程桌面协议RDP中单向认证机制存在的安全隐患,文中提出了一种新的基于椭圆曲线计算难题的认证机制,该机制通过使用椭圆曲线算法ECC替代原协议中的RSA算法,实现了服务器和客户端的双向认证,简化了密钥的计算过程,保障了数据的安全传输。实验结果表明该机制不仅提高了协议的安全性,也提高了协议的效率。     

EC密钥协商与分布式认证协议集成

分析了开放网络环境的认证,指出了综合利用多种密码技术设计认证系统以满足日益复杂认证需求的必要性。通过研究认证与密钥交换机制,分析现有协议特性,权衡认证系统安全性、效率及需求等因素,提出了一种认证与密钥交换协议。协议进行分布式认证,综合利用EC密钥协商和对称密钥传输进行密钥交换,可实现双向身份认证和显式密钥认证。该方案可使认证系统性能提高,需求降低。     

适用于电力物联网的安全接入认证装置设计

针对电力物联网海量边缘侧设备接入可能导致的安全问题,首先分析了边缘设备安全接入需求;然后研究了融合协议过滤、协议适配、网络安全隔离、安全接入认证技术于一体的物联网边缘侧安全接入认证技术。基于上述技术,设计了包含外网处理单元、隔离交换单元、系统管理单元、密码运算单元和内网处理单元在内的电力物联网安全接入认证装置;最后选取某省充电桩运营系统作为试点应用场景,分别从安全性能和通信性能两方面进行测试分析。测试结果表明,该安全接入认证装置能够在基本不影响设备通信性能的前提下,实现电力物联网海量设备的安全接入认证,在面对不同类型边缘设备接入时仍具有良好的可靠性和泛化性,可有效降低核心业务系统被非法入侵的风险。     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议.该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗.在BR扩展模型下,可证明该协议是安全的.通过性能分析得出,协议具有很高的效率.     

基于RADIUS协议的远程访问系统安全性分析与设计

RADIUS协议为远程访问系统提供重要的安全服务，即认证、授权和记账。在分析信息安全3个重要元素基础上，详细描述了RADIUS协议提供上述安全服务原理以及协议结构，并在此基础上设计了远程访问系统中基于RADIUS协议的安全子系统。同时通过分析RADIUS协议的优缺点，提出了增强认证机制的改进方案。     

具有优化和安全特征的基于模式码比较的WSN数据融合协议

数据融合及其安全性是无线传感器网络(wireless sensor network,WSN)实现高效、安全通信的关键.提出了一种具有优化和安全特征的模式码比较无线传感器网络数据融合协议,在该协议中,基于非物理意义的模式码保证了数据的机密性,传感节点利用模式比较算法实现数据融合,结合一种优化的发送节点选择机制,在进行数据...     

一种基于超立方体的跨域认证协议

提出了一种基于超立方体的跨域认证协议模型.该模型利用超立方体的结构特征,支持不同信任域间的实体双向认证.相对于传统跨域认证模型,减少了认证服务器间注册的工作量,简化了认证服务器间共享密钥的分配和管理工作.该模型还能够避免由单一权威机构认证所带来的网络瓶颈和单点崩溃等问题.分析表明,该协议模型具有较高的安全性和可靠性,从而使应用服务器能够有效地进行访问控制,保障网络安全.     

无线传感器网络中的一种安全高效的路由协议

针对无线传感器网络中部分路由协议在设计时对安全性考虑不够的问题，本文提出一种安全高效的路由协议-STEEN协议。该协议是在TEEN（Threshold sensitive Energy Efficient sensor Network protocol）路由协议的基础上，以增强路由安全性同时兼顾网络的能量消耗为目标而设计的。该协议通过预置密钥和采用随机密钥对密钥管理的方法，解决了节点间的认证和安全通信的问题，增强了网络的安全性。通过安全性分析可以看到，该安全路由协议可防御多种针对网络层的攻击。     

无线传感器网络中的一种 安全高效的路由协议

针对无线传感器网络中部分路由协议在设计时对安全性考虑不够的问题，本文提出一种安全高效的路由协议－STEEN协议。该协议是在TEEN（Threshold sensitive Energy Efficient sensor Network protocol）路由协议的基础上，以增强路由安全性同时兼顾网络的能量消耗为目标而设计的。该协议通过预置密钥和采用随机密钥对密钥管理的方法，解决了节点间的认证和安全通信的问题，增强了网络的安全性。通过安全性分析可以看到，该安全路由协议可防御多种针对网络层的攻击。     

基于802.1x的认证技术在校园网中的应用

IEEE802．1x是基于端口的访问控制协议,802．1x的体系结构由申请者系统(Supplicant System)、认证者系统(Authenticator System)、认证服务器(Authentication Server)三部分组成,采用“可控端口”和“不可控端口”的逻辑功能,实现了认证与业务的分离,保证了网络传输的效率。结合本校校园网的实际情况,提出了在校园网改造中使用802．1x作为接入认证协议的网络拓扑方案。针对校园网中未授权用户盗用校园网资源的现象,分析了合法用户私自设置代理服务器或提供NAT服务的代理行为。根据代理服务器和NAT的工作原理提出了检测用户代理行为的途径,设计和实现了能够检测用户代理行为的802．1x客户端程序。     

OWDP and its secure implementation

Here we present one design based on OWDP for secure high-speed IP network performance monitor system. Based on the analysis of OWDP protocol and the high-speed IP network performance's real-time monitor infrastructure, the paper illustrates the potential security problems in OWDP and its possible weakness when applied in the monitor infrastructure. One secure improvement design based on Otway-Rees authentication protocol is put forward, which can improve the security of the implementation of OWDP and the monitor architecture. Having kept OWDP's simplicity and efficiency, the design satisfies the real-time demand of high-speed network performance monitor and will effectively safeguard the monitor procedure against intensive attacks. Foundation item: Supported by the 863 National High-Tech Project (863-300-02-09-99) and Key Research Project of Hubei Province (991P110) Biography: Xu Ning (1975-), male, Master candidate, research interest: distributed system, computer security.     

密钥交换协议的安全性分析

通过对两种攻击的分析，指出缺少认证性的密钥交换协议是不安全的．从认证性入手，在以下两个方面探讨了密钥交换协议的安全性：一方面讨论该协议应采用的消息元素和密码体制，为规范此类协议的设计指出了一个可行方向；另一方面通过两个密码学游戏给出了安全密钥交换协议的定义，该定义量化了协议的认证性，与以往的定义相比，可更准确和直观地分析这种协议的安全性．