边缘计算中移动终端安全高效认证协议

针对移动终端计算能力较低和存储能力有限的问题,提出了适用于移动边缘计算环境的轻量级身份认证协议.该协议将密码学与物理层的安全保护技术相结合,利用对称密码体制降低移动终端在认证过程中的计算复杂度,以少量的计算量和较低的信息存储量完成移动终端与边缘服务器的相互认证与密钥协商,并且移动终端只需一次注册便可在移动边缘计算环境中随机漫游.安全性分析表明,该协议满足前向安全性、抗重放攻击性、抗中间人攻击性等安全特性.仿真结果表明,与其他认证方案相比,该方案在通信和计算成本方面有较好的性能优势.     

匿名鉴别的移动IP注册协议

为了解决移动IP注册过程中的用户匿名鉴别问题,提出了一个匿名鉴别的移动IP注册协议.移动用户采用Diffie-Hellman 密钥交换机制产生与家乡代理共享的动态会话密钥,并用它加密移动用户的真实身份,来构造注册请求消息中的临时身份标识符;家乡代理接收到临时身份标识符并进行解密得到移动用户的真实身份.由于每次注册请求消息中的临时身份标识符都不相同,从而实现了用户身份的匿名性和位置移动的不可跟踪性.该协议由公钥密码体制和共享密钥密码体制相结合来实现移动实体的鉴别.理论分析结果表明,该协议不仅实现了移动实体的鉴别,而且具有很强的匿名性;与彭华熹、冯登国提出的匿名无线认证协议比较,该协议减少了在移动用户端的运算负荷和时间.     

基于网络隐私保护的动态密码研究

目前,广泛的密码认证机制中主要流行的是静态密码或基于硬件的动态密码,单一的静态密码容易被破解,而基于硬件实现的动态密码,依赖外部设备且成本高。针对上述问题,提出了基于挑战/应答方式的动态密码身份认证机制。注册时,用户任选一个算法规则来取代以往的静态密码直接注册;登录时,用户利用记忆的算法规则和服务器所提供的验证码(随机数)进行运算,并将运算结果作为本次密码输入,实现动态、安全身份认证的目的。实验证明,该方法能有效防止暴力破解和嗅探等常见攻击,同时大大提升了便捷度,解决了由第三方在通信、携带、外部安全等方面所带来的不便,达到了防止用户隐私泄露的目的。     

集成AAA的移动IP注册方案

针对移动IP中的认证和注册给出了一种整合方案．该方案实现了认证和注册过程的一体化,并且实现了MH,FA和HA 3个实体间的密钥分配,并以非对称与对称密钥算法相结合的方式来确保数据的安全传输和认证．     

一种高效的AAA下无对的无证书移动IP注册协议

为了实现移动IP的商业部署,需要将认证、授权和计费(Authentication, Authorization, Accounting,AAA)引入移动IP注册过程．针对该注册过程安全与效率兼顾的问题,提出了AAA下基于无对的无证书移动IP注册协议．采用强安全高效的无对的无证书签名方案来实现外地AAA服务器与家乡AAA服务器之间的相互认证; 采用消息认证码来实现家乡AAA服务器对移动节点以及移动节点对家乡代理的认证．首次采用动态更新的临时身份来代替网络服务标识中的用户信息,实现了用户匿名性．分析结果表明,该协议达到了预期的安全目标．与Cao等人提出的协议相比,该协议具有更高的安全性,注册时延减少了约20％．     

IC卡及卡的安全技术

阐述了ＩＣ卡及其技术特点，对ＩＣ卡的安全技术进行了讨论，着重分析了传统密码体制和公开密钥密码体制下的认证过程     

移动IP认证协议

在对移动IP协议的基本工作原理以及移动口协议存在的安全威胁进行分析的基础上，给出了移动IP认证协议的安全目标，并提出了一个安全移动口注册协议，对协议的安全性进行了详细分析．     

基于SMS的移动环境中的高效服务访问认证协议

为了实现移动环境中各种应用服务的安全性,提出了一种移动环境中的分布式服务访问认证协议.该协议基于短消息服务的普遍性,使用短消息服务承载认证消息,实现了多用户和多服务间的双向实体认证,移动终端仅需向应用服务器发送1条短消息就能完成认证过程,通信开销少,用户操作简便,支持不同信任域间的跨域服务访问认证;采用混合密码体制,利用智能卡实现了用户安全管理,哈希链机制的使用减少了系统再认证的开销,认证中心只需参与首次认证和密钥协商过程,不会形成系统瓶颈;提供了用户匿名性、抗抵赖性等安全性措施.     

