改进的移动计算平台直接匿名证明方案

分析了Ge等人提出的直接匿名证明方案的安全缺陷,指出该方案的认证协议在用于远程证明时不能抵抗重放攻击和平台伪装攻击。提出一种改进的直接匿名证明的认证协议,引入会话密钥协商机制,增强互认证功能。分析表明,改进方案在正确进行直接匿名证明的前提下,满足不可伪造性和匿名性,能够抵抗重放攻击和平台伪装攻击,协议性能满足移动计算平台的可信验证需求。     

基于公钥的可证明安全的异构无线网络认证方案

该文针对3G-WLAN异构网络的接入安全,对异构网络的实体进行抽象,建立了一种通用的认证模型。在该模型的基础上,利用Canetti-Krawczyk (CK)模型设计了一种新的接入认证与密钥协商方案。该方案利用公钥基础设施分配公钥,简化接入端服务器和归属端服务器间的认证过程和认证信息;利用椭圆曲线密码机制,减少了移动终端的认证计算量;最后利用CK模型对提出的协议进行了形式化分析和证明。分析表明该方案是安全有效的。     

基于Edwards曲线的移动RFID安全认证协议

针对传统的RFID认证协议通常难以适应移动RFID系统的问题,提出了基于Edwards曲线的适用于移动RFID系统的安全认证协议,协议采用Edwards曲线提高了其防侧信道攻击的能力,并应用椭圆曲线离散对数问题实现安全认证。进一步采用可证明安全方法给出了标签和阅读器不可跟踪隐私的安全性证明,通过安全性分析指出协议能更有效抵抗已有各种攻击。与现有的结构类似RFID认证协议相比,该协议扩展性更好,安全性和性能优于其他方案。     

物联网终端安全接入方法研究与设计

在分析和扩展802.1X协议的基础上,提出了一种物联网终端安全接入的方案。该方案由3部分组成:认证客户端、支持802.1X协议的交换机和Radius认证服务器,分别阐述后给出了方案的工作流程。测试结果表明,该方案满足物联网终端安全接入的基本功能需求。     

数字移动通信系统中的用户认证方案

分析泛欧移动通信网(GSM)的用户认证方案的不安全因素;指出数字移动通信网的安全策略;提出两种适合移动通信的有效的认证协议。这类协议减轻或消除了在无线链路上收集信息的外部攻击者、或能在一定程度上接入系统秘密信息的内部攻击者的安全威胁,并且两者提供了信息保密、主叫身份保密、欺诈控制等安全服务。     

适用于车载边缘计算网络的高效匿名认证协议

为了解决车载边缘计算网络中无线网络传输特性导致的窃听、重放、拦截、篡改等安全威胁,考虑到车载终端资源有限的特点,提出了一种轻量级匿名高效身份认证协议。基于切比雪夫混沌映射算法,避免了多数方案所采用的指数、双线性映射等复杂算法,有效降低了身份认证与密钥协商过程中的计算复杂度。此外,在实现接入认证及切换认证的同时,能够实现终端匿名性及可追溯、可撤销等安全功能。通过Scyther工具验证结果表明该协议能够满足认证过程中的安全需求并且能够抵抗多种协议攻击。相比已有方案,所提接入认证方案总计算开销最低可节省67%,带宽开销最低可节省11%。此外,相比于接入认证方案,所提域内切换认证方案总计算开销可节省99.8%,带宽开销可节省52%;域间切换认证方案总计算开销可节省80%,带宽开销可节省37%。性能分析结果表明该协议具备更良好的计算和通信性能,因此可以解决车载边缘计算网络中的终端高效安全接入及切换问题。     

面向第三方支付平台的移动安全交易协议研究

为提升移动支付交易安全性和质量,该文致力于设计一种能够在移动终端上搭载的面向第三方支付平台的安全交易协议模型STPT。该协议保留了SET协议及MSET协议双重签名的特性,用对称算法替换了大部分非对称算法环节,显著提升了计算效率,降低了计算量和计算时间,使其能够在移动终端上实现搭载。通过改造MSET协议的初始化流程,显著强化了协议整体的安全性并使其具有明显的不可否认性特征。基于对SET协议和MSET协议的分析,提出STPT模型,并对其可认证性、保密性、完整性、不可否认性、原子性进行分析,证明其能够提供较为全面的安全性服务。并运用Kailar逻辑证明其能够达到预定的安全目标。     

一种基于移动公网的安全专网认证与密钥协商方案

针对移动公网保障端到端安全的不足,提出了一种基于改进的Diffie-Hellman密钥交换协议机制的安全专网认证和密钥协商设计方案。该方案可以在终端接入移动公网的基础上,实现通信双方端到端的相互认证,同时协商出独立于网络的密钥。性能分析表明,该方案结构简单,安全高效,符合移动通信系统的要求。     

