基于区块链技术的跨域认证方案

针对现有交互频繁的信息服务信任域（PKI域和IBC域）之间不能实现信息服务实体（ISE）安全高效的跨域认证的问题,提出一种基于区块链的跨异构域认证方案.在IBC域设置区块链域代理服务器参与SM9（国产标识密码）算法中密钥生成,并与PKI域区块链证书服务器等构成联盟链模型,利用区块链技术去中心化信任、数据不易篡改等优点保证模型内第三方服务器的可信性.基于此设计了跨域认证协议与重认证协议,并进行SOV逻辑证明.分析表明,与目前相关方案相比,协议在满足安全需求的前提下,降低了用户终端的计算量、通信量和存储负担,简化了重认证过程,实现域间安全通信,在信息服务跨异构域身份认证过程中具有良好的实用性.     

VANET中基于区块链的分布式匿名认证方案

身份认证是阻止恶意车辆传播虚假交通信息的第一道防线。然而由于车载自组网（VANET）中网络带宽和计算能力有限,现有方案不能满足对车辆身份的高效认证需求,也无法实现对恶意车辆的快速匿名追溯。鉴于此,提出一种基于区块链的分布式匿名认证方案。该方案利用零知识证明对VANET中车辆进行快速匿名认证,并采用非线性对的聚合签名实现快速批量认证,有效减少认证过程中产生的计算量。另外,区域性可信机构（RTA）可以实现对恶意车辆身份的匿名追溯,并基于区块链对其身份进行快速撤销;还可以基于本地密钥对车辆的短期匿名身份进行及时更新,保证车辆的匿名性和签名的新鲜性。安全分析与仿真实验表明,所提方案能够满足匿名性、不可链接性等多种安全需求,并能有效降低计算与通信开销,比同类方案在性能上至少提升27.28%。     

新的车辆远程诊断授权协议

诊断主体授权问题是车辆远程故障诊断中的关键问题。针对当前车辆远程诊断授权协议（PVAUDS）中存在的问题,提出了新的车辆远程诊断授权协议（PVAUDS+）。在保证原协议安全目标的前提下,为诊断主体提供双向认证和票据新鲜性验证,并保证发送票据的可信第三方能够有效抵御拒绝服务攻击。使用安全协议证明工具ProVerif对PVAUDS+协议的安全属性进行自动化证明,通过增加发起代价的机制解决对可信第三方的拒绝服务攻击问题,从而说明PVAUSD+协议能够满足提出的安全目标。定量分析结果说明本协议具有较好的可行性。     

智能车载自组织网络中匿名在线注册与安全认证协议

随着智能交通系统(ITS)的建立,车载自组织网络(VANETs)在提高交通安全和效率方面发挥着重要的作用。由于车载自组织网络具有开放性和脆弱性特点,容易遭受各种安全威胁与攻击,这将阻碍其广泛应用。针对当前车载自组织网络传输中数据的认证性与完整性,以及车辆身份的隐私保护需求,该文提出一种智能车载自组织网络中的匿名在线注册与安全认证协议。协议让智能车辆在公开信道以匿名的方式向交通系统可信中心(TA)在线注册。可信中心证实智能车辆的真实身份后,无需搭建安全信道,在开放网络中颁发用于安全认证的签名私钥。车辆可以匿名发送实时交通信息到附近路边基站单元(RSU),并得到有效认证与完整性检测。该协议使得可信中心可以有效追踪因发送伪造信息引起交通事故的匿名车辆。协议可以让路边基站单元同时对多个匿名车辆发送的交通信息进行批量认证。该协议做了详细的安全性分析和性能分析。性能比较结果表明,该协议在智能车辆端的计算开销以及在路边基站单元端的通信开销都具有明显优势,而且无需搭建安全信道就能够实现匿名在线注册,因此可以安全高效地部署在智能车载自组织网络环境。     

一种改进的密钥分配与认证协议

详细阐述了3C系统的认证与密钥分配协议的过程,分析了协议中可能存在的安全缺陷,提出了一个简洁有效的改进方案。     

DAA 协议中平台隐私数据的保护方案﹡

针对当前可信计算平台身份证明最好的理论解决方案——直接匿名认证（DAA ,Direct Anonymous Attestation）协议中平台隐私数据（,A e ）是以明文方式直接存储在平台上很容易受到攻击的问题,基于 TPM 的安全存储功能,提出了平台隐私数据（,A e ）的保护方案。该方案根据用户的身份生成隐私数据（,A e ）的保护密钥和授权数据,利用 TPM 的安全存储功能对该保护后的隐私数据进行存储,并通过理论分析和实验验证,表明了所提方案在保护隐私数据（,A e ）的同时,对直接匿名认证协议的性能影响也不大,增强了 DAA 协议的身份认证可信。     

