基于WPKI的3G认证方案的研究与实现

通过对现有的3G安全认证中身份机密性设计的研究与分析,目前3G的接入端鉴权认证是3G安全体系认证阶段的薄弱环节,可以应用Internet及电子商务上成熟的WPKI技术来实现用户身份的实体认证问题,因此提出一种基于WPKI环境下实体认证方案,对比现有的3G中的身份认证实现措施,经过改进给出了一种新的基于WPKI环境下的用于实现3G认证的具体方案,并对方案实现过程作了简要介绍,应用该方案可以增强3G认证环节的安全性.     

一体化标识网络中的用户身份认证协议

一体化标识网络解决了传统网络中IP地址二义性问题,是一种基于网络的身份与位置分离体系.本文在一体化标识网络中提出一种用户身份认证协议,基于该协议设计了一种利用数字证书构建的接入标识.这种接入标识唯一的表示一体化标识网络中的终端,实现用户身份信息与终端的绑定.该用户身份认证协议基于Diffie-Hellman密钥交换完成用户到用户真实身份的双向认证,采用谜题机制和无认证状态防止应答方受到DoS攻击.通过C-K安全模型分析用户身份认证协议的安全性,分析表明该协议是会话密钥安全的.     

广义椭圆曲线数字签名链口令认证方案

一次性口令是身份认证的重要技术。文章构造了一个基于椭圆曲线数字签名链的一次性口令认证和密钥协商方案。该方案使用了具有消息恢复功能、无须求逆的椭圆曲线数字签名算法,椭圆曲线认证密钥协商协议,密钥进化算法和椭圆曲线数字签名链等。方案有以下优点:服务器无需维护口令和验证列表;允许用户自主选择和更改口令,实现了双向认证;无需系统时钟同步和传输时延限制;能够抵抗重放攻击、离线字典攻击、中间人攻击和内部人攻击;具备口令错误敏感性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。经对比,该方案具有更好的安全性能,适合强安全性需求的场合。     

支持可信计算的软件保护模型

借助可信计算的完整性检验、认证及访问控制和密封存储等关键技术，在现有PC体系结构下提出了支持可信计算的软件保护模型．该模型利用PC机USB接口外接TPM，结合基于动态口令的身份认证、基于角色的访问控制、代码移植和信道加密技术，从不同层次和角度来综合防止软件被非法使用和传播．与现有软件保护方案相比，本模型利用TPM实现了用户和软件之间的相互认证，并通过身份映射的角色来控制不同用户对软件的使用权限．     

基于用户口令的GSM—R身份认证协议

现有的GSM-R身份认证协议,是对SIM卡的身份认证而不是对铁路员工的身份认证,在日常铁路生产中,移动台容易丢失也容易被盗窃,使得SIM卡信息有可能泄露,导致SIM卡被克隆,给正常的铁路生产带来安全隐患.针对这一问题,本文设计了一种新的身份认证协议,通过在移动台使用用户口令作为认证密钥,不仅实现了对人的认证,而且实现了认证实体之间的双向认证,使得铁路员工可以使用任意的移动台进行通信,提高了日常工作的灵活性和安全性.     

基于自更新哈希链的安全高效车-地鉴权方案

针对下一代高速铁路无线通信系统LTE-R （long term evolution-railway）对安全性和实时性的特殊需求，基于哈希链技术，提出一种完全基于对称密码体制的的车-地通信鉴权方案. 用户归属服务器（home subscriber sever，HSS）利用身份授权主密钥为车载设备（on-board unit，OBU）生成动态可变的匿名身份（temporary identity，TID），以在接入认证请求信令中保护车载设备的隐私，同时能够抵挡去同步攻击. 在列车高速移动过程中，方案采用高效的哈希链代替认证向量完成列车和服务网络之间的双向认证，哈希链的本地更新可解决认证向量耗尽导致的全认证重启问题. 此外，通过引入身份证明票据实现基于基站协同的高效无缝切换认证. 安全性和性能分析表明:在同样条件下，所提出的全认证协议、重认证协议和切换认证协议与目前性能最优的LTE （long term evolution）标准协议相比，计算量分别下降41.67%、44.44%和45.45%，通信量分别下降62.11%、50.91%和84.91%，能够满足LTE-R接入网络的安全性和实时性要求.      