一种泛在网络的安全认证协议

泛在网络是标准的异质异构网络,保证用户在网络间的切换安全是当前泛在网的一个研究热点。该文对适用于异构网络间切换的认证协议EAP-AKA进行分析,指出该协议有着高认证时延,且面临着用户身份泄露、中间人攻击、DoS攻击等安全威胁,此外接入网络接入点的有效性在EAP-AKA协议中也没有得到验证,使得用户终端即使经过了复杂的认证过程也不能避免多种攻击。针对以上安全漏洞,该文提出一种改进的安全认证协议,将传统EAP-AKA的适用性从3G系统扩展到泛在网络中。新协议对传播时延和效率进行完善,为用户和接入点的身份信息提供有效性保护,避免主会话密钥泄露,采用椭圆曲线Diffie Hellman算法生成对称密钥,在每次认证会话时生成随机的共享密钥,并实现用户终端与家乡域网络的相互认证。通过开展实验,对协议进行比较分析,验证了新协议的有效性及高效率。     

一种代理移动IPv6认证协议

代理移动IPv6为移动节点提供了基于网络的移动性管理方法,移动节点不参与管理移动性信令.为了在移动互联网络中应用代理移动IPv6协议,需要定义安全有效的认证协议.目前还没有见到关于代理移动IPv6认证协议方面的研究,本文提出了一种代理移动IPv6的认证协议,该认证协议可以提供接入认证功能,并可防止重放攻击和密钥暴露.为了分析该认证协议的性能,本文给出了认证费用和认证延迟分析的解析模型,分析了移动性和流量参数对认证费用和认证延迟的影响.研究结果表明提出的代理移动IPv6认证协议安全有效.     

改进的3G认证与密钥分配协议

本文详细分析了3G认证与密钥分配协议的过程以及协议的安全性，找出了协议中的安全缺陷，并给出了攻击者可能进行的攻击。针对协议的安全漏洞，提出了一种改进的认证与密钥分配方案，解决了对VLR的认证以及网络端信息传输的安全性。最后，对改进方案的安全性进行了分析。     

A new authenticated key agreement for session initiation protocol

The session initiation protocol (SIP) is an authentication protocol used in 3G mobile networks. In 2009, Tsai proposed an authenticated key agreement scheme as an enhancement to SIP. Yoon et al. later pointed out that the scheme of Tsai is vulnerable to off‐line password guessing attack, Denning–Sacco attack, and stolen‐verifier attack and does not support perfect forward secrecy (PFS). Yoon et al. further proposed a new scheme with PFS. In this paper, we show that the scheme of Yoon et al. is still vulnerable to stolen‐verifier attack and may also suffer from off‐line password guessing attack. We then propose several countermeasures for solving these problems. In addition, we propose a new security‐enhanced authentication scheme for SIP. Our scheme also maintains low computational complexity. Copyright © 2011 John Wiley & Sons, Ltd.     

一种适用于NFC移动设备的双向认证安全方案

近场无线通信(NFC)是一种已经被广泛应用的短距无线通信技术.其中最常见的是将NFC技术应用于移动支付和门禁访问控制等应用.从技术上讲,这些应用利用NFC模拟卡模式将NFC设备模拟成银行卡或门禁卡,然后等待外部阅读器验证.在这类应用场景下,选取合适的安全认证方案是非常重要的.首先,介绍了现有的NFC认证系统和安全方案并分析了系统安全需求和潜在的安全风险.然后,采用Hash、AES和口令Key动态更新机制,提出了一种适用于NFC移动设备的双向认证安全方案,并设计了自同步机制.最后,利用GNY逻辑以形式化证明的形式证明了方案的安全性,分析表明该方案能解决伪造、重放攻击、窃听、篡改、异步攻击等安全问题.     

移动漫游中强安全的两方匿名认证密钥协商方案

由于低功耗的移动设备计算和存储能力较低,设计一种高效且强安全的两方匿名漫游认证与密钥协商方案是一项挑战性的工作.现有方案不仅计算开销较高,而且不能抵抗临时秘密泄露攻击.针对这两点不足,提出一种新的两方匿名漫游认证与密钥协商方案.在新方案中,基于Schnorr签名机制,设计了一种高效的基于身份签密算法,利用签密的特性实现实体的相互认证和不可追踪;利用认证双方的公私钥直接构造了一个计算Diffie-Hellman（Computational Diffie-Hellman,CDH）问题实例,能抵抗临时秘密泄露攻击.新方案实现了可证明安全,在eCK（extended Canetti-Krawczyk）模型基础上,探讨两方漫游认证密钥协商方案安全证明过程中可能出现的情形,进行归纳和拓展,并给出新方案的安全性证明,其安全性被规约为多项式时间敌手求解椭圆曲线上的CDH问题.对比分析表明：新方案安全性更强,需要实现的算法库更少,计算和通信开销较低.新方案可应用于移动通信网络、物联网或泛在网络,为资源约束型移动终端提供漫游接入服务.     

