CCSDS遥控协议数据认证保护研究

针对CCSDS体制中分包遥控(Telecommand)系统所面临的安全威胁,结合空间通信环境的特点,总结了对遥控协议数据进行认证性保护的技术方法,讨论了认证算法在分包遥控协议中的应用位置。为了避免认证算法与COP-1闭环之间的冲突,提出了在数据链路层COP-1闭环之前进行认证操作的方法。结合国内外相关领域的研究进展,分析了在分包遥控协议中应用SHA-256进行数据认证性保护的必要性与可用性。     

基于码分多址防碰撞的射频识别认证协议

该文针对射频识别(RFID)领域中的安全认证协议和多标签防碰撞算法两个研究热点,设计了一种基于码分多址防碰撞算法的RFID安全认证协议。协议支持密钥的动态更新并引入标志位机制选择备用密钥来抵御数据库同步攻击,同时结合码分多址技术,应用重传随机数进行扩频码的选择,实现一次重传解决多标签识别中因数据碰撞造成的标签不识别的问题。首先,描述协议的流程及防碰撞原理;其次,应用SVO逻辑对认证协议的正确性进行证明;最后,对应用该认证协议的系统吞吐效率进行数值分析,分析表明其吞吐效率高于传统防碰撞算法。     

RFID匿名认证协议的设计

在分析RFID协议安全需求的基础上,基于通用可组合安全模型,设计了一个低成本的RFID匿名认证协议,在标准模型下证明了RFID匿名认证协议的安全性.设计的协议提供匿名、双向认证和并发安全,并且协议的实现对于一般的RFID结构都是切实可行的.     

基于区块链技术的跨域认证方案

针对现有交互频繁的信息服务信任域（PKI域和IBC域）之间不能实现信息服务实体（ISE）安全高效的跨域认证的问题,提出一种基于区块链的跨异构域认证方案.在IBC域设置区块链域代理服务器参与SM9（国产标识密码）算法中密钥生成,并与PKI域区块链证书服务器等构成联盟链模型,利用区块链技术去中心化信任、数据不易篡改等优点保证模型内第三方服务器的可信性.基于此设计了跨域认证协议与重认证协议,并进行SOV逻辑证明.分析表明,与目前相关方案相比,协议在满足安全需求的前提下,降低了用户终端的计算量、通信量和存储负担,简化了重认证过程,实现域间安全通信,在信息服务跨异构域身份认证过程中具有良好的实用性.     

协议认证性安全属性测试方法

认证性建立通信双方的信任关系,是安全通信的重要保障.传统的协议测试方法只关注协议功能的正确性,无法满足认证性等安全属性测试的要求.因此,提出了一种针对协议认证性的安全属性测试方法,利用带目标集合的有限状态机模型SPG-EFSM来扩展描述协议安全属性,并在攻击场景分类的基础上设计了认证攻击算法.通过攻击算法找到了Woo-lam协议和μTESLA协议的认证性漏洞,该方法具有可行性、覆盖率高等特点.     

基于预认证的无线Mesh网络快速切换认证技术方案

为了保证无线Mesh网络链路切换过程的快速与安全性,运用了CPK标识认证技术,参照了IKEv2认证与密钥交换协议的设计方法,按照安全协议设计原则,设计了基于预认证的无线Mesh网络快速认证技术方案,包括基于预认证的端到端认证与加密方案和快速重认证方案。通过方案性能与安全性分析,方案在实现安全快速的同时还兼具了很好的性能。     

基于置乱排序的身份认证协议研究

在分析经典的身份认证方案,特别是一次性口令认证方案中S/KEY方案存在问题的基础上,提出了一种新的身份认证协议COTP在本协议中,采用了基于混沌置乱排序表的设计算法,在用户登录过程中用置乱排序后的次数代替真正的迭代次数,对协议中用到的种子进行了加密处理.理论分析与仿真实验表明,COTP认证协议能抵御小数攻击、重放攻击及内部人员攻击,能对传输的种子和迭代次数进行加密,并实现了客户和服务器的双向认证.     

