IKE协议中基于数字签名验证的主模式研究

Internet(因特网)密钥交换协议(IKE)由于其灵活性和复杂性,不可避免的存在某些安全隐患.简要介绍其工作机制之后,分析了两种中间人攻击的方式,为有效抵御第二种中间人攻击,对基于数字签名的主模式交换过程进行了改进,并提出了密钥签名载荷的概念.最后,给出了改进前后的定量的性能分析,结合freeS/WAN源代码,修改和增加了相应的函数,将改进思想融入其中.     

中间人攻击下增强身份保护的IKEv2改进

首先探讨了IKEv2协议可能遭受中间人攻击和密钥生成方案面临蜕化消息攻击的缺陷,针对退化消息攻击的威胁提出了基于共享密钥的密钥生成方案.针对存在的身份保护缺陷进行了分析,并相应地对IKEv2协议进行改进,提出的方案能够有效地进行身份保护.改动后的实现代价并不大,也不破坏ISAKMP框架及交换的对称性.     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

IP Sec下安全关联协商的实现环境

IP Sec是IP协议层的安全体系结构，是构筑虚拟专网(Virtual Private Networks，VPNs)的基本规范；它是通过安全关联(Seeurity Association，SA)的约定和协商来实现对通信实体间通信过程的保护．目前，在该领域中尚有诸如IP Sec下安全关联的协商机制等问题有待进一步探讨．首先分析IP Sec安全关联及其协商的实现条件和相应的保护环境，即ISAKMP SA，然后讨论在IKE协议中协商ISAKMP SA过程存在的安全关联载荷认证缺陷，并以主模式下预共享密钥方式交换过程为例，针对该缺陷对IKE协议交换过程中验证参数的计算提出了改进方案．     

IKE中的PSK身份认证模式的分析与改进

指出了现有IKE协议的PSK身份认证模式缺乏对密钥生成材料的保护，对整个协议的安全性有不利的影响．在分析现有的PSK身份认证模式的基础上，保留了其原有的安全机制，并充分利用预共享密钥自身的加密功能对密钥生成材料加以保护．     

基于Linux的IPSec VPN网关中IKE协议的设计

介绍了在IPSec VPN（IP Security Virtual Private Net）安全网关中动态密钥交换协议IKE（Internet Key Exchange）的设计方法．深入研究了IKE协议组成、协商过程、密钥管理等若干问题,对IKE的系统设计提出全新的模块架构和实现方案。     

浅谈无线传感器网络安全机制

针对无线传感器网络的特点,分析了无线传感器网络安全需求和可能受到的攻击并总结了防御措施,其次概括了无线传感器网络的安全技术,详细综述了无线传感器网络现有的密钥管理协议,其中包括分密钥预共享协议和随机密钥预分配协议。最后对防御拒绝服务攻击做了简单介绍。     

基于串空间模型的3GPP认证密钥交换协议分析

基于串空间模型理论及认证测试方法形式化分析了第3代伙伴计划(3GPP)认证密钥交换协议,指出了该协议应用于不安全的信道时存在保密性和认证正确性的缺陷,同时给出了对该协议的2个攻击方法.由此提出了一种改进的3GPP认证密钥交换协议以克服原协议存在的缺陷,应用串空间模型理论及认证测试方法形式化证明了该改进协议在不安全的信道上可确保消息的保密性,移动用户和服务网络间的双向认证,以及消息加密密钥和完整性密钥的新鲜性.     

抵抗基于长度攻击的方法

提出了改进的Thompson群上的密钥交换协议,对字的生成过程进行控制,并设计实验证明了其拥有更强的安全性,可以抵御基于长度的攻击算法.由于基于长度的攻击在其他非交换群上的应用类似,该改进方法对其他非交换群上的密钥交换协议也同样适用.     

基于预共享密钥IKE SA的分析与改进

分析了基于预共享密钥IKESA协商过程中存在的安全问题，提出了改进HASH计算的新方法，分析表明，该方法降低了对内存的消耗，提高了IKESA协商过程的安全性。     

面向 IPSec 的关联数据库结构的研究

在分析IP安全机制、网络密钥交换和安全关联的基础上，确定了基于IP安全机制的关联数据库所应包含的基本数据结构，并给出了在Linux环境下的结构说明及其中每个参数的具体含义和作用.     

WSN中基于一次预共享密钥的安全管理方案

无线传感器网络在部署初始阶段,由于未被恶意者察觉,或者破解存在难度,节点通常能够在一定时间内具有抵抗劫持的能力．基于此分析提出一种适合于静态网络的基于一次性预共享密钥的安全管理方案SMOPK,方案在无线传感器网络部署的初始阶段利用一次性预共享密钥进行密钥协商等,从而在相邻节点间建立保密的安全连接,建立与实际拓扑一致的安全拓扑．分析表明SMOPK方案具有开销小、安全性强的特点,适合于静态无线传感器网络的安全要求．     

IKE协议认证方式分析和改进

IKE协议作为IP Sec协议组的重要组成部分,在保证因特网的安全通信方面起着重要的作用。在分析IKE协议定义认证方式及其改进方案的基础上,我们对基于IKE协议抵御拒绝服务攻击的认证方式改进作了进一步的探讨。     

基于IPSec的虚拟专用网络密钥交换实现及其安全分析

本文研究了基于IPSec结构的虚拟专用网密钥交换的基本概念和原理，详细地阐述了通过一系列参数的协商在非安全的公共IP网络中建立安全通信的密钥交换机制，给出了基于Linux系统的客户机／服务器VPN密钥交换的软件实现，对其安全特性作出了分析，指出其具有抗服务拒绝攻击，抗中间人攻击，抗连接插入攻击和防止窍听等安全性能，最后对今后研究发展的方向作了进一步的展望。     

IPSec VPN网关中IKE消息通信机制的设计

介绍了在IPsec VPN(IP secllrity Virtual Prirate Net)安全网关中动态密钥交换协议IKE(Intemet Key Exchange)的消息通信机制的设计方法,深入研究了消息队列中管理消息、网络消息、内核消息通信方案,对IKE的系统设计提出全新的模块架构和实现方案.     

基于公钥签名的IKE分析与改进

研究了Internet密钥交换协议中基于公钥签名的身份认证技术，针对DSS公钥签名幂运算量过大的缺点，将MQV认证密钥协商协议引入到：IKE(Internet Key Exchange)身份认证技术中，新的认证方法减少了幂运算的次数，从而提高了IKE密钥协商的效率．