基于数字签名和属性证书的TLS协议改进方法

分析TLS(transport layer security)协议的安全性和性能问题。针对TLS协议在抗抵赖性和访问控制方面的缺陷,按照TLS协议扩展标准,对协议的消息流程进行扩展。在协议内部增加数字签名和属性证书机制,提高协议的安全性,并对扩展后的协议进行性能上的优化。最后通过实验证明改进后的协议比原协议更加安全高效。     

适用于手机支付的身份认证机制

手机支付已经成为目前电子商务平台的主要支付手段,但用于手机支付的双重认证机制无法抵抗手机病毒感染、手机号码被复制、手机丢失带来的安全隐患。本文基于用户账户、密码、手机序列号IMEI,借助于哈希函数、公钥密码等密码技术,设计了一个适用于手机支付的三级身份认证协议。经安全性分析,此机制具备安全性。     

Web服务安全模型的研究与实现

提出了一个基于XKMS与SAML的Web服务安全模型,完成了应用层SOAP消息的安全性传输,实现了安全的身份验证及单点登录,保证了所传输消息的机密性、完整性、抗抵赖性,并以一个应用实例来具体实现了此安全模型的功能。     

具有隐私保护的安全电子交易协议

电子交易的普及在给用户带来便利的同时,其在交易支付中所暴露出的隐私保护和安全性问题也受到不同程度的挑战。针对此问题,提出一个安全的电子交易协议。协议中,优化后的签密算法可保证交易的安全性;同时支付服务商具有去匿名性功能,可以在保护用户隐私的基础上进行追责。经性能分析,本协议在提高通信性能的基础上,满足消息的机密性和不可否认性、购买者的匿名性和可追踪性以及电子交易的公平性。     

EXTR的ElGamal协议对WCDMA鉴权的改进

由于WCDMA的鉴权协议采用对称加密算法,不具备不可否认性,因此在实际应用中存在隐患.通过将广义XTR体制上的ElGamal加密协议进入WCDMA鉴权中,并修改鉴权协议,为系统增加了强不可否认性,有效地克服了隐患.该协议增强了WCDMA鉴权的安全性,具有较强的实用性.     

一个切换认证的5G鉴权协议及其形式化分析

随着移动通信的发展,迎来了第5代移动通信技术(5G). 5G认证与密钥协商(5G authentication and key agreement, 5G-AKA)协议的提出主要是为了实现用户和服务网络的双向鉴权.然而,最近的研究认为其可能会遭受信息破译和消息重放攻击.同时,发现当前5G-AKA的一些变种不能满足协议的无连接性.针对上述缺陷,提出一个改进方案:SM-AKA. SM-AKA由两个并行子协议组成,通过巧妙的模式切换使更加轻量的子协议(GUTI子模块)被频繁采用,而另一个子协议(SUPI子模块)则主要用于异常发生时的鉴权.依据这种机制,它不仅实现用户和归属网之间的高效认证,还能提升鉴权的稳定性.此外,变量的新鲜性也得到有效维持,可以防止消息的重放,而严格的加解密方式进一步提升协议的安全性.最后,对SM-AKA展开完整的评估,通过形式建模、攻击假定和Tamarin推导,证明该方案可以达到鉴权和隐私目标,而理论分析部分也论证了协议性能上的优势.     

EXTR的EIGamal协议对WCDMA鉴权的改进

由于WCDMA的鉴权协议采用对称加密算法，不具备不可否认性，因此在实际应用中存在隐患。通过将广义XTR体制上的EIGamal加密协议进入WCDMA鉴权中，并修改鉴权协议，为系统增加了强不可否认性，有效地克服了隐患。该协议增强了WCDMA鉴权的安全性，具有较强的实用性。     

基于可转换代理签密的SAML跨域单点登录认证协议

可转换代理签密算法具有保护用户隐私、抗重放攻击、抗抵赖性等优势,基于该算法提出一种SAML跨域单点登录协议(SSPCPS).通过用户与异构域服务器直接交互认证,简化了跨域单点登录认证过程.用户身份票据由双方公钥结合用户随机选取的参数而生成,以密文形式传输,攻击者即使窃取该令牌也无法调用服务.用户利用代理签名密钥对摘要进行签密,在减少计算量的同时也可保证用户隐私安全.SSPCPS协议基于DH算法协商会话密钥,简化了会话密钥分发过程并降低了管理成本.使用CK安全模型证明了本协议的安全性并进行了性能分析,结果表明协议具有前向保密性、消息完整性等特点,同时在生成票据计算量和计算时间方面优于SSPPS协议、Juang方案、Ker-beros机制等.     