认证协议研究概览

认证协议是以密码学为基础的协议,它的最终目标是在分布式系统中提供各种各样的安全服务,是保证网络安全的基础。文中阐述了网络安全需要通过认证协议来进行主体之间的相互认证,而认证协议的正确性需要借助形式化的分析工具来进行验证。认证协议是非常精细和微妙的,认证也不是静止不变的。设计与分析认证协议是十分困难的,它是严格分析技术的最佳选择,是分布式安全结构的重要组成部分,而各种类型的形式化分析工具各有优劣。     

UC安全的基于一次签名的广播认证

研究了基于一次签名的广播认证协议的可证明安全问题.在通用可组合安全框架下,提出了基于一次签名的广播认证的安全模型.首先,形式化定义了一次签名理想函数FOTS和广播认证理想函数FBAUTH.其次,设计了一次签名算法HORS+.然后,在(FOTS,FREG)-混合模型下设计了广播认证方案πBAUTH.组合协议HORS+,在πBAUTH的基础上可以构造出新的基于一次签名的广播认证协议.结果表明,HORS+能够安全实现FOTS:在(FOTS,FREG)-混合模型下,πBAUTH安全实现理想函数FBAUTH的广播认证方案πBAUTH.根据组合定理,新的广播认证协议具有通用可组合安全性适用于能量受限网络中广播消息的认证.     

Ipsec中AH认证报头安全协议分析

AH认证报头协议是IPSec的一部分.该协议主要是为IP数据包提供信息源的身份认证,以及数据完整性的检测,同时,它还具有抗重播功能.文章通过对AH协议的组成、认证算法以及安全性的分析,指出了其存在的弱点与不足,提出了改进方法.     

移动漫游中强安全的两方匿名认证密钥协商方案

由于低功耗的移动设备计算和存储能力较低,设计一种高效且强安全的两方匿名漫游认证与密钥协商方案是一项挑战性的工作.现有方案不仅计算开销较高,而且不能抵抗临时秘密泄露攻击.针对这两点不足,提出一种新的两方匿名漫游认证与密钥协商方案.在新方案中,基于Schnorr签名机制,设计了一种高效的基于身份签密算法,利用签密的特性实现实体的相互认证和不可追踪;利用认证双方的公私钥直接构造了一个计算Diffie-Hellman（Computational Diffie-Hellman,CDH）问题实例,能抵抗临时秘密泄露攻击.新方案实现了可证明安全,在eCK（extended Canetti-Krawczyk）模型基础上,探讨两方漫游认证密钥协商方案安全证明过程中可能出现的情形,进行归纳和拓展,并给出新方案的安全性证明,其安全性被规约为多项式时间敌手求解椭圆曲线上的CDH问题.对比分析表明：新方案安全性更强,需要实现的算法库更少,计算和通信开销较低.新方案可应用于移动通信网络、物联网或泛在网络,为资源约束型移动终端提供漫游接入服务.     

Two-factor authenticated key agreement protocol based on biometric feature and password

A new two-factor authenticated key agreement protocol based on biometric feature and password was proposed.The protocol took advantages of the user’s biological information and password to achieve the secure communication without bringing the smart card.The biometric feature was not stored in the server by using the fuzzy extractor technique,so the sensitive information of the user cannot be leaked when the server was corrupted.The authentication messages of the user were protected by the server’s public key,so the protocol can resist the off-line dictionary attack which often appears in the authentication protocols based on password.The security of the proposed protocol was given in the random oracle model provided the elliptic computational Diffie-Hellman assumption holds.The performance analysis shows the proposed protocol has better security.     

新型组织隐藏的认证密钥交换协议

提出了一个实现组织集合交集认证策略的新型组织隐藏的密钥协商协议,2个匿名用户从属的组织集合存在交集且元素个数至少为一个门限值时可以完成一次成功的秘密认证和密钥协商,同时保证集合交集之外的组织信息机密性。新协议在随机预言机模型下可证安全,并且在计算和通信性能上仍具备一定的优势。     

无证书的层次认证密钥协商协议

提出了一种无证书的层次认证密钥协商协议,协议的安全性基于计算性Diffie-Hellman困难假设,并在eCK（extended Canetti–Krawczyk）模型下证明了该协议的安全性。该协议中,根PKG为多层的域PKG验证身份并生成部分私钥,域PKG为用户验证身份并生成部分私钥,私钥则由用户选定的秘密值和部分私钥共同生成。与已有协议相比,协议不含双线性映射配对运算,且具有较高的效率。     

A chaotic map‐based anonymous multi‐server authenticated key agreement protocol using smart card

