基于令牌的单点登录协议及其形式化分析

提出一种新的适用于分布式网络的单点登录协议，利用令牌将身份认证和服务授权结合起来由一个验证服务器实现，授权校验的同时进行密钥分配，实现了用户和应用服务器的双向认证，令牌使用户只需在登录网络时进行一次身份认证即可接入各应用服务器。从而提高了网络认证效率，同时使验证服务器不需要保存用户的状态，有效提高验证服务器的性能，采用BAN逻辑对该协议进行形式化分析表明，协议达到了认证和密钥分配的目标，具有较强的安全性。     

基于ECC的SIP身份认证密钥协商协议

为在SIP认证协议中实现用户匿名性并提高协议的安全性能，将挑战/应答机制、椭圆曲线密码技术和口令认证相结合，提出一种新的匿名SIP认证协议。协议仅使用少量的椭圆曲线点乘运算，既保障认证的安全性又有效降低了整体运算量。协议在认证过程中引入高熵随机数，认证双方使用挑战/应答机制的三次握手实现双向认证，同时协商生成后续会话所需密钥。通过对协议的BAN逻辑分析和多种已知攻击的非形式化分析，证明该协议具有较高的安全性能。经与相关协议的效率比较，协议认证过程所需的运算量更小。     

基于授权令牌的宏电路网络接入认证方案

针对宏电路网络的安全威胁主要来自于外部网络及数据接入的问题,提出一种适用于宏电路网络的接入认证方案。该方案将密钥协商协议和身份批签名验证算法相结合,提出一种可用于对同类数据流的签名进行批量验证的方法;采用密钥协商协议避免了口令攻击、假冒攻击等威胁,在密钥协商协议中采用无证书隐式认证方式解决了传统证书认证中密钥托管和认证过程中隐私信息暴露等问题;采用批量签名验证算法解决了逐个签名验证的计算开销大和验证效率低的问题。仿真实验结果表明,提出的方案在单签名者的批量签名验证中具有较显著的验证效率。     

一种新的Mesh网络漫游接入协议

针对无线Mesh网络现有接入认证协议不能满足节点漫游对性能和身份保护需求的问题,基于"通用可组合"安全模型的组合特性与匿名技术,采用将身份与归属域分开处理的方式,设计了一种满足漫游特殊要求———身份保护和认证时延的接入认证协议,该协议不仅具有可证明的安全性和必需的安全性质,而且通信效率优于原有协议。     

通用可组合安全的Mesh网络认证协议

无线Mesh网络的现有认证协议不支持双向802.1X的认证端口开放．基于密钥交换协议交换,利用“通用可组合”安全模型的组合特性与信任传递技术,在应答消息中安全结合反向认证信息,实现了满足Mesh网络双向认证需求的认证协议,不仅具有可证明的安全性,且通信开销较原协议降低60％以上．     

基于Kerberos的无线Mesh网络身份认证机制

提出一种基于Kerberos的无线Mesh网络身份认证机制,该机制采用了上层认证和底层加密相结合的结构,可以很好地实现对Mesh节点的接入授权管理和密钥传输管理,快速地完成Mesh节点间的安全关联,从而增加了网络的安全性.     

一种新的Mesh网络漫游接入协议

针对无线Mesh网络现有接入认证协议不能满足节点漫游对性能和身份保护需求的问题,基于“通用可组合”安全模型的组合特性与匿名技术,采用将身份与归属域分开处理的方式,设计了一种满足漫游特殊要求——身份保护和认证时延的接入认证协议,该协议不仅具有可证明的安全性和必需的安全性质,而且通信效率优于原有协议。     

安全高效的三因素远程身份认证协议

为有效提高远程身份认证协议的安全性能,将椭圆曲线、挑战/应答机制、生物特征、智能卡和口令认证技术相结合,提出了一种安全高效的三因素身份认证协议。协议采用椭圆曲线的点乘运算,既提升了安全性又降低了运算复杂度。认证双方使用挑战/应答机制的3次握手来实现双向认证,协议的认证过程引入随机数,并完成会话密钥协商。协议的安全性能基于Hash函数的单向性、椭圆曲线的离散对数难题和生物特征的安全特性。通过对多种已知攻击的形式化推演,证明该协议能抵御各种常见攻击,具有较高的安全性能。经仿真实验证明,协议具有更高的运算效率。     

一个新的RDP密码套件

针对远程桌面协议,提出1个新的基于口令的增强认证性的密码套件. 该密码套件利用远程桌面协议原有的口令,设计了一个增强认证的密钥协商协议,且不改变密钥计算过程. 在随机预言机模型下,给出安全性证明. 采用这个密码套件的远程桌面协议握手过程能够避免中间人攻击. 这也是有关通过新的可证明安全的密码套件提高远程桌面协议安全性的首次尝试.     

