基于改进无证书公钥密码的轻量级DTLS协议设计

物联网在快速发展的同时,其数据交互容易遭受各种攻击.为了保证物联网传输层协议UDP传输数据的安全,在TLS协议架构基础上扩展形成了支持UDP数据报安全传输的DTLS（DatagramTLS）协议.现行的DTLS协议基于公钥证书密码体制,证书管理复杂、网络通信开销大,难以满足物联网等资源受限型网络的安全通信需求.本文提出一种基于离散对数的改进无证书公钥密码方案,设计了适应资源受限网络的轻量级DTLS协议,并基于嵌入式SSL库wolfSSL进行了协议实现.从通信开销和握手连接时间两方面,将本文提出的基于改进无证书公钥密码的DTLS协议分别与基于传统公钥证书的DTLS协议及基于身份标识的DTLS协议进行了对比实验.实验结果表明,在保证安全性的前提下,基于无证书的DTLS协议在通信开销和握手连接时间方面均优于基于公钥证书的DTLS协议和基于身份标识的DTLS协议.     

基于身份的网格安全体系结构研究

为了克服PKI证书机制对GSI规模化发展的制约, 本文在分析GSI中证书机制局限性的基础上, 将HIBC引入到GSI中, 使用HIBC签名方案代替GSI中的PKI数字证书签名并进行扩展, 提出一种基于身份的网格安全体系结构IBGSI（ID-based GSI）, 进而给出了结合HIBC方案改进TLS握手协议的方法, 并通过一组协议控制下的实体交互过程定义IBGSI的协议结构. 论文从分层身份结构、认证结构和协议结构三个方面对IBGSI进行了研究, 研究结果表明IBGSI体系结构融合了GSI与IBC的优势, 能够重用GSI的安全服务且便于部署, 并获得IBC轻量、高效的优点.     

一种分析和改进安全协议的新方法

分析安全协议的执行过程,给出驱动模块(Driving Module,DM)的定义,利用串空间模型构建常规DM和攻击DM,由此给出一种基于驱动模块的模型检验方法。理论分析显示,该方法搜索广度和深度完善,能避免状态空间爆炸问题,可用于获得有缺陷安全协议的攻击剧本,并证明无缺陷安全协议的安全性。用该方法分析OtwayRees协议和TLS协议,获得了Otway-Rees协议的攻击剧本,得出了Otway-Rees协议的两个安全改进版本,说明了TLS协议的安全性。     

电子商务安全协议的一种形式化分析方法

随着网络技术的飞速发展,电子商务已成为大众广泛接受的一种商贸模式,越来越多的密码技术被广泛应用到电子商务安全协议中,形式化方法是一种行之有效的电子商务安全协议分析方法.针对原始串空间模型无法对密码学中一些复杂的操作作出描述和分析,通过扩展串空间模型,并在此基础上又相应扩展了认证测试方法,包括输入测试、输出测试以及自发测试的扩展,提出了一种基于丰富密码学的认证测试方法的扩展;最后分析了电子商务安全协议中的TLS 1.0握手协议,验证了协议的认证属性.     

可证明安全的WLAN Mesh接入认证协议

针对目前WLAN Mesh安全解决方案中,一个新的Mesh设备在接入时要与其邻居及认证服务器之间进行两次802.1X认证和两次四步握手,大大增加了设备的接入时间和复杂性的问题,基于Diffie-Hellman密钥交换,采用签名认证方式,提出了一种新的接入认证协议。新的协议只需要四轮的协议交互便可以实现上述三者之间的相互认证和密钥确认,而不需要四步握手进行密钥确认。在DDH假定成立的前提下,新的协议在扩展模型中是可证明安全的,并且通信效率和计算效率都优于现有方案。     

改进安全套接层协议性能的安全系统设计

针对安全套阶层/传输层安全（SSL/TLS）协议在速度方面的性能缺陷，提出了一个改进型的SSL/TLS系统。在经典的安全套阶层连接模型的基础上，通过使用安全套阶层代理服务器和基于辅助客户road safety authority (RSA)算法的改进的SSL/TLS握手协议，就算法和整体系统模型这两方面进行了具体改进。实验结果表明，相对于经典的安全套阶层连接方法，本模型在保证安全套阶层连接安全性的基础上，一方面在处理速度上有较大提升外；另一方面随着RSA密钥长度的增加，系统的性能提升也越明显。     

基于串空间模型的SSL3.0协议认证性分析

形式化分析技术是揭示安全协议是否存在漏洞的重要途径，串空间模型是一种基于定理证明的、新兴的安全协议形式化模型。介绍了SSL3．0协议的握手过程和串空间模型的基本概念以及基于串空间模型的认证性测试方法，在此基础上建立了基于串空间的SSL协议握手过程的模型，并验证了SSL协议的认证性。     

MS-CHAP鉴别协议安全性分析

微软质询-握手鉴别协议（MS-CHAP）通常被嵌入到其他协议中,通过＂三次握手＂对参与通信的实体进行身份鉴别.利用一种基于攻击者协议验证方法对MS-CHAP协议的安全性进行了形式化分析,发现该协议存在使攻击者无需破解口令即可通过身份鉴别的安全漏洞,并给出了相应的攻击剧本.研究表明MS-CHAP协议存在致命安全缺陷,不能达到预期的安全目标.     