哈希证明系统及应用研究

哈希证明系统在2002年欧密会上由Cramcr和Shoup首次提出。哈希证明系统的概念自提出以来得到广泛 研究,目前已有多个修改版本。“投影性”和“平滑性”是哈希证明系统的两个重要特性,正是由于这两个特性使得哈希 证明系统除了用于设计CCA安全的公钥加密体制之外,还广泛应用于各种安全协议设计,比如:基于口令认证的密钥 交换协议、不经意传输协议、可否认的认证协议、零知识证明协议和承诺协议等。介绍了哈希证明系统及其变形的各 种定义,分析了定义之间的派生关系和安全级别关系,并讨论了哈希证明系统在密码学中的应用.     

可扩展及可证安全的射频识别认证协议

针对目前广泛应用的被动式射频识别（RFID）标签中的计算、存储资源有限,导致RFID认证协议的安全和隐私保护,特别是可扩展性一直没有得到很好解决的问题,提出一种基于哈希函数、可证安全的轻权认证协议。该协议通过哈希运算和随机化等操作确保认证过程中会话信息的保密传输和隐私性;在认证过程中,标签的身份信息通过伪名进行确认,其真实身份没有透漏给阅读器等不信任实体;后端服务器进行身份确认仅需进行一次哈希运算,通过标识符构造哈希表可使身份信息查找时间为常数;每次认证后,标签的秘密信息和伪名等均进行更新,从而确保协议的前向安全性。分析证实,该RFID轻权认证协议具有很好的可扩展性、匿名性和前向安全性,能够抵抗窃听、追踪、重放、去同步化等攻击,而且标签仅需提供哈希运算和伪随机数生成操作,非常适合应用于低成本的RFID系统。     

一种新的移动商务小额支付协议

提出了一种基于自更新Hash链机制的移动商务认证机制，设计了适用于移动用户与固定网络信息服务提供商进行频繁交易的小额支付协议。分析表明，新机制使用较少的交互，无需数字签名，实现在“第一时间”对移动用户的认证和会话密钥的高效产生。提出的协议不仅提高了支付协议的效率、安全性和公平性，而且解决了恶意透支和时限性等问题。     

一种安全的移动支付方法*

分析了移动电子商务飞速发展的前景以及对移动支付业务发展要求,并针对当前最主流的电子支付协议3-D secure,提出了一种更为安全和有效的移动支付方法。该支付方法从密钥生成、加密处理、资金管理等多方面保证了移动支付过程的安全性,且优化了整个支付流程,使得该支付方法更适用于移动支付应用。     

基于J2ME的移动支付安全方案研究

安全方案对移动支付系统的安全性起着决定性作用,其中无线环境中的安全和对用户即手持设备的认证,更是系统成败的关键.借鉴国外已有的移动支付系统,结合宏支付的特点及安全要求,并考虑到J2ME平台本身提供的安全性,提出了一个基于JZME的移动支付安全方案,重点解决无线环境下的用户的认证问题,来保证针对宏支付的移动支付系统的安全.分析测试验证了该安全方案的安全性及可行性.     

基于双哈希链的公平移动支付协议的设计和分析

设计并分析了一个全新的基于双哈希链的公平移动支付协议;简要介绍了移动支付的业务流程并分析了该模型存在对用户不公平的不足之处;把用于一次性数字签名的双哈希链方案引入移动支付协议,借鉴分次支付的思想提出了一个新的公平移动支付协议;该协议包括4个部分:注册协议、定单下载协议、支付协议、清算协议;它具有很高的效率和可靠性,最大优点在于能够保证支付过程中对用户的公平,使移动用户在参加移动增值业务过程中不再处于绝对劣势,适于移动网络中的公平支付.     

