分离机制下一种互联网安全接入方法

重点研究身份与位置分离机制下源地址真实性保障方面的方法,提出了身份与位置分离网络中唯一且不变的终端身份标识EID结构,并设计了一种保障源地址真实性的安全接入方法,并且给出了相应的协议流程和协议格式,保证了身份与位置分离网络中源地址即终端身份标识EID的真实性.最后使用SVO形式化逻辑对其安全性进行了证明.     

一体化网络中可证明安全的三方认证协议

为了有效地保证终端、接入交换路由器和认证中心的安全,本文提出了一体化网络中可证明安全的三方认证协议．该协议实现了终端和认证中心之间及接入交换路由器和认证中心之间的相互认证,不仅可以有效防止非授权终端接入网络,还可以防止伪造的认证中心和接入交换路由器对终端的欺骗．在BR扩展模型下,可证明该协议是安全的．通过性能分析得出,协议具有很高的效率．     

无线局域网低时延切换的一种两级认证方法

IEEE 802.11无线局域网已得到了广泛的部署.在无线局域网中,终端移动时经常发生切换,需要进行安全认证,这导致较长的处理时延,降低了服务质量.目前的认证方法,如AAA和IEEE 802.1x,不能支持低时延切换.本文提出了一种两级认证方法,移动终端在快速切换协议中可以执行认证.在漫游到新域之前从目标接入点获取一个临时身份,通过使用该临时身份继续认证快速接入.移动终端在短时间内必须执行再认证,以便完成正常的认证过程,否则,认证接入将被终止.仿真结果表明,本文提出的两级认证方法在切换过程中显著地减少了切换时延和丢包率.     

LTE-R认证与密钥协商协议的安全分析及改进

安全高效的车地身份认证方案是铁路安全运行的基础,结合列控系统数据安全传输对移动通信系统的需求和铁路无线通信网的发展方向,提出一种基于伪随机数和哈希函数的LTE-R车地通信身份认证协议。设计了由国际移动用户识别码(IMSI)和随机数生成的能够替换IMSI传输的匿名身份(PID),解决了由IMSI泄露导致的安全问题;利用临时生成的认证密钥NK代替永久根密钥K完成认证流程,提高了根密钥K的安全性。利用认证测试方法对协议的正确性进行了证明。分析证实,本文提出的LTE-R身份认证方案具有很好的安全性和匿名性,计算效率与通信消耗较好。     

基于WPKI的3G认证方案的研究与实现

通过对现有的3G安全认证中身份机密性设计的研究与分析,目前3G的接入端鉴权认证是3G安全体系认证阶段的薄弱环节,可以应用Internet及电子商务上成熟的WPKI技术来实现用户身份的实体认证问题,因此提出一种基于WPKI环境下实体认证方案,对比现有的3G中的身份认证实现措施,经过改进给出了一种新的基于WPKI环境下的用于实现3G认证的具体方案,并对方案实现过程作了简要介绍,应用该方案可以增强3G认证环节的安全性.     

基于自更新哈希链的安全高效车-地鉴权方案

针对下一代高速铁路无线通信系统LTE-R （long term evolution-railway）对安全性和实时性的特殊需求，基于哈希链技术，提出一种完全基于对称密码体制的的车-地通信鉴权方案. 用户归属服务器（home subscriber sever，HSS）利用身份授权主密钥为车载设备（on-board unit，OBU）生成动态可变的匿名身份（temporary identity，TID），以在接入认证请求信令中保护车载设备的隐私，同时能够抵挡去同步攻击. 在列车高速移动过程中，方案采用高效的哈希链代替认证向量完成列车和服务网络之间的双向认证，哈希链的本地更新可解决认证向量耗尽导致的全认证重启问题. 此外，通过引入身份证明票据实现基于基站协同的高效无缝切换认证. 安全性和性能分析表明:在同样条件下，所提出的全认证协议、重认证协议和切换认证协议与目前性能最优的LTE （long term evolution）标准协议相比，计算量分别下降41.67%、44.44%和45.45%，通信量分别下降62.11%、50.91%和84.91%，能够满足LTE-R接入网络的安全性和实时性要求.      

一种高效的移动云服务环境下隐私保护认证协议

为了解决移动云服务环境的互相认证和隐私保护问题,设计了一种改进的移动云服务环境下隐私保护认证协议.该协议结合基于身份的签密技术和多服务器认证技术,保证用户只需注册一次,就可以访问多个移动云服务提供者,同时认证过程不需要可信第三方参与;该协议在移动终端未使用计算复杂度高的双线性对运算和映射到域上的hash运算,其计算效率显著提高. 通过理论分析和实验结果可知:该协议与目前已有的同类协议相比,在移动端的计算时间为45.242 s,其计算效率约为已有同类协议的2倍;具有用户匿名和不可追踪等安全性质;能够抵抗错误口令登录、更改攻击.      

无线传感器网络密钥管理方案研究

从无线传感器网络的安全分析人手,在分类描述无线传感器网络密钥管理方案并分析其优缺点的基础上,结合树型密钥管理结构,提出了一种新的分簇式密钥管理方案,因不同的消息类型有不同的安全需求,该方案建立了4种通信密钥类型：个体密钥,点对密钥,簇密钥和组密钥．其中点对密钥的建立采用了基于临时认证密钥的方法,加强了对节点的身份认证功能,提高了方案的安全性．     

基于用户口令的GSM—R身份认证协议

现有的GSM-R身份认证协议,是对SIM卡的身份认证而不是对铁路员工的身份认证,在日常铁路生产中,移动台容易丢失也容易被盗窃,使得SIM卡信息有可能泄露,导致SIM卡被克隆,给正常的铁路生产带来安全隐患.针对这一问题,本文设计了一种新的身份认证协议,通过在移动台使用用户口令作为认证密钥,不仅实现了对人的认证,而且实现了认证实体之间的双向认证,使得铁路员工可以使用任意的移动台进行通信,提高了日常工作的灵活性和安全性.     

