一种基于USB-KEY的身份认证协议

对常用的身份认证协议和方法进行了简单的综述,针对生物身份认证的局限性和PKI体系结构认证成本较高的情况,从密码学、网络安全技术等方面提出了一种基于USB-KEY的身份认证协议.该协议利用USB-KEY硬件可生成伪随机数、可进行数据计算与存储的特点,综合地运用伪随机数、异步时间戳、会话密钥、DES加密、MD5算列算法,完成数据安全性加密、数据完整性校验等操作,该协议既简单易行,又十分安全.文中从密码攻击、中间人攻击、重放攻击3个方面进行了安全性分析,证明了协议是安全可行的.     

一种基于USB Key的双因子身份认证与密钥交换协议

传统的USB Key只能存储数据而无法进行复杂的加／解密运算，导致基于USB Key的认证协议存在诸多不足。本文针对含智能卡芯片的USB Key可进行加／解密运算和生成随机密钥的特点，提出了一种基于USB Key的双因子身份认证与密钥交换协议DKAKEP。该协议综合运用伪随机数验证、一次性会话密钥、AES加密算法、安全哈希算法等技术，除了可提供安全快速的身份认证与密钥交换，还具有快速更改密钥、支持多种哈希算法和无需时间同步机制的特点。 多种协议攻击，具有较强的实用性、安全性和可靠性。     

基于口令的远程身份认证及密钥协商协议

基于口令的身份认证协议是研究的热点。分析了一个低开销的基于随机数的远程身份认证协议的安全性,指出了该协议的安全缺陷。构造了一个基于随机数和Hash函数、使用智能卡的远程身份认证和密钥协商协议：PUAKP协议。该协议使用随机数,避免了使用时戳带来的重放攻击的潜在风险。该协议允许用户自主选择和更改口令,实现了双向认证,有较小的计算开销;能够抵御中间人攻击;具有口令错误敏感性、口令的主机非透明性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。     

能抵抗拒绝服务攻击且高效的RFID安全认证协议

针对现有的RFID认证协议所面临的安全隐私保护问题,利用Hash函数加密的方法,提出了一种能抵抗拒绝服务攻击且高效的RFID安全认证协议。通过在阅读器上进行随机数的比较与识别,从而使该协议可抵抗拒绝服务攻击,并且在后台数据库中存储标签标识符的两种状态,以便实现电子标签与后台数据库的数据同步。从理论上分析了协议的性能和安全性,并利用BAN逻辑对协议的安全性进行了形式化证明。分析结果表明,该协议能够有效地实现阅读器和电子标签之间的相互认证,能有效地抵抗拒绝服务攻击且与其他协议比较,整个RFID系统的计算量减小,适用于大规模使用标签的RFID系统。     

电力信息化系统数据的安全认证与加密传输方法

针对传统安全认证方法存在信息完整度低的问题,提出电力信息化系统数据的安全认证与加密传输方法。首先,采用哈希算法随机生成伪随机数,将电力信息化系统中的数据存储在云服务器中。其次,设定身份标识后,在云服务器中添加共享密钥,并使用更新后的伪身份标识和密钥进行射频识别（RadioFrequency Identification,RFID）协议安全认证。最后,在完成安全认证后,设置每个密钥周期的特定时间节点,生成新的初始密钥,并在数据传输过程中使用这些密钥进行对称加密,以实现电力信息化系统数据的加密传输。实验结果表明,该方法的数据完整度均大于95%,结果符合预期。     

Mobile Ad Hoc网络匿名认证协议的研究

针对Mobile Ad Hoc网络提出了一个改进的匿名认证协议,主要目的是提供一个隐藏通信节点真实身份的机制,提高对恶意攻击的抵御能力。端到端的匿名认证进行基于对称和非对称密钥加密的三次握手,在成功完成认证过程后,安全的复合匿名数据通道才能被建立。匿名由拥有随机选择伪身份的用户来担保,网络节点公开认证并且独立于用户的伪身份。文章通过一个网络模型介绍了该协议的执行过程,并对其安全性进行了简要分析。     