SET协议认证机制的形式化分析

移动支付是移动电子商务的重要组成部分,而安全性成为移动支付的发展瓶颈,因此电子商务协议的安全性成为此问题的核心。为了解决上述问题,使用串空间模型的测试理论,对SET协议中用户和商家、商家和支付网关之间的认证性进行形式化分析,分析结果表明商家与支付网关之间的认证是安全的;用户和商家的认证性不满足安全需求,在支付交易流程中双方易受到攻击。     

改进的可证安全的相互认证及密钥协商方法

提出一种新的用于移动通信的相互认证和密钥协商方法——NMAKAP。NMAKAP采用基于阿贝尔群的模幂运算和散列函数进行身份认证,取代了传统公钥密码算法和数字签名方案,降低了协议的计算开销和实现成本。在SVO逻辑系统证明下,NMAKAP协议是安全的。SVO逻辑是安全协议形式化分析的一种重要方法,文章扩展了SVO逻辑分析散列函数的逻辑语法。SVO逻辑方法的认证目标被发现存在中间人攻击,为此提出了新的认证目标,并分析了新目标的安全性。分析了一种可用于移动通信的认证协议——MAKEP。MAKEP协议通过预计算,大大降低了移动设备的计算量,但被认为存在Hijacking攻击。分析表明针对原MAKEP协议的Hijacking攻击并不成立,但该协议被发现存在未知共享密钥攻击,为此提出了改进意见。     

一种基于ECC的安全移动支付协议

由于移动终端和网络带宽的限制,基于RSA加密算法的电子支付安全协议SET不能被直接用于移动支付。现有移动支付系统都采用对称加密算法,存在一定安全风险,本文提出一个新的基于椭圆曲线加密算法ECC的移动支付协议。该协议除了提供高效的支付认证过程,还确保交易信息从商家到用户的传递,增强用户信息安全性。理论分析证明,ECC不仅能在很短的时间里产生符合条件的密钥,而且在同样破解时间下RSA与ECC密钥长度比大于5：1,这个比例随着破解时间增加而越来越大。新的协议在签名、证书验证、非对称和对称加密次数上较SET协议也明显减少,这样当前移动终端和网络能力完全可以支撑该协议,保证安全有效的移动支付过程。     

GSM移动通信用户鉴权算法的分析与实现

首先分析研究了ＧＳＭ（Ｇｌｏｂａｌｓｙｓｔｅｍ ｆｏｒ ｍ ｏｂｉｌｅ）数字移动通信系统的安全技术,特别是有关用户鉴权与密钥分配的协议,然后以改进的ＦＥＡＬ算法为核心,构造了一个２Ｍ 比特并联杂凑ＦＥＡＬ－４（Ｘ）Ｓ加密算法,实现了ＧＳＭ 数字移动通信系统的身份认证与密钥分配的Ａ３／Ａ８ 算法。本文对该组加密算法及其性能进行了详细分析,并给出了在计算机上模拟的结果。     

基于交叉位运算的移动RFID双向认证协议

在传统的RFID系统中,读写器与后台数据库之间通过有线方式进行通信,一般认为安全,在设计双向认证协议过程中,将两者看成一个整体;而移动支付等新兴产业的兴起,需要运用到移动的RFID系统,即读写器与后台数据库之间不再通过有线方式进行通信,而是通过无线方式通信,从而使得该通信信道不在安全可靠,故在设计认证协议中,不能再将两者看成一个整体,因此传统的RFID系统无法很好的适用于移动支付过程。为解决上述问题,提出一种超轻量的适用于移动RFID系统的认证协议。所提协议采用交叉位运算对所要传输信息进行加密,使得协议能够达到超轻量级别,同时能够一定程度上减少标签端的计算量;标签、读写器、后端数据库通信实体三方需通过认证,才可进行其他操作;加密过程中,随机数的引入,能够保障传输信息的新鲜性,同时增加攻击者的破解难度。安全性分析表明,协议具备较高的安全性,能够确保通信信息的安全;性能分析表明,所提协议具有较少的计算量,具备低成本的特性。     

基于Hash函数的随机RFID双向认证协议研究

在比较现有的几种基于Hash函数的RFID认证协议的基础上,对基于Hash函数的随机RFID双向认证协议进行性能仿真分析,并通过MatLab软件仿真对其安全性进行仿真验证。该协议低成本、安全、高效率,特别适用于大规模RFID系统。