Ad Hoc网络中基于移动Agent的密钥管理及认证

提出了在Ad Hoc网络中一种基于移动Agent的密钥管理及认证方法.移动Agent在网络中根据一定的运行策略进行移动,并不断地和所经历的节点进行数据交换,在此基础上形成一个节点信息矩阵表,矩阵表中包含了密钥信息.各节点使用其身份作为公钥,主密钥由各节点的私钥分享,从而形成基于身份的门限分布式密钥管理.该方法使用很少的Agent获得较多的全局信息并快速交换密钥信息,减少了系统的开销,具有很高的效率和鲁棒性.     

Formal analysis of authentication in 802.11i

Authentication is the basis of the security of IEEE 802.11i standard. The authentication process in 802.11i involves two important protocols: a 4-way handshake and a group key handshake. A formal analysis of authentication in 802.11i is given via a belief multisets formalism. The analysis shows that the 4-way handshake and the group key handshake may provide satisfactory mutual authentication, key management, and issue of a new group temporal key from an access point to a user device, under the guarantee of mutual possession of a confidential pairwise master key. The analysis also shows that there exists a denial of service attack in the 4-way handshake and some seeming redundancies are useful in the protocol implementation.     

A Self-Encryption Remote User Anonymous Authentication Scheme Using Smart Cards

Introduction Remoteuserauthenticationschemesarevery usefulindistributedsystemssincetheycanguar-anteeonlythelegalusershaverighttovisitthere-sourcesprovidedbytheremoteservers.There-fore,overthepastyears,manyremoteuserau-thenticationschemes[1-8]havebeenproposed.In1981,Lamport[1]proposedthefirstwell-known passwordauthenticationschemeusingapassword tabletoachieveuserauthentication.However,Lamport'sschemesuffersfromtheriskofamodi-fiedpasswordtableandthecostofprotectingand maintainingthepasswordtabl…     

GSM-R系统的安全策略研究与改进

由于网络结构与用户终端移动性本身的制约,GSM-R本身存在着一些网络安全隐患,本文旨在提出GSM-R系统安全策略的改进方案.文章结合GSM-R系统在铁路上的应用,简要阐述了现有GSM-R系统所采用的安全机制和存在的安全缺陷.针对GSM-R系统采用的单向认证和信息加密的局部性两个方面分别提出了相应的改进方案,即系统的双向认证和端到端加密,并详细描述了认证过程和加密过程.     

基于还原点数据共享技术的多频道机房开发

最前沿的机房管理理念是以安全维护为核心,统一管理为目标,安全维护最重要的是数据备份和灾难恢复．采用还原点数据共享技术创建虚拟多频道运行环境,利用保护模式下的可信数据通道技术完成数据备份,通过底层网络身份验证技术和操作系统远程还原技术,确认用户权限,实现数据灾难恢复的远程控制．弥补了传统机房的缺陷,经实际运行,针对存在的问题,提出了改进意见．     

Security analysis of application layer protocols on wireless local area networks

This paper aims at analyzing the security issues that lie in the application layer (AL) protocols when users connect to the Internet via a wireless local area network (WLAN) through an access point. When adversaries launch deauthentication flood attacks cutting users’ connection, the connection managers will automatically research the last access point’s extended service set identifier (ESSID) and then re-establish connection. However, such re-connection can lead the users to a fake access point with the same ESSID set by attackers. As the attackers hide behind users’ access points, they can pass AL’s authentication and security schemes, e.g. secure socket layer (SSL). We have proved that they can even spy on users’ account details, passwords, data and privacy.     

基于ECC和指纹USBKey的身份认证协议

分析了现有网络身份认证方案的不足,给出了一种指纹识别技术与USBKey技术相结合的身份认证方案。利用载有指纹特征的指纹USBKey改进现有的USBKey认证技术。利用椭圆曲线密码算法ECC（elliptic curve cryption）,提高身份认证协议的安全性。采用挑战与应答的认证机制,实现了双向身份认证。使用含指纹特征的数字证书,防止非法用户篡改指纹特征。给出的身份认证协议实现了USBKey对用户权限的验证及远程服务器对用户身份的实体认证。能够有效抵御窃听攻击、假冒攻击、重放攻击及DoS攻击。     

广义椭圆曲线数字签名链口令认证方案

一次性口令是身份认证的重要技术。文章构造了一个基于椭圆曲线数字签名链的一次性口令认证和密钥协商方案。该方案使用了具有消息恢复功能、无须求逆的椭圆曲线数字签名算法,椭圆曲线认证密钥协商协议,密钥进化算法和椭圆曲线数字签名链等。方案有以下优点:服务器无需维护口令和验证列表;允许用户自主选择和更改口令,实现了双向认证;无需系统时钟同步和传输时延限制;能够抵抗重放攻击、离线字典攻击、中间人攻击和内部人攻击;具备口令错误敏感性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。经对比,该方案具有更好的安全性能,适合强安全性需求的场合。     

一体化网络体系架构中一种新型接入机制

要对网络体系做出重大调整,在新的协议设计之初将网络安全问题考虑在内越来越成为安全研究领域的共识.本文在国家“973”项目“一体化网络体系”的基础上,提出以具备自验证功能的地址结构实现端节点标识符,并在此基础上设计了一种新型接入机制,给出了相应的协议流程和协议格式,有效保障了“一体化网络体系”中信息源的真实性.最后使用SVO形式化逻辑对其安全性进行了详细的证明.