MQTT协议安全加固研究

通过研究针对消息队列遥测传输（Message Queuing Telemetry Transport,MQTT）协议的安全加固方法,给出了一个MQTT协议的安全加固框架。首先,对MQTT协议面临的风险进行了分析,提炼了认证、鉴权、数据传输保护和代理的可信性这4个安全需求点;其次,描述了安全传输层（Transport Layer Security,TLS）协议、增强的口令认证密钥交换协议、主题加密、属性加密和代理重加密这5种方案的原理与应用;最后,给出了上述方案的直观实现代价和优缺点对比,并基于此给出了一个MQTT协议的安全加固框架。该研究除可应用于MQTT协议以及其他物联网协议的安全加固,对于云环境和区块链场景下的数据共享等,也具有一定的启发意义。     

面向云服务的安全高效无证书聚合签名车联网认证密钥协商协议

针对目前车联网认证密钥协商协议效率低下以及车辆公私钥频繁更新的问题,提出一个基于无证书聚合签名的车联网匿名认证与密钥协商协议.本方案通过引入临时身份和预签名机制实现对车辆的隐私保护以及匿名认证,同时通过构建临时身份索引数据库,实现可信中心对可疑车辆的事后追查,满足车辆的条件匿名性要求.此外,本方案中车辆的公私钥不随其临时身份动态改变,有效避免了已有方案公私钥频繁更新带来的系统开销.同时,为了提供高效的批量认证,采用无双线性对的聚合签名技术,实现了车辆签名的动态聚合和转发,有效降低了签名传递的通信量和云服务器的验证开销.本文方案在eCK模型和CDH问题假设下被证明是形式化安全的.     

多群组和设备侧密钥分发的安全认证和密钥协商

随着MTC（Machine Type Communication）移动终端数量不断增长,网络拥塞问题日益严重。本文提出了一种多群组和设备侧密钥分发的安全认证和密钥协商（Multi-based and Device Side Key Distribution Secure Authentication and Key Agreement, MGDK-AKA）协议。该协议首先将大量请求接入设备按照一定的规则分成多个群组。组首对组成员的请求信息进行聚合,组首与核心网完成整个认证和密钥协商过程,组成员仅与组首之间完成相互认证,避免了大量设备同时访问核心网络。同时将原核心网侧的密钥分发转移到设备侧完成,进一步克服网络拥塞,并保证数据的安全传输。安全性分析表明了提出的方案可以完成安全目标,并抵抗一些攻击。仿真结果验证了该协议在网络拥塞避免的可行性。      

车载自组网中可证明安全的无证书认证方案

认证协议的设计是目前车载自组网(VANET)安全领域的研究热点。现有的认证方案中普遍存在密钥托管带来的安全问题,以及使用计算量大的双线性对导致认证效率很低。针对以上问题,该文提出可证明安全的无证书批认证方案,方案中车辆的密钥由车辆自身和一个密钥生成中心共同生成,解决密钥需要托管给第三方维护的问题;方案的签名构造不使用计算量大的对运算,减少了计算开销;引入批认证来减少路边设施的认证负担,提高认证效率。基于求解椭圆曲线上的离散对数问题的困难性假设,在随机预言机模型中证明了该方案可以抵抗自适应选择消息和身份攻击,从而抵抗更改攻击和假冒攻击,并具有匿名性、可追踪性等特点。与现有方案相比,该方案实现了更高效的认证。     

Efficient Privacy-Preserving Anonymous Authentication Protocol for Vehicular Ad-Hoc Networks

Vehicular ad-hoc network (VANET) has been considered as one of the most promising wireless sensor technologies, which could enhance driving convenience and traffic efficiency through real-time information interaction. Nevertheless, emerging security issues (e.g., confidentiality, integrity, identity privacy, message authentication) will hinder the widespread deployment of VANETs. To address these issues, in this paper, we propose an efficient privacy-preserving anonymous authentication protocol for VANETs. We first design an identity-based signature algorithm, and exploit it with an account information of a vehicle to propose our anonymous authentication protocol. The protocol enables each vehicle to anonymously send an authenticated message to nearby roadside units (RSUs) in a confidential way, and efficiently check the feedback information from nearby RSUs. Simultaneously, the protocol achieves key-exchange functionality, which could produce a session key for later secure communication between vehicles and RSUs. Finally, we give the security analysis of the proposed protocol and conduct a comprehensive performance evaluation, the results demonstrate its feasibility in the secure deployment of VANETs.