基于USBkey的虚拟实验平台动态身份认证方案设计及实现

本文提出了一种基于USBkey的动态身份认证方案,该方案利用公钥密码算法和USBKey的硬件保护特性,使密钥能够安全方便的分发和保存,避免了使用时间戳带来的重放攻击的潜在风险,并能抵抗假冒攻击和口令攻击。该动态身份认证方案很好地满足了虚拟实验平台身份认证系统的实际需求。     

移动通信中一种认证密钥协商协议的分析及改进

移动通信应用越来越广泛,其安全问题也不容忽视,可是,移动设备计算能力较低,难于进行大量的复杂密码运算,采用哈希函数代替数字签名进行身份认证,能有效地降低通信中移动端的计算量．在全面分析了可用于移动通信中的MAP协议基础上,提出一种新的可相互认证的密钥协商协议MAKAP,新协议在计算复杂度、实现成本和通信开销方面都具有一定的优势．采用形式化分析的SVO逻辑方法分析,新协议是安全的．     

cdma2000分组数据网的AAA机制研究

cdma2000分组数据网提供简单IP和移动IP两种接入方式，引入AAA(认证、授权、计费)机制实现对移动用户的接入控制，目前规范采用Radius协议实现AAA。研究两种接入方式下的AAA实现机制，借鉴移动IP的AAA信任模型分析分组网中各实体之间的信任关系，分析cdma2000的移动IP和传统移动IP的区别，指出移动环境下实施AAA的优缺点。     

移动IPv6协议安全机制优化

移动LPv6利用IPv6的一些新特点来支持移动IP,IPv6网络中引入移动IP协议给网络带来了安全隐患。分析了IPv6、移动IPv6的安全机制．针对移动IPv6面临的主要安全问题,优化了移动IPv6现有的安全机制。     

用Anycast提高Mobile IP的QoS

现在Mobile IP的用户迅速增长，现有的Mobile IP技术在移动主机(mobilehost)寻找外代理(foreignagent)，在外代理注册这个环节上的随机性，无法有效的在外代理中分摊移动主机的连接，无法保证提供最好的服务质量(QoS)。利用IPv6中定义的anycast通信模式和添加协议字段的方法，设计了一个新的协议完成移动主机寻找外代理(agent discovery)，注册外代理这个过程，可以有效地提高QoS。     

对SVO逻辑方法的改进

随着移动应用广泛普及,移动通信的安全要求就愈来愈高,而移动设备计算能力相对较低,如何降低移动端的计算量是移动通信的认证密钥协商协议需要解决的问题.为了降低通信中移动端的计算量,很多用于移动设备的身份认证协议采用哈希函数代替签名机制进行身份认证,而SVO逻辑缺乏对哈希函数用于身份认证的形式化描述.因此,扩展了SVO逻辑分析哈希函数的逻辑语法,增加了相应的推理公理,证明了推理公理的安全性.然后,讨论了SVO逻辑方法的分析目标,举例证明了其实体认证目标存在的漏洞,提出新的认证目标,同时分析了新目标的安全性.实验证明,对SVO逻辑方法的扩展与改进是实用和有效的,此工作对其他的安全协议形式化分析方法也具有借鉴意义.     

基于身份公钥的移动IP认证方案

利用基于身份的公钥系统,设计一个移动IP的认证方案. 该方案实现移动IP各实体间的相互认证和可确认的密钥协商,并向移动用户提供匿名服务,保证用户身份和位置信息的机密性. 通过对协议的安全性分析,表明该方案满足移动IP的安全需求.     

具有用户匿名性的移动IP注册协议

为了解决移动IP注册过程中的匿名认证问题,提出了一个具有用户匿名性的移动IP注册协议．移动用户通过对家乡代理的身份和新建立的Diffie-Hellman 密钥进行Hash运算,并把该Hash值与移动用户的真实身份进行异或,来构造注册请求消息中的临时身份标识符; 家乡代理把接收到的临时身份标识符和重新计算的Hash值进行异或可以得出移动用户的真实身份;每次注册请求消息中的临时身份标识符都不断变化,从而实现了用户身份的匿名性和位置移动的不可跟踪性．理论分析结果表明,该协议不仅实现了移动实体的认证,而且具有很强的匿名性;与彭华熹、冯登国提出的匿名无线认证协议比较,该协议减少了在移动用户端的运算负荷和时间．     

移动IP隧道技术在Linux内核中的设计与实现

移动IP技术是实现TCP/IP网络中主机和局域网络漫游通信的一种网络技术,其主要解决局域网络无法延伸的问题,可实现IP设备随时随地上网.本文给出无缝移动性在IP层的一个实现方案,能保证移动节点无论应用层、传输层采用何种上层协议都感觉不到移动的影响.在Linux操作系统下,利用开放的内核环境,给出了实现移动IP隧道技术的一种切实可行的方案,在IP层对数据包进行额外处理,使得数据包通过隧道进行传输,保证了数据包在移动节点和其他节点之间自由通信.直接将封装机制和解封装机制嵌入内核执行,提高了速度和安全性.