SSH协议分析

探讨了SSH协议体系结构,介绍SSH三个层次：传输层协议、用户认证协议、连接协议和密钥机制．讨论了SSH连接建立过程的各个阶段,为理解和应用SSH提供了理论基础．     

基于身份的多服务器认证密钥协商方案

将基于身份的密码体制与远程多服务器密钥协商相结合,提出一种基于身份的远程多服务器密钥协商方案.用户注册时由私钥生成中心颁发私钥并安全存放于智能卡中.用户登录服务器前,双方采用基于身份的双线性配对计算进行双向身份认证,并协商生成会话密钥.服务器端无须保存口令表,用户端无须建立数据表存储相关登录信息,无须在终端能离线更改登录口令.该方案减少了密钥协商的通信开销、计算开销以及存储开销,在标准BR安全模型下该方案被证明是安全的.     

iSCSI协议安全性的分析

从iSCSI协议的安全性出发,从认证和数据加密2个角度研究了iSCSI的安全性,SSH有很多功能,它传送的是经过压缩的加密信息,目的是要在非安全网络上提供安全的远程登录和其他安全网络服务,使用它既可以代替Telnet,又可以为FTP、邮件传输、甚至为PPP提供一个安全的"通道"。IPSEC位于IP层,为2台机器之间提供安全的IP连接。它能保护运行于IP层之上的任何一种协议。而SSH是位于应用层与传输层之间的一种安全协议,因此它能够紧紧和iSCSI融合在一起,保障iSCSI的安全。提出了基于SSH的安全iSCSI方案,所以实验选择SSH作为iSCSI的安全机制,其中SSH的安全通过OpenSSH-4.3p2-10来实现,在此基础上提供了IP层和上层协议的iSCSI安全。     

Web服务器的安全与认证技术

提出了Web服务器安全的两个层次:数据传输的安全和内容的安全。介绍了Web服务常用的安全技术:对称密钥加密系统和非对称密钥加密系统。论述了SSL安全协议的安全机制和它在Web上的应用。介绍了利用WindowsNT作为Web服务器架设企业网站如何进行网站安全认证的方法。     

密钥交换协议IKEv2的分析与改进

In ternet密钥交换协议第二版本(IKEv2)即将成为标准,分析该协议有助于更好地理解和实现该协议,针对协议存在的安全隐患提出改进措施。通过对协议的安全性分析,发现协议面临基于分片的拒绝服务攻击和退化消息类型的中间人攻击。针对前一种攻击提出了一种基于地址偏好列表的防御措施。针对后一种攻击提出了一种基于共享密钥的密钥生成方案。分析表明,使用这两种改进措施可以有效地提高协议抵抗拒绝服务攻击和退化消息攻击的能力。基于地址偏好列表的防御措施可以直接用于协议实现,改进的密钥生成方案可以为协议的下一个版本提供借鉴。     

嵌入式系统USB主机端协议栈的实现

USB已经成为一种计算机通用的外围串行接口，但是目前嵌入式系统还不支持这种接口。本文就此提出了在嵌入式系统中集成USB主机功能模块的方案，介绍了使用SL811HS作为接口芯片的USB主机的设计方法。本文详细介绍了可复用的USB主机端协议栈的设计与实现方法，开发该协议栈使用的是标准C语言，使得该协议栈具有非常好的移植性。最后用实例验证了方案的可行性。     

基于口令的跨服务器认证密钥交换协议研究

为了满足某些特殊通信服务在跨服务器认证密钥交换时必须由客户直接协商产生会话密钥的要求,该文提出一种新的基于口令的跨服务器认证密钥交换协议。该协议对在线字典攻击的反应灵敏度及发现此类攻击的计算代价和通信代价低;分析结果表明,新协议满足基于口令的认证密钥交换协议的安全性要求。     

基于SRP-6协议的认证与密钥交换方案

针对Web服务中身份认证的问题,分析了SRP-6(Secure Remote Password-6)协议的密钥交换机制,提出了一种基于简单对象访问协议(SOAP)和SRP-6协议的认证与密钥交换方案(SRP-over-SOAP).该方案将SOAP消息进行扩展,通过在SOAP头中加入标记,实现了SOAP消息对SRP认证信息的传递.文中还将该方案用于Web服务,实现了服务器和客户机间的双向身份认证.     

基于生物统计信息的多因子远程身份验证协议

为了提高多服务器环境的远程身份验证的安全保障,提出一种包括生物统计信息、椭圆曲线密码和智能卡的多因子身份验证协议。该协议包括设置阶段、服务器注册阶段、用户注册阶段、登录阶段、验证阶段和密码更改阶段6个阶段。在注册阶段,应用了模糊验证器,将生物特征模板转换为随机字符串,避免了生物特征模板的噪声影响;在登陆阶段,使用椭圆曲线加密点乘,明显降低了双线性配对运算的成本。BAN逻辑证明了该协议可实现安全会话密钥协商和双向身份验证,协议安全性分析表明,所提协议可以抵御常见的多种安全性攻击,且注册和登陆阶段的总体计算成本较低。     

以SSH协议为基础加强高校校园网信息化安全

以SSH协议为基础,探讨在SSH协议上如何加强校园网的信息化安全,尤其是如何加强处理敏感、涉密数据的网络服务器的安全．     

密钥交换协议JFK的分析与研究

快速密钥交换（JFK）协议是一种新的密钥交换协议，它的安全性引起了人们的重视。文中通过使用BAN类逻辑方法针对其安全目标进行了分析与研究。首先简介了JFK协议的两种形式和报文交互的工作原理，在此基础上指出了它所达到的安全目标，然后介绍了BAN类逻辑方法的符号语义说明和逻辑规则，并通过使用它对JFK协议中一种具体形式JFKr的安全性进行了分析证明。得出了JFK协议满足密钥交换协议的基本安全需求的结论。     