     

一种支持ECC算法的传输层安全协议

首先介绍了RSA算法和ECC算法（Elliptic Curve Cryptography）在国内外的应用情况,接着介绍了RSA算法在传输层安全协议中的应用情况,并以身份认证系统为例,原有身份认证系统采用TLS（Transport Layer Security）协议,通过对协议的修改,完成协议对椭圆曲线的支持,提出了改进的支持ECC算法的传输层安全协议,协议内容参照传输层安全协议（RFC4346TLS1．1）,结合实际应用需求,在TLS1．1的握手协议中增加了ECC的认证模式和密钥交换模式,取消了DH密钥协商方式,修改了密码套件的定义。     

基于PRESENT算法的RFID安全认证协议

物联网中RFID技术的应用非常广泛,但是RFID系统的安全性却存在着很大隐患。在RFID系统中标签与读写器间的通信信道是最易受到攻击,传输数据的完整性与保密性得不到保障,因而需要加强RFID系统通信的安全机制。考虑到RFID系统的硬件条件与成本限制,需要建立一个适合RFID系统的安全认证协议,来解决在RFID系统中信息传输所遇到的安全问题。PRESENT算法是轻量级的分组加密算法,将PRESENT结合到RFID系统的安全认证协议中,形成了新的RFID安全认证协议PRSA(PRESENT based RFID security authentication)。此协议可以增强RFID系统的安全性而又不会占用过多的硬件资源,从而能够适用于低成本的RFID系统的通信安全。     

Low Cost RFID Security Protocol Based on Rabin Symmetric Encryption Algorithm

Research shows that heavy-weighted RFID authentication protocol is weak to adapt to low-cost RFID tags because of the usage of public key Encryption Algorithm. The lightweight authentication protocol is suitable for low-cost RFID security authentication protocol because it adopts only the operation of AND, OR, XOR and shift, etc., but is hard to resist complex attacks. In this article, we use the features of the Rabin public key cryptography algorithm, which verifies that the signature process requires only low-cost square multiplication and modulo operations. Based on this, an RFID security authentication protocol with Rabin encryption algorithm is designed. The protocol improves the security of low-cost RFID tags to the height of the public key cryptosystem, and greatly increasing the security of low-cost RFID.

     

基于对称多项式的GSM-R身份认证协议

GSM-R(GSM for Railways)网络结构中的一个重要组成部分是身份认证,为了能够解决现有的GSM-R身份认证协议中存在的一些安全隐患,针对SIM卡不易丢失的车载设备,提出了一种基于对称多项式的身份认证协议.该协议在每个移动用户初始认证时分配一个共享多项式,在随后的认证请求中,用户与服务GPRS支持节点(S...     

基于ECC算法的双向认证协议研究

提出了一种应用于连接保护系统上的基于椭圆曲线密码学(ECC)算法的认证协议,并对它的安全性和效率进行了分析.分析发现,在保证安全性的前提下,这里提出的认证协议与DTCP协议相比,效率更高.     

协议认证性安全属性测试方法

认证性建立通信双方的信任关系,是安全通信的重要保障.传统的协议测试方法只关注协议功能的正确性,无法满足认证性等安全属性测试的要求.因此,提出了一种针对协议认证性的安全属性测试方法,利用带目标集合的有限状态机模型SPG-EFSM来扩展描述协议安全属性,并在攻击场景分类的基础上设计了认证攻击算法.通过攻击算法找到了Woo-lam协议和μTESLA协议的认证性漏洞,该方法具有可行性、覆盖率高等特点.     

基于码分多址防碰撞的射频识别认证协议

该文针对射频识别(RFID)领域中的安全认证协议和多标签防碰撞算法两个研究热点,设计了一种基于码分多址防碰撞算法的RFID安全认证协议。协议支持密钥的动态更新并引入标志位机制选择备用密钥来抵御数据库同步攻击,同时结合码分多址技术,应用重传随机数进行扩频码的选择,实现一次重传解决多标签识别中因数据碰撞造成的标签不识别的问题。首先,描述协议的流程及防碰撞原理;其次,应用SVO逻辑对认证协议的正确性进行证明;最后,对应用该认证协议的系统吞吐效率进行数值分析,分析表明其吞吐效率高于传统防碰撞算法。     

Three-party password authenticated key agreement protocol with user anonymity based on lattice

With the rapid development of quantum theory and the existence of polynomial algorithm in quantum computation based on discrete logarithm problem and large integer decomposition problem,the security of the algorithm was seriously threatened.Therefore,two authentication key agreement protocols were proposed rely on ring-learning-with-error (RLWE) assumption including lattice-based implicit authentication key agreement scheme and lattice-based explicit authentication key agreement scheme and proved its security.The implicit authentication key agreement protocol is less to communicate and faster to authentication,the explicit authentication key agreement protocol is more to secure.At the same time,bidirectional authentication of users and servers can resist unpredictable online dictionary attacks.The new protocol has higher efficiency and shorter key length than other password authentication key agreement protocols.It can resist quantum attacks.Therefore,the protocol is efficient,secure,and suitable for large-scale network communication.