基于扩展混沌映射的远程医疗信息系统认证方案

针对远程医疗信息系统（TMIS）的实时应用场景,提出了一种安全高效的基于扩展混沌映射的切比雪夫多服务器认证协议。该方案使用随机数和注册中心的私钥为用户/应用服务器的身份加密,有效地支持用户和应用服务器的撤销和重新注册。同时,还利用“模糊验证因子”技术避免离线密码猜测攻击,利用“honeywords”技术有效避免在线密码猜测攻击。该方案在公共信道上传输的与用户身份相关的信息均使用随机数或随机数的计算结果进行加密,因此可以为用户提供强匿名性。通过BAN逻辑证明该协议可以实现用户和服务器的安全相互认证;同时,使用非正式安全证明该协议可以抵抗多种已知攻击。     

一种基于双PUF的RFID认证协议

针对Liang等人提出的基于双物理不可克隆函数(physical uncloneable function,PUF)的无线射频识别(radio frequency identification,RFID)认证协议进行分析发现其存在安全隐患,不能抵抗重放攻击、去同步攻击、标签伪造等恶意攻击.为解决由于恶意攻击者对RFID系统所造成的安全隐患问题,提出一种基于双PUF的RFID认证协议DPRAP.在伪随机数发生器种子生成阶段,不直接在非安全信道上传输种子的通信值,通过多次的Hash与异或运算对种子的值进行加密隐藏,保证协商种子的机密性;在标签与服务器的伪随机数发生器种子协商过程中,使用一个时间阈值,防止攻击者恶意阻塞通信信道引发去同步攻击,确保服务器与标签端的伪随机数发生器种子的同步性;在认证阶段,在认证信息中增加使用标签的身份标识IDS来对标签的合法性进行验证,防止标签假冒攻击.通过使用BAN逻辑和Vaudenay模型对DPRAP协议进行形式化分析和验证,证明DPRAP协议满足不可追踪性,能够抵抗去同步攻击、标签假冒攻击等攻击手段,结果表明DPRAP协议具有更强的安全隐私性和更好的实用性.     

一种超轻量级移动射频识别的双向认证协议

针对移动射频识别中读写器与后端服务器之间因无线传输带来的安全问题,提出了一种超轻量级移动射频识别的双向认证协议。该协议通过级联运算动态更新标签假名和标签密钥,可有效隐藏标签真实身份,并利用循环校验函数进行标签以及读写器与后端服务器之间的身份认证,实现了系统的双向认证。安全性分析表明,该协议可抵抗跟踪攻击、假冒攻击、重放攻击、中间人攻击等多种恶意攻击。与现有的几种协议相比,该协议降低了标签端的计算开销和通信开销,具有安全性较高、成本低的优点。     

一种层次化移动IP接入认证机制

提出一种基于MIP-RR协议的层次化接入认证机制。通过建立MIP-RR协议的认证框架,采用身份签名和数字信封技术实现每个相邻移动支持节点之间的双向认证,确保注册消息的完整性和机密性。相比基本移动IP协议的接入认证方法,该方法的加密强度和安全性更高,可以更有效地抵御常见的安全攻击。     

基于攻击者和秘密的安全协议验证算法的研究与实现

网络的普及便得网络安全问题日益重要,协议的安全性和密码算法的安全性是网络数据安全的两个最基本的概念。本文介绍了几种有代表性的安全协议的形式化验证工具,研究并使用了JAVA语言实现了基于攻击者和秘密的安全协议验证算法。我们提出了身份验证协议必须交换秘密的概念,还为协议的形式化验证过程设计了框架。框架是指针对攻击者和其冒充的角色对原安全协议的改造。我们实现的验证工具是证伪的,即如果攻击者能够成功冒充某主体,则该安全协议是有漏洞的,反之则该协议的安全性得到某种程度的保证。本文还给出了该算法的攻击实例,并且对以后的研究工作进行了展望。     

一种物联网密钥管理和认证方案

针对物联网环境中不同网络间交互所带来的数据隐私和认证等安全问题,本文提出一种密钥管理和认证签名方案,并进行性能和安全性分析,以证明方案能满足物联网低资源、高交互率、高移动率、低数据量环境下通信安全性要求。通过研究基于身份认证的密钥协商方案,加入三方认证模式,实现密钥身份认证。仿真实验结果验证了方案的有效性。     