SIP协议量子身份认证与密钥协商方案

针对现有SIP协议安全方案无法检测窃听、以及经典密码体制面临量子计算攻击时的脆弱性问题,提出了一种将量子用户身份认证及密钥协商与SIP协议结合的方案。SIP服务器制备三粒子W态并将其中两个粒子分发给SIP用户,首先对随机插入的粒子进行测量以检测窃听,然后通过量子操作与测量验证用户身份;密钥协商阶段,三方不需制备与分发新的W态,仍基于持有的W态进行随机测量,SIP用户根据有效测量结果生成初始会话密钥.性能分析表明本方案能够对抗伪装攻击与窃听攻击,有效提高SIP协议安全性。     

基于DAA和TLS的匿名远程证明协议

为了解决使用直接匿名证明方法进行远程证明易受伪装攻击的问题,提出了一种基于直接匿名证明和安全传输层协议(TLS)的匿名远程证明协议.使用可信平台模块,完成平台配置和匿名身份的度量并生成签名信息;改进身份认证和证书校验机制,并使用TLS协议的扩展消息传输远程证明内容;结合匿名证明、完整性报告和密钥协商机制设计总体协议,从而在交互双方构建出匿名认证的可信信道.分析表明:改进方案满足身份认证的不可伪造性、匿名性、可控的可链接性和不可克隆性,能够抵御重放攻击和伪装攻击,且设计的协议兼容扩展的TLS协议架构,便于部署.     

多媒体社交网络中无注册中心的三因子多服务器认证方案（英文）

由于越来越多的人们使用多媒体社交网络来共享多媒体信息或从多媒体社交网络中获取多媒体信息.因此,多服务器认证在多媒体社交网络中扮演着重要的角色,它可以防止用户在单服务器认证机制中需要注册到每个服务器并记住每个密码.最近,Chaudhry指出Lu等人提出的两个多媒体社交网络三因子多服务器认证协议存在假冒攻击和没有保护用户匿名性的问题.为了解决这些问题,Chaudhry提出了一个安全性增强的改进方案,并声称他的方案是安全的.然而,在本文中,我们发现他的改进方案缺乏完美的前向安全性和会话密钥安全,并且容易受到内部假冒攻击和中间人相遇攻击.因此,提出了一种新的无注册中心的三因子多服务器认证协议.利用基于应用pi演算的形式化验证工具ProVerif进一步证明了该方案的安全性,并通过与相关方案的比较,证明了该方案具有较高的计算效率.     

基于网络的远程测控系统的研究

本文以工业设备的远程控制为研究对象,拟为设备的使用者服务,以保证设备的安全稳定为目标,提出一种基于Internet网络的远程测控系统应用方案。用基于Lab VIEW虚拟仪器软件来模拟远程设备的方案,用服务器连接设备,让服务器负责执行控制指令并完成被控设备的通信任务。将网络通信技术与虚拟仪器仿真相结合,提出一种可以在无人值守的情况下为管理者管理,维护和使用工业设备,使其快速响应远程控制指令和完成远程信息交互的方案。     

面向车联网的跨域认证与密钥协商协议

针对车联网环境下用户间跨域认证与密钥协商问题,利用口令的简便性及生物特征的唯一性,以及椭圆曲线计算Diffie-Hellman困难问题,设计出基于口令和生物特征的跨域协议。该协议融入了模糊提取技术,提高了用户车辆在认证密钥协商阶段的安全性和便捷性。协议的认证过程无需服务器参与,在保障用户车辆之间安全通信的同时减轻了服务器的计算负担。此外,利用BPR安全模型分析证明了协议的安全性,且提出的方案与现有方案相比需要更少的计算量和更低的通信成本。     

M-BUS 总线在远程抄表中的运用

介绍了一种基于M-BUS总线的小区集中抄表系统方案,重点讨论数据采集服务器的设计和通讯原理.运用M-BUS组成的数据采集系统实现远程数据采集, 系统易于安装维护,是一种经济可靠可行的方案.     

强化SSH安全的三种方法

管理员经常使用SSH（Secure Shell）技术远程访问Linux服务器,SSH的安全性直接影响到Linux服务器的安全。本文讨论了通过配置SSHD文件、利用PAM制定SSH连接权限、应用端口敲门技术隐藏SSH服务等简单手段大幅度增加入侵难度．从而保证SSH安全的三种方法。     

基于状态密钥树的安全群组密钥分发协议

为了减少群组密钥分发协议的存储代价,提出了一种基于状态密钥树的群组密钥分发协议.给出了状态密钥树的构造方法.分别给出了当组员加入/离开通信组时的群组密钥分发协议的过程.分析了协议的安全性和性能.状态密钥树将组控制者密钥服务器的存储代价从O(n)减少到O(logdn).     

基于主机标识的IKEv2移动性研究

研究移动互联网络安全以及适合移动环境的密钥管理机制是当前安全领域研究的热点问题.本文在综合研究现有移动安全方案的基础上,以嵌入主机标识的方法,对目前Internet中最为流行和广泛使用的网络密钥管理协议--因特网密钥交换协议第2版(IKEv2)进行了扩展,使其符合新型移动环境的安全隧道建立和管理要求.结果分析发现,利用本文提出的方法确保移动IP安全,比其他传统方法具有更高的切换效率.