格上基于智能卡的安全口令认证方案

基于智能卡的认证方案是一种高效且常用的认证机制,但安全性基于数论难题构建的相关认证方案存在不能抵抗量子攻击、恶意读卡器攻击等问题.提出一种新的格上基于智能卡的口令认证方案,该方案利用格密码中近似平滑投射哈希函数和可拆分公钥密码体制,通过用户口令和智能卡完成与服务器的身份认证和会话密钥协商.该方案在随机预言模型下满足理论可证明安全,在抵抗量子攻击、恶意读卡器攻击和其他类型攻击方面有较高的可靠度.仿真实验表明,所提方案执行效率高,满足实际应用需求.     

基于Chebyshev的概率公钥密码体制

介绍了Chebyshev多项式的定义和相关性质, 针对确定性Chebyshev多项式公钥密码体制进行了研究, 发现其不能抵抗选择密文攻击。结合抵抗选择密文攻击的安全模型, 提出了基于有限域的Chebyshev多项式的概率公钥密码体制, 分析结果表明该密码体制是正确的。通过归约证明, 该密码体制能够抵挡适应性选择密文攻击, 具有抵抗选择密文攻击的IND-CCA2安全性。     

基于公钥密码体制的802.1x双向认证研究

针对申请者和认证者间认证的不平等以及控制帧和管理帧的明文传输问题,通过分析802.1x/EAP认证过程,提出一种基于公钥密码体制的802.1x双向认证改进方案。该方案利用引入的公钥密码体制的认证性实现申请者与认证服务器的双向认证,同时利用对称密钥实现申请者、认证者和认证服务器三者之间的两两双向认证并对控制帧和管理帧中的敏感域加密。该方案能够保护认证进程的机密性,对AP身份进行认证,有效阻止了中间人攻击和拒绝服务攻击。通过仿真实验证明,该方案比原协议认证成功率平均高约13.1%,接入的STA数量有显著增加,约增加STA总数的26%,在攻击次数达到50次以上时,接入STA数量下降速率平稳缓慢。     

基于相互认证和3DES加密的智能卡远程支付系统认证方案

针对现有基于智能卡支付系统的安全方案存在密码暴露、信息泄露和身份认证等问题,提出一种新的基于相互认证和3DES加密的智能卡远程支付系统认证方案。分析基于二次剩余的支付认证方案的不足,在注册、登录、身份认证和密码更改阶段对其进行改进,避免密码暴露攻击,提高密码更改阶段的安全性,同时结合3DES加密算法对支付信息进行加密处理。性能分析表明,该方案能有效抵御多种攻击,且用户能够自由地修改密码,同时可对用户信息进行匿名保护。与现有智能卡支付认证方案相比,该方案提高了支付系统的安全性能且具有较小的计算复杂度。     

基于椭圆曲线密码体制的可认证的密钥交换协议

椭圆曲线密码体制逐渐应用于各种安全协议中.分析了DH密钥交换协议不能抵抗中间人攻击得弱点,基于椭圆曲线离散对数难解性,利用椭圆曲线密码体制的数字签名方案,提出了基于身份认证的密钥交换协议.安全性分析表明,该协议提供身份认证、密钥认证性、密钥的可知安全性、前向保密性,并有效能够防止中间人攻击和重放攻击.把椭圆曲线密码应用于密钥交换协议的认证过程,能有效提高密钥交换协议的安全性和实用性.     

云环境下基于签密的异构跨域身份认证方案

针对现有交互频繁的密码体制之间不能实现不同密码体制安全高效的跨域认证（公共密钥基础设施（PKI）↔无证书公钥密码体制（CLC））的问题,提出了一种云环境下基于签密的异构跨域身份认证的方法。该方法重新构建了异构系统跨域身份认证模型,设计了用户（U）与云服务提供商（CSP）两个不同的密码体制PKI↔CLC,去除所属域管理中心的跨域认证计算,引入了第三方云间认证中心（CA）来完成U和CSP的交互信息认证,采用签密算法对不同安全域内的U签密,完成了异构系统的双向实体跨域身份认证并降低了U的计算开销。实验结果表明,与匿名认证、代理重签名方法相比,所提跨域认证的效率分别提高了53.5%和23.2%。该方法实现了不同密码体制U身份的合法性、真实性、安全性,具有抵抗重放攻击、替换攻击和中间人攻击的功能。     