安全域间信息资源访问的协议和方法

为了保护内部网络的安全，必须设置应用边界安全设备．Internet上不同的应用安全域间要实现信息资源的安全访问，首先需要认证．Kerberos是目前比较常用的认证协议，一般的应用边界安全设备（如SOcks5）中就应用了该认证协议，但应用该协议存在一定的缺陷：在应用边界安全设备链的认证过程中，资源域中的应用边界安全设备认证对象是主体域中的应用边界安全设备，而不是真正发起资源请求的客户端，因此资源域中的应用边界安全设备审计的对象是主体域中的应用边界安全设备，而不是真正的客户端．在Kerberos域间认证的基础上，给出了新的域间认证协议以及身份传递协议，使用新的协议不仅能够提供应用边界安全设备对用户访问请求的安全审计而且只需要两次域间的网络连接，这两次域间网络连接不需要主体和客体直接进行，而是通过应用边界安全设备完成的，提高了系统的通信效率，扩大了该系统的应用范围，适合于现有的企业网环境，能有效地解决企业网与企业网之间的信息安全传输．     

3G认证与密钥分配协议的改进

为保证数据传输的安全性,该协议实现网络和用户之间的双向认证,增加数据完整性的验证防止对信息的篡改,在认证今牌AUTN中包括序列号SQN确保认证过程的最新性,防止重放攻击;然而认证过程却假定HLR／AUC和VLR／SGSN之间的内部系统链路足够安全,该假设导致该链路上的数据易被窃听,针对此缺陷提出了基于VLR和HLR之间共享秘密密钥的认证与密钥分配协议,实现HLR对VLR认证,保证VLR和HLR之间认证向量传输的安全性。     

面向工业控制系统终端的轻量级组认证机制

针对当前国内工控系统中普遍缺乏认证能力的现状，本文结合无证书签名和传统信息安全中的群组认证提出了一种面向工控终端的轻量级组认证机制，针对传统信息安全中的身份认证技术进行改进，实现工控系统中多机协作场景下对多台PLC进行同时认证.基于本方案实现的可信PLC设备采用嵌入式处理器和安全处理单元的结构，在数据传输时采用PCIE协议传输，替代了传统的网络接口的数据传输，确保网络数据不会外泄，最大程度上保证了数据的安全性.验证表明，本文提出的轻量级组认证机制减少了认证过程的计算量和通信开销，能够解决控制系统中身份认证机制存在的终端计算能力有限等问题.     

新的域间身份认证协议及其形式化验证

Internet上不同的安全域间要实现信息资源的安全访问首先需要认证.目前常用的认证协议是Kerberos协议,但在网络环境下,该协议无法对真实的客户端进行认证.因此,给出了新的域间身份认证协议以及相应的"现时"产生方案,并利用改进的Spi演算对所设计的认证协议进行了分析,证明了该协议的安全性,能够有效地解决网间的信息安全传输.     

一种基于三因素认证的网络支付安全认证模式

在目前流行的双因素认证的网络支付安全认证模式的基础上,引入动态验证码认证,提出了一种基于三因素认证的网络支付安全认证模式。文中给出了具体的认证协议实现过程,并对其安全性进行了分析,结果表明本认证模式能提高网络支付的安全。     

移动网络可信匿名认证协议

针对终端接入移动网络缺乏可信性验证问题,提出一种移动网络可信匿名认证协议,移动终端在接入网络时进行身份验证和平台完整性认证。在可信网络连接架构下,给出了可信漫游认证和可信切换认证的具体步骤,在认证时利用移动终端中预存的假名和对应公私钥对实现了用户匿名隐私的保护。安全性分析表明,协议满足双向认证、强用户匿名性、不可追踪性和有条件隐私保护。协议中首次漫游认证需要2轮交互,切换认证需1轮即可完成,消息交换轮数和终端计算代价优于同类可信认证协议。     

基于公钥密码体制的Kerberos协议的改进

随着计算机网络的发展,网络安全问题已变得日益重要,而身份认证在安全系统中的地位极其关键,是最基本的安全服务。Kerberos协议是基于私钥密码系统的身份认证协议。文中首先对Kerberos协议的认证原理进行分析;然后基于公钥体制的加密技术和Kerberos协议,提出了一个安全性更高的身份认证协议;最后分析了两种协议的异同。     

基于ECDSA多播数据源认证协议设计及其BAN逻辑分析

多播数据源认证是多播安全的研究热点之一,现有的多播数据源认证协议只能解决部分问题。本文利用ECDSA作为公钥基础,设计了一个有效的基于ECDSA的多播数据源认证协议,并对协议进行了BAN逻辑分析。该协议能够有效地实现多播数据源认证。