SSL/TLS的安全性分析与实现

首先介绍了保证SSL/TLS协议安全性的主要方面;分析了保护m aster_secret、服务器私钥、随机数生成和证书的认证应该注意的问题;提出了一个安全的SSL/TLS协议通信模型。     

电子商务安全性和性能权衡研究

为了减少复杂的安全技术对电子商务应用系统性能的影响，需要对当前电子商务应用中的安全技术例如网络层防火墙技术和服务层使用的TLS等安全协议进行分析，从而识别出对系统性能影响较大的瓶颈因素，在此基础上采用各种辅助技术来提高瓶颈部件的性能，减少它与其他部件之间的性能差异。对于网络层安全利用动态负载平衡技术与代理缓冲技术进行改进，对服务层安全利用密码加速器、快速处理器以及快速密码算法等加以改进。另外提出了结合防火墙技术和基于目录服务的单点认证技术的观点来减轻防火墙负担，从而解决网络瓶颈问题，提供更好的网络系统性能；对于服务层安全给出了对安全协议进行改进的基于分布式计算环境DCE入DES加密算法的认证模型，缩减了TLS等协议中基于公钥算法的时间，达到有效降低安全技术对系统性能影响的目的。     

面向无线射频识别技术的中量级加密通信协议

安全是无线射频识别技术系统的基础性问题之一。在分析已有方案的基础上,该文提出一个基于安全哈希算法的中量级通信加密协议,结合随机数,采用3次握手加密验证,其间更新密钥和随机数。从实验结果分析得到,该加密协议具有可行性、可靠性、内存占用资源少、信息隐私性和完整性等特点,大大提高无线射频识别系统的安全强度和搜索效率。     

解决Web数据通信安全的一种方法

解决Web数据通信安全的常用方法是采用SSL(secure socker layer)协议建立安全的Http连接，通过身份认证和数据加密来保证敏感数据的传输安全。但是，目前支持SSL协议的应用程序，如IE浏览器，它们采用的算法是不可替换的，因此无法满足关键领域和重要部门提出的更高级别的安全需要。代理技术为实现这一目标提供了良好的支持；介绍了安全代理技术的概念；分析比较了不同种类安全代理的优缺点；着重阐述了实现Windows平台下传输层安全代理的原理；提出了一种利用安全代理实现Web数据通信安全的解决方案。该方案支持应用透明和各种安全服务机制，易于将安全管理集中化，为Web数据的通信安全提供了更加灵活的方法。     

基于身份密码体制在WiMAX网络安全协议中的应用

针对802.16-2005修正案中安全认证方面的不足,通过引入基于身份(Identity-Based)的公钥密码体制,提出了一个基于身份802.16(W iMAX)网络安全认证结构。详细描述了从初步建立系统参数,动态的共享密钥的生成,到4-way握手的相互身份认证协议的过程以及weil paring的实现。通过比较,说明了该协议在安全性方面相对于目前的无线网络安全协议的优越性。     

无线Mesh网络中基于跨层信誉机制的安全路由协议简

Wireless mesh networks are faced with various security threats due to their special infrastructure and communication mode, where the internal attacks aiming at routing security and user privacy security are one of the most challenging issues. In this paper a novel cross layer reputation mechanism is first proposed to identify and isolate the internal malicious nodes. Then, a privacy-aware secure routing protocol CR-HWMP based on the proposed reputation mechanism is proposed. Performance analysis and simulation results show that CR-HWMP can effectively implement the privacy preserving and defend against the internal attacks such as black hole and gray hole, and improve the reliability, robustness and security of the wireless mesh networks efficiently.     

基于双向不可否认技术的安全电子邮件系统

为了提高电子邮件的安全性,针对PGP和S/MIME等安全电子邮件协议中加密算法安全强度不够和没有实现收方不可否认等不足,设计开发了基于双向不可否认技术的安全电子邮件系统。系统采用椭圆曲线加密算法(ECC)取代通用的RSA算法,重新设计了认证中心CA与用户的通信协议,完善了CA的认证和备份功能。通过用户与CA之间的多次验证,并在CA服务器上保留邮件收发双方的加密或解密等相关信息,实现了邮件收发双方的不可否认性。由于系统具有独立的认证中心CA和邮件客户端程序,因此能运用到所有基于POP3协议的邮件系统中。从系统的实际应用来看,该系统不仅具有很高的安全性能和很好的通用性,而且收发双方不可否认性的实现,又提高了电子邮件作为法律依据的可信度。     

一种Gen2v2标准下的高效隐私保护认证协议

EPC Class-1 Generation-2 Version-2（Gen2v2）标准不仅继承了原有标准的通信距离长和读取率高的优点,而且提出了一个全新的安全架构以提高系统的安全性。目前,Gen2v2标准安全架构下的安全认证协议设计已经成为该领域的研究热点之一。该文在分析现有符合Gen2v2标准的安全认证协议的基础上,提出了一种新的符合Gen2v2标准的高效隐私保护认证协议。该协议不仅具有数据机密性、标签匿名性和前向安全性,而且能够抵御假冒攻击、位置追踪攻击、嗅探攻击、重放攻击和去同步攻击。与现有协议相比,该协议具有较小的通信和时间开销,更加适合大规模的部署。     

一种基于麦克风和扬声器的轻量级认证协议

随着网络与通信技术的快速发展,移动终端的身份认证已经成为信息安全中不可或缺的一部分。该系统利用移动设备自带的音频收发硬件（扬声器/麦克风）获取音频物理指纹,实现基于音频物理指纹的设备认证。该系统提出的基于音频物理指纹的认证方法,具有良好的普适性、可靠性和稳定性,同时对硬件要求低,可广泛应用于各种设备认证如无线接入、近场通信等场景。针对上述协议,设计了可用于Android系统的应用软件。实验分析发现该协议具有较好的安全性、普适性和鲁棒性,认证的准确率达到99%以上。