一种混合多变量公钥签名方案

多变量公钥密码体制能抵抗量子计算机的攻击,是后量子时代一种安全的密码体制备选方案.考虑到Square体制可有效抵抗线性化攻击,不能抵抗差分攻击,三角型密码系统能抵抗差分攻击,但受到线性化方程攻击和最小秩攻击的情况,结合Square体制和三角型密码系统,采用新的混合签名结构框架重构中心映射,提出一种混合多变量公钥签名方案.分析结果表明,混合签名方案克服了Square体制和三角型密码系统的缺陷,能够抵抗线性攻击(包含一般线性化方程攻击和高阶线性化方程攻击)、差分攻击、最小秩攻击和代数攻击,具备较高的安全性.     

基于口令的客户端/服务器认证协议

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全：无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。     

一种抗量子攻击的RFID安全认证协议研究北大核心CSCD

针对量子计算机对现有RFID系统的公钥密码体制(RSA、ECC)的安全性带来了巨大冲击,提出了一种基于NTRU密码体制的RFID相互认证协议,NTRU密码体制能够抵抗量子攻击且加解密速度快、密钥短、安全性高。将NTUR密码体制和具有不可预测性的真随机数发生器相结合,保证每次传输的数据都具有不可预测性,能够有效抵抗跟踪攻击、假冒攻击、重放攻击等安全隐私问题,并且实现了三方相互认证。通过GNY逻辑对协议安全性进行了形式化证明,证明了协议的可行性,最后与其他相关协议对比分析,表明所提出协议的安全性和计算效率更高。     

一个无证书代理签名方案的安全性分析

无证书公钥密码体制消除了公钥基础设施中的证书,同时解决了基于身份的公钥密码体制中的密钥托管问题.最近,樊睿等人在一个无证书签名方案的基础上提出了一个无证书代理签名方案,并声称该方案满足无证书代理签名方案的所有安全性质.可是,通过对该无证书代理签名方案进行分析,证明了该方案对于无证书密码体制中两种类型的攻击即公钥替换攻击和恶意KGC(Key Generating Centre)攻击都是不安全的.给出了攻击方法,分析了其中的原因并提出了相应的防止措施.     

安全消息中间件的设计

为提高消息中间件的安全性,分析了消息中间件的特点和Kerberos协议的认证过程,考虑到Kerberos认证模型的安全缺陷,采用公钥密码体制和椭圆曲线的Diffie-Hellman算法改进Kerberos认证模型。该模型引入了可信的第三方CA,有效地防止了口令猜测攻击和重放攻击。采用椭圆曲线的Diffie-Hellman算法,密钥由通信双方共同决定,防止了Kerberos本身进行攻击。将改进后的Kerberos认证模型运用到消息中间件当中,在一定程度上增强了消息中间件的安全性。     

对称密钥结合椭圆曲线加密的网络认证和密码更新方案

针对不稳定网络环境下的远程登录管理不能有效进行安全密码认证和密码更新的问题,提出一种对称密钥结合椭圆曲线加密(Elliptic curve cryptography, ECC)的网络认证和密码更新方案。主要贡献在于弥补现有方案的一些漏洞,并给出改进方案。新方案包含四个阶段：注册阶段、口令认证阶段、密码更新阶段和会话密钥分发阶段,提供对密码猜测攻击、服务器欺骗攻击、数据窃听、重放攻击的防御。此外,提出的方案可产生一个通用对称密钥,相比公钥加密技术,所需处理时间更少。实验结果显示,本文方案的虚拟计算时间仅为2.00035秒,只在17哈希、8 异或和4点运算方面需要计算开销。     