安全的认证密钥分配协议设计

分析了密码技术中的两个基本特性：保密性和认证性,提出了设计安全认证密钥分配协议的基本准则．按照该准则对Ｎｅｅｄｈａｍ－Ｓｃｈｒｏｄｅｒ认证协议进行了分析,发现了该协议的漏洞,又根据这些安全准则设计了一类新的身份认证与密钥分配协议．分析结果表明：按这些安全准则设计的身份认证与密钥分配协议不仅安全性高,而且冗余少,效率高．     

802.1x系统中客户端软件版本检测方法分析

在对以太网接入控制中的802.1x技术(特别是华为802.1x技术)进行分析的基础上,针对接入用户使用兼容客户端,去除了标准客户端软件中扩展特性的问题,通过分析标准客户端数据帧,使用WinCap开发兼容类客户端,确认了兼容客户端产生的根源,提出了基于Challenge认证的客户端软件版本检测方法,在每次客户端向设备端请求认证时,通过发送以随机数产生的不同的版本检测帧,切断/非法客户软件重放攻击方式的兼容性实现途径,确认客户端软件的合法性.     

基于802.1x的无线安全网关用户访问控制的探讨

本文以无线安全网关为基础,分析了当前无线局域网所面临的用户访问控制问题.根据网络端口访问控制标准IEEE802.1x的用户认证协议,提出了无线用户访问控制方案.该方案采用双向认证协议EAP-TLS,设计了用户与网络之间的双向认证.最后,本文分析了在有效结合RADIUS认证服务器时,无线安全网关上的用户访问的端口控制.     

Cross-domain authentication and the key agreement protocol in VANETs

Aiming at the problem that vehicle-to-vehicle (V-2-V) authentication and key agreement of cross-domain in VANETs (vehicular ad hoc networks) can be accomplished by the participation of servers,a cross-domain V-2-V password-based authentication and key agreement protocol without server participation is proposed.The protocol uses the method of distributing authentication credentials to achieve cross-authentication,and enhances the security of passwords by combining smart cards with passwords.The security of the protocol is proved under the hard problem of ECCDH (Elliptic Curve Computational Diffie-Hellman).Compared with the existing cross-domain authentication and key agreement protocol that requires server participation,the proposed protocol does not involve server participation,thus avoiding the communication delay caused by the server’s inability to process a large number of authentication requests.     

WLAN-UMTS垂直切换认证机制改进

通用移动通信系统(UMTS)与IEEE802.11的无线局域网(WLAN)的互联互通为实现安全快速的垂直切换技术带来新的挑战。一方面垂直切换操作不能降低网络的安全性,另一方面,垂直切换的时延必须尽可能小,以保证网络服务质量。在对WLAN-UMTS垂直切换认证协议分析的基础上,提出一组改进的认证和重认证机制,该机制通过增改认证参数和信令交互方式,减少了信令流量,降低了WLAN到UMTS垂直切换的认证时延,提高了认证安全性。     

802.11i RSN漫游认证协议的分析与设计

根据802．11无线局域网(WLAN)的漫游需求，基于DH交换提出了一种新的漫游认证协议．该协议能够对客户身份进行有效保护，具有在漫游时认证过程对客户透明的特性，减少了认证消息的交互次数，并且具有可证明的安全性和必需的安全性质．协议有效地实现了漫游对协议性能和安全性的要求．     

一种高效的3G-WLAN互联网络认证协议

提出了基于无线局域网和3G互联网络的接入认证协议．该协议对无线局域网访问网络的身份进行验证,抵御了恶意访问点的重定向攻击行为,采用对3G移动用户的局部化认证机制和基于快速签名的离线计费方法,有效地提高了重认证过程的效率．仿真结果表明,该协议的平均消息传输延时相对于扩展认证密钥协商协议缩短了大约45％,利用该协议3G移动用户可以在无线局域网网络中平滑地漫游和切换．     

一种对AP提供认证的WLAN认证协议及其安全性分析

由于WLAN数据传输方式的特殊性,认证协议对WLAN的安全性十分重要。文章提出了一种基于对称密钥机制实现双向认证和密钥分配的WLAN认证协议,可提供MN和AP间的双向认证,并且应用BAN逻辑对其安全性进行了分析,证明该协议是安全的。     

军网身份鉴别协议设计与分析

为了适应军网上应用系统高安全性和高效率的身份鉴别要求,考虑军网身份鉴别的作用对象主要为基于用户/服务器方式的访问服务,在分析了Kerberos鉴别协议和KryptoKnight身份鉴别协议特点的基础上,设计了一种新型的基于对称密钥加密体制军网身份鉴别协议。该协议对用户透明,简化了协议交换鉴别信息的步骤,大大提高了鉴别效率。经安全分析,协议能防止窃听攻击、重放攻击和假冒攻击等常见的各种攻击行为可能造成的安全威胁。该身份鉴别协议已经应用于军网分布式身份鉴别系统中。     

基于RADIUS/EAP的WLAN认证及其安全性分析

介绍了基于RADIUS/EAP协议的IEEE 802.1x无线局域网的接入认证过程与结构,针对无线局域网访问控制具有的三方协作过程特点,分析了无线局域网的安全机制,指出了或者由于协议自身缺陷或者由于不恰当的系统实现或者由于协议恶化,均可以导致有无线局域网的6个方面的安全漏洞,指出了需充分利用RADIUS/EAP分组结构的数据段提供加密认证并且还需设计双门接入的认证机制。最后比较了常见的四种安全接入方案,指出了在不同程度和范围内具有一定的抵御各种攻击的能力。