一种高效的移动云服务环境下隐私保护认证协议

为了解决移动云服务环境的互相认证和隐私保护问题,设计了一种改进的移动云服务环境下隐私保护认证协议.该协议结合基于身份的签密技术和多服务器认证技术,保证用户只需注册一次,就可以访问多个移动云服务提供者,同时认证过程不需要可信第三方参与;该协议在移动终端未使用计算复杂度高的双线性对运算和映射到域上的hash运算,其计算效率显著提高. 通过理论分析和实验结果可知:该协议与目前已有的同类协议相比,在移动端的计算时间为45.242 s,其计算效率约为已有同类协议的2倍;具有用户匿名和不可追踪等安全性质;能够抵抗错误口令登录、更改攻击.      

LTE-R认证与密钥协商协议的安全分析及改进

安全高效的车地身份认证方案是铁路安全运行的基础,结合列控系统数据安全传输对移动通信系统的需求和铁路无线通信网的发展方向,提出一种基于伪随机数和哈希函数的LTE-R车地通信身份认证协议。设计了由国际移动用户识别码(IMSI)和随机数生成的能够替换IMSI传输的匿名身份(PID),解决了由IMSI泄露导致的安全问题;利用临时生成的认证密钥NK代替永久根密钥K完成认证流程,提高了根密钥K的安全性。利用认证测试方法对协议的正确性进行了证明。分析证实,本文提出的LTE-R身份认证方案具有很好的安全性和匿名性,计算效率与通信消耗较好。     

适用于无线通信的用户认证方案设计与分析

提出了一种基于Elgamal签名,适用于无线通信系统的用户认证方案.该方案能实现双方相互认证,抵抗各种攻击(包括网内攻击).对该方案的安全性进行了分析,得出了该方案是一个安全性高、符合无线通信要求的结论.     

具有可追查性的抗合谋攻击(t,n)门限签名方案

在分析王斌和李建华的无可信中心门限签名方案(王-李方案)以及X ie-Yu改进方案安全缺陷的基础上,提出了一种新的具有可追查性的抗合谋攻击(t,n)门限签名方案;对新方案的安全性进行了分析,并与现有方案的效率进行了比较.结果表明:该方案不仅能够从根本上抵抗合谋攻击和伪造签名攻击,而且在保证匿名性的前提下,能够真正实现签名成员身份的可追查性,同时通过构造安全的分布式密钥生成协议保证群私钥的不可知性,因此比现有方案具有更高的安全性.此外,新方案的计算量和通信量与王-李方案接近,但优于X ie-Yu方案.     

Robust password and smart card based authentication scheme with smart card revocation

User authentication scheme allows user and server to authenticate each other, and generates a session key for the subsequent communication. How to resist the password guessing attacks and smart card stolen attacks are two key problems for designing smart cart and password based user authentication scheme. In 2011, Li and Lee proposed a new smart cart and password based user authentication scheme with smart card revocation, and claimed that their scheme could be immunity to these attacks. In this paper, we show that Li and Lee＇s sctleme is vulnerable to off-line password guessing attack once the information stored in smart card is extracted, and it does not provide perfect forward secrecy. A robust user authentication scheme with smart card revocation is then proposed. We use a most popular and widely used formal verification tool ProVerif, which is based on applied pi calculus, to prove that the proposed scheme achieves security and authentication.     