适合移动Ad hoc网络基于群签名认证的弹性组密钥管理方案*

针对移动Ad hoc网络中的安全组通信系统,提出了一个基于群签名认证的分布式组密钥管理方案。该方案利用门限密码技术并借鉴了PKI证书管理的第三方签名认证思想,在提高认证可信度的同时,极大地减少了密钥协商过程中所需的认证开销。分析表明,该方案具有良好的容错性;达到了第3级信任;能够抵抗网络中典型的主动和被动攻击;具备完美的前向和后向保密性;极大地降低了计算和通信开销。     

具有向前保密性电子邮件协议改进算法的研究

在互联网技术不断发展的今天,电子邮件由于使用便捷的特点已被人们广泛使用,其安全性显得尤为重要。针对Kim、Koo、Lee所提出的向前保密性电子邮件的安全缺陷,对伪装攻击进行了分析研究,并针对此类攻击引入了带有公钥认证和数字签名技术的相互认证的机制,对电子邮件协议进行了改进,使其获得更高的安全性,并且保持了其运算的高效和完善的向前保密性的特点。     

无双线性对双向认证密钥协商协议

为提高公钥密码体制下身份认证协议的性能,将杂凑函数结合到认证过程中,提出一种高性能的交互认证密钥协商协议.协议设计认证双方通过两次信息交换即可实现双向认证,显著降低通信代价.协议的运算复杂度与传统公钥密码体制下身份认证协议相当.通过针对已知攻击形式化推演的方法和数学推导证明了协议能抵御拒绝服务攻击、内部攻击在内的各种已知攻击.协议还设计了登录认证成功后的一次性对称会话密钥协商机制.     

基于数字签名的轻量级RFID认证协议

RFID系统的安全和隐私问题已成为阻碍其进一步扩展的瓶颈。针对低代价标签提出了一种基于签名方案的轻量级RFID认证协议,它利用数字签名技术和RFID认证技术的恰当结合,成功实现了RFID系统的轻量级认证机制。性能评估表明新协议除了具有主要的安全隐私性能属性之外,还能够抵抗多种典型的恶意攻击和威胁,其安全性依赖于在有限域上求解离散对数问题的困难性和伪随机数生成器的安全性。新协议将公钥密码技术中代价较高的运算置于服务器端,确保了标签端运算的轻量性,促进了公钥密码技术在RFID系统中的进一步实施。     

改进的一次性口令认证方案

对张宏,陈志刚提出的一种新型的一次性口令认证方案（计算机工程,2003年第17期）进行分析,指出其存在重要数据存储、无法抵抗拒绝服务攻击等不安全隐患,结合一次性口令的简易性、密码学技术和USB Key介质对该方案进行改进,提出一种更加安全的认证方案,并对其进行安全性分析。结果表明,该方案具有操作简易性、保密性和存储安全性,且系统开销较小。     

基于RLWE的生物特征认证密钥交换协议

在后量子密码学中,针对密钥交换协议存在口令容易丢失以及难以实现相互认证的安全缺陷,提出了一个新的基于环上误差学习的生物特征认证密钥交换协议。该协议根据环上误差学习问题构造的密码体制具有密钥及密文尺寸短、运行效率高等优势,并采用生物特征和口令作为长期密钥,同时通过Peikert式错误协调机制从各自的环元素中协调出随机均匀的会话密钥,实现了服务器对客户的显式认证。性能分析结果表明,该方案可抵抗用户假冒攻击,安全属性更高,提高了通信效率。     

一种基于双线性映射密码体制的双向身份认证方案

本文设计了一种基于双线性映射密码技术并利用USB Key完成的双向身份认证方案.为增强认证系统的安全性,采用双私钥方法将注册和认证服务分开实现.方案集成了双线性映射密码技术和基于安全芯片的USB Key技术的优点,能很好地抵御重放攻击、冒充攻击、中间人攻击和内部攻击.     

基于自证明公钥认证的数字签名方案

在常规的数字签名方案中,密钥的管理是由一个权威认证机构负责,系统的正常运行以该机构的诚实、可靠为前提,从而系统极易遭受主动攻击和假冒攻击。为此,我们提出了基于自证明认证的数字签名方案、有效地抵制了这一安全漏洞,提高了系统处理效率。