Authenticated key agreement protocols play an important role for network‐connected servers to authenticate remote users in Internet environment. In recent years, several authenticated key agreement protocols for single‐server environment have been developed based on chaotic maps. In modern societies, people usually have to access multiple websites or enterprise servers to accomplish their daily personal matters or duties on work; therefore, how to increase user's convenience by offering multi‐server authentication protocol becomes a practical research topic. In this study, a novel chaotic map‐based anonymous multi‐server authenticated key agreement protocol using smart card is proposed. In this protocol, a legal user can access multiple servers using only a single secret key obtained from a trusted third party, known as the registration center. Security analysis shows this protocol is secure against well‐known attacks. In addition, protocol efficiency analysis is conducted by comparing the proposed protocol with two recently proposed schemes in terms of computational cost during one authentication session. We have shown that the proposed protocol is twice faster than the one proposed by Khan and He while preserving the same security properties as their protocol has. Copyright © 2014 John Wiley & Sons, Ltd.     

适用于Intranet的分层鉴别与密钥分配协议

根据ISO制定的网络安全结构,结合Internet的具体特点,提出了一种解决Internet安全性的安全模式,并设计了一个适用于Internet环境的鉴别与密钥分配协议。新协议采用分层机制,在低层利用Intranet的已有鉴别与密钥分配协议,在高层则采用双钥密码体制设计了一个跨Intranet的鉴别与密钥分配协议。该协议不必更换客户机原有的应用软件,只需增加一个网际鉴别服务器,在原鉴别服务器的数据库中增添网际鉴别服务器的密钥即可实现跨Intranet保密通信。新协议与已有协议有很好的兼容性,安全性高,有利于网络的安全管理,并可以在各种远程访问中建立Intranet间的端—端保密通信。     

一种新的三方认证密钥协商协议

目前大部分基于身份的三方认证密钥协商协议都存在安全缺陷,文中在Xu等人提出的加密方案的基础上,设计了一种基于身份的三方认证密钥协商协议.该协议的安全性建立在BDDH假设基础上,经安全性分析,协议具有已知密钥安全,PKG前向安全,并能抵抗未知密钥共享攻击和密钥泄露伪装攻击,因此该协议是一个安全的三方密钥协商协议.     

Internet网络环境中认证与密钥分配的研究

本文根据ＩＳＯ制定的ＯＳＩ安全结构，提出了一种解决ｉｎｔｒａｎｅｔ安全性问题的全面安全模式，并设计了一个适用于Ｉｎｔｅｒｎｅｔ环境的认证与密钥分配协议；新协议采用分层机制，在低层利用ｉｎｔｒａｎｅｔ本地网的已有认证与密钥分配协议，在高层则采用双钥密码体制来设计跨ｉｎｔｒａｎｅｔ的认证与密钥分配协议。新协议与已有密码协议有很好的兼容性，且不降低原协议的安全性，并为ｉｎ－ｔｒａｎｅｔ的各种远程访问提供安全保护，有利于网络的安全管理     

Efficient revocable certificateless remote anonymous authentication protocol for wireless body area network

To ensure the security and privacy of patients’ health data in wireless body area network (WBAN),communication parties must be mutual authenticated.Now some bilinear pairings led to a larger computation cost for users and tree structure revocation would lead to larger user storage cost.In order to achieve revocation and reduce the cost of the user side,a novel revocable certificate less remote anonymous authentication protocol for WBAN was proposed by using elliptic curve cryptography and revoke algorithm that could revoke users by updating their time-private-keys.Security requirements including anonymity,mutual authentication and session key establishment were satisfied in proposed scheme.Compared with the existing schemes,the experimental analysis shows that the computation cost and storage cost of the authentication protocol are greatly reduced,which is more suitable for resource-constrained WBAN.Security analysis also shows that the protocol is secure in the random oracle model.     

量子消息认证协议

研究了在量子信道上实现经典消息和量子消息认证的方法。给出了一个基于量子单向函数的非交互式经典消息认证加密协议。证明了给出的协议既是一个安全的加密方案,也是一个安全的认证方案。利用该认证加密协议作为子协议,构造了一个量子消息认证方案,并证明了其安全性。与BARNUM等给出的认证方案相比,该方案缩减了通信双方共享密钥的数量。