Two Modifications on IKE Protocol with Pre-shared Key Authentication

This paper proposed two modifications on IKE protocol with pre-shared key authentication. The first modification can improve its immunity against DDoS attack by authenticating the initiator before the responder generates the computation-intensive Diffie-Hellman public value. The second modification can improve its efficiency when the attack on messages occurs because it can detect the attack quickly by replacing the centralized authentication in origical IKE protocol with immediate authentication. In addition, the two modifications can be integrated into one protocol compactly.     

GSM-R系统的安全策略研究与改进

由于网络结构与用户终端移动性本身的制约,GSM-R本身存在着一些网络安全隐患,本文旨在提出GSM-R系统安全策略的改进方案.文章结合GSM-R系统在铁路上的应用,简要阐述了现有GSM-R系统所采用的安全机制和存在的安全缺陷.针对GSM-R系统采用的单向认证和信息加密的局部性两个方面分别提出了相应的改进方案,即系统的双向认证和端到端加密,并详细描述了认证过程和加密过程.     

PVSP在旅游服务系统中的应用

随着web服务提供者的增多,针对用户如何获取提供者的信息、如何将Web服务组织起来形成为一个整体、如何选择适合自己的服务提供者、如何建立用户与服务提供者间的信任关系、如何评价服务质量等问题,文中首先提出了一种实用虚拟服务平台模型(Practical Virtual Service Platform Based on Web Service简称PVSP),提供一个统一的服务来收集并展示各个服务提供者提供的服务,同时用户只需经过一次身份的认证就能访问所有的服务。然后,将此模型应用到旅游服务系统中,研究了系统设计中认证服务器、服务集成、虚拟电子银行等关键技术。实践表明,该系统模型有一定的可行性和实用性。     

Formal analysis of authentication in 802.11i

Authentication is the basis of the security of IEEE 802.11i standard. The authentication process in 802.11i involves two important protocols: a 4-way handshake and a group key handshake. A formal analysis of authentication in 802.11i is given via a belief multisets formalism. The analysis shows that the 4-way handshake and the group key handshake may provide satisfactory mutual authentication, key management, and issue of a new group temporal key from an access point to a user device, under the guarantee of mutual possession of a confidential pairwise master key. The analysis also shows that there exists a denial of service attack in the 4-way handshake and some seeming redundancies are useful in the protocol implementation.     

基于还原点数据共享技术的多频道机房开发

最前沿的机房管理理念是以安全维护为核心,统一管理为目标,安全维护最重要的是数据备份和灾难恢复．采用还原点数据共享技术创建虚拟多频道运行环境,利用保护模式下的可信数据通道技术完成数据备份,通过底层网络身份验证技术和操作系统远程还原技术,确认用户权限,实现数据灾难恢复的远程控制．弥补了传统机房的缺陷,经实际运行,针对存在的问题,提出了改进意见．     

A Self-Encryption Remote User Anonymous Authentication Scheme Using Smart Cards

Introduction Remoteuserauthenticationschemesarevery usefulindistributedsystemssincetheycanguar-anteeonlythelegalusershaverighttovisitthere-sourcesprovidedbytheremoteservers.There-fore,overthepastyears,manyremoteuserau-thenticationschemes[1-8]havebeenproposed.In1981,Lamport[1]proposedthefirstwell-known passwordauthenticationschemeusingapassword tabletoachieveuserauthentication.However,Lamport'sschemesuffersfromtheriskofamodi-fiedpasswordtableandthecostofprotectingand maintainingthepasswordtabl…     

基于工作流的固定资产管理平台设计与实现

针对当前政府部门的固定资产管理需求,采用j2ee平台、java编程语言和oracle数据库来设计并实现一个综合性较强的基于工作流的固定资产管理平台。分析了工作流技术在固定资产管理系统设计中的应用,建立了基于工作流技术的固定资产管理系统模型。平台的用户管理采用统一用户管理系统,构建一种能够同时满足多个异构系统的统一用户认证、统一用户管理的安全平台。该平台满足政府部门的日常办公需求,降低办公成本,提高了办公效率,改进和完善了工作手段与方式,实现了固定资产管理平台的信息化、网络化和智能化。