基于指纹USBkey的Kerberos改进协议

Kerberos协议容易遭受口令攻击和重放攻击,且不能提供数字签名服务。针对这些问题,文中结合公钥密码体制、USB智能卡以及指纹识别技术对Kerberos协议加以改进,改进后的协议能够充分利用公钥密码体制的优点,极大降低密钥管理的风险和难度。此外,相比其他仅使用公钥密码体制的改进方案,本方案由于使用了指纹USBkey,实现了对系统使用者物理身份的认证,并节省了使用或建设认证机构CA的开销,使协议更适用于高安全应用场合。     

非接入层拒绝服务攻击分析与设计

随着移动通信网络的迅猛发展,其安全漏洞产生的影响更为广泛,使得安全性研究尤为重要.根据长期演进(Long Term Evolution,LTE)非接入层协议的漏洞,构建了针对网络端和终端的两种拒绝服务攻击模型,通过获取不同终端的国际移动用户标识并分别伪造鉴权拒绝消息和附着请求消息对目标发起不同危害程度的拒绝服务攻击.实...     

Prediction-based secured handover authentication for mobile cloud computing

Mobile cloud computing (MCC) is a new technology that brings cloud computing and mobile networks together. It enhances the quality of service delivered to mobile clients, network operators, and cloud providers. Security in MCC technology, particularly authentication during the handover process, is a big challenge. Current vertical handover authentication protocols encounter different problems such as undesirable delays in real-time applications, the man in the middle attack, and replay attack. In this paper, a new authentication protocol for heterogeneous IEEE 802.11/LTE-A mobile cloud networks are proposed. The proposed protocol is mainly based on the view of the 3GPP access network discovery and selection function, which uses the capacities given by the IEEE 802.11 and the 3GPP long term evolution-advanced (LTE-A) standards interconnection. A prediction scheme, with no additional load over the network, or the user is utilized to handle cloud computing issues arising during authentication in the handover process. The proposed handover authentication protocol outperformed existing protocols in terms of key confidentiality, powerful security, and efficiency which was used to reduce bandwidth consumption.

     

A provable and secure mobile user authentication scheme for mobile cloud computing services

The mobile cloud computing (MCC) has enriched the quality of services that the clients access from remote cloud‐based servers. The growth in the number of wireless users for MCC has further augmented the requirement for a robust and efficient authenticated key agreement mechanism. Formerly, the users would access cloud services from various cloud‐based service providers and authenticate one another only after communicating with the trusted third party (TTP). This requirement for the clients to access the TTP during each mutual authentication session, in earlier schemes, contributes to the redundant latency overheads for the protocol. Recently, Tsai et al have presented a bilinear pairing based multi‐server authentication (MSA) protocol, to bypass the TTP, at least during mutual authentication. The scheme construction works fine, as far as the elimination of TTP involvement for authentication has been concerned. However, Tsai et al scheme has been found vulnerable to server spoofing attack and desynchronization attack, and lacks smart card‐based user verification, which renders the protocol inapt for practical implementation in different access networks. Hence, we have proposed an improved model designed with bilinear pairing operations, countering the identified threats as posed to Tsai scheme. Additionally, the proposed scheme is backed up by performance evaluation and formal security analysis.     

改进的IMS认证与密钥分配方法

本文分析了IMS认证与密钥分配协议的过程,找出了认证协议中的安全缺陷,并给出了攻击者可能进行的攻击.针对协议的安全漏洞,提出一种改进的认证与密钥分配方案,防止了伪装用户的攻击,保证了网络端信息传输的安全性.     

基于身份的移动IP注册协议研究

针对移动IP注册协议中家乡和移动节点过多且复杂的计算问题,提出了一个新的基于身份的密钥分发方案,并在此基础上设计了一种高效的移动IP注册协议。该协议实现了移动IP各个节点间相互认证,其中移动节点与家乡代理之间具有双重认证的特点。双线性对和秘密随机数的选取保证了消息的安全性,消息认证码Mac和数字签名Sig保障了消息的完整性。该协议从整体上减少了计算量,降低了注册延迟率,同时也有效地保证了安全性。安全性分析表明,该方案满足移动IP的安全要求。