基于身份与位置分离机制固定子网接入研究

身份与位置分离机制很好地解决了核心网的路由可扩展问题,成为当前互联网领域研究的热点之一.为了更好地改善互联网对移动性的支持能力,各种域内微移动协议也成为各大高校和通信业公司的重点研究方向之一.在分离与映射机制下,提出了虚拟树状子网网络结构,设计了接入子网的路由以及终端的接入过程,实现了微移动协议.接入子网的引入使得终端的移动不再是必须经过核心网的宏移动,有效地降低了终端移动切换过程中的时延和丢包率问题.     

基于强匿名多节点分布网络终端跨域认证研究

多节点分布网络中通常存在多种密码体系,导致异构网络跨域终端身份认证管理困难.为了提高终端跨域认证的安全和高效性,设计了一种强匿名终端跨域认证方案.方案为User与CS的双向认证方案,基于跨域认证模型,重点对认证过程进行了优化,将整个认证划分为CS对User的认证阶段、User对CS的认证阶段和会话密钥建立阶段.为提高认证过程的匿名追踪性,针对User设计了授权代理机制,同时代理通过随机数对信息采取盲签名.为降低认证过程中的计算复杂度,利用User与CS自身密钥共同确定会话密钥,并将密钥同时保存于User与CS上.为提高跨域认证的安全性,设计了一种基于共识的可信性计算方法,利用所在域内其它终端的投票,和当前终端的行为共同确定可信性,并引入事务系数防止网络新终端对可信性的干扰.安全性分析结果表明,所提方案能够有效对抗多种攻击,增强跨域认证的隐私性和匿名追踪性,提高信息和资源的安全可信;时间分析结果表明,所提方案能够降低认证过程中的通信和计算开销,有效提升跨域认证效率.     

基于本地安全关联的移动网络接入认证机制

为减少网络移动中身份认证对性能的影响,提出了一种基于本地安全关联的接入认证机制。该机制通过认证消息携带地址注册信息,整合认证和绑定更新过程,采用本地移动性管理策略,通过建立本地安全关联,实现了域内切换流程本地化,保护了地址注册信息,避免了隧道嵌套。性能分析表明,该机制在实现双向认证的同时能够抵抗重放等多种攻击,相比其他方案,该机制减小了计算开销,缩短了切换时延。     

面向移动终端的隐式身份认证机制综述

面向移动终端的隐式身份认证机制通过监测移动终端环境以及用户行为等信息对用户进行透明且持续地认证,能够增强现有身份认证机制的可用性与安全性。该文对隐式身份认证技术的研究现状进行介绍。介绍了基于本地与基于网络的隐式身份认证框架;归纳总结出五类数据采集方式;对基于机器学习等多种用户分类算法进行了介绍,分析比较了各算法的正确率;归纳出两类访问控制机制,并对隐式身份认证所面临的模拟行为攻击以及用户隐私泄漏安全问题进行了讨论。     

一种基于可信计算的VPN接入认证方案

平台安全性在远程访问企业资源显得越来越重要.目前VPN客户端认证在对终端用户身份和平台身份认证的同时,尚未很好地保证终端平台的安全性,使得终端平台成为入侵者获得非法访问权限的途径.通过采用智能卡和可信平台模块相结合的方案,提高了终端平台身份认证的安全性,确保网络接入和通信的安全可信.     

面向工业控制系统终端的轻量级组认证机制

针对当前国内工控系统中普遍缺乏认证能力的现状，本文结合无证书签名和传统信息安全中的群组认证提出了一种面向工控终端的轻量级组认证机制，针对传统信息安全中的身份认证技术进行改进，实现工控系统中多机协作场景下对多台PLC进行同时认证.基于本方案实现的可信PLC设备采用嵌入式处理器和安全处理单元的结构，在数据传输时采用PCIE协议传输，替代了传统的网络接口的数据传输，确保网络数据不会外泄，最大程度上保证了数据的安全性.验证表明，本文提出的轻量级组认证机制减少了认证过程的计算量和通信开销，能够解决控制系统中身份认证机制存在的终端计算能力有限等问题.     

异构网络中高效切换认证算法研究*

提出了一种异构网络高效切换认证算法,包括目标切换网络的软预测机制和基于上下文传递的融合认证机制。该算法在集中式认证机制的基础上进行改进,先通过层次邻居图法来快速确定目标切换网络,然后协商、传递会话密钥和信任材料等相关上下文信息,尽可能减少移动终端与家乡网络的认证交互,提高了切换重认证的效率。     

MIPv6快速层次化切换的高效认证机制研究

针对移动IPv6（MIPv6）层次化切换中各节点之间的身份认证问题,提出一种新的基于MIPv6快速层次化切换的认证机制。利用改进的IBS签名方案和层次化的网络结构,从域间切换和域内切换两个角度分别论述了移动节点和新访问域之间的双向认证和切换性能的问题。分析结果表明基于MIPv6快速层次化切换的认证机制效率高,安全性好,仅需来回一次消息交互就能实现切换与接入认证和绑定更新的同步。     

支持批量认证和隐私保护的无线Mesh网络切换认证方案

为了在任何时间、任何地点向移动终端提供无缝网络服务,切换认证技术显得尤为重要.从认证节点的隐私保护出发,提出了一种基于身份且支持批量认证的切换认证方案,并且认证过程无需第三方参与.方案中,认证双方无复杂的双线性对运算,移动节点经两次握手可实现安全切换.相比其他方案,该方案不仅满足了认证的安全性要求,还具有较高的认证效率和支持批量认证的优点.     

移动IPv6网络安全接入认证方案

对于移动IPv6网络,身份认证是网络安全的关键问题之一.针对移动IPv6网络的接入认证,提出了一种基于移动互联网双向认证方案.在移动切换过程中的接入认证和家乡注册,采用对家乡注册消息进行基于双私钥签名的方式,实现了家乡代理和移动节点分别对注册消息的签名,实现了接入认证与家乡注册的并发执行,移动用户和接入网络的一次交互实现了用户和接入域的有效双向认证.理论分析和数据结果表明,方案的认证总延时和切换延时要优于传统方法,有效地降低了系统认证的延时.安全性分析表明,框架中的基于双私钥的CPK方案满足双向接入认证安全,有效地解决了密钥托管问题.     

一种改进的基于OpenID机制的网络实名制方案设计

越来越多不规范的网络行为给互联网的监管带来前所未有的挑战,网络行为的匿名性需求与网络监管的可追踪性需求形成了越来越明显的矛盾.为了解决对网络用户进行有效监管的问题,设计一种改进的基于OpenID机制的用户网络实名制方案,实现了分布式模式下用户发帖行为的监控,通过由Gateway Proxy执行认证功能,提高了系统的整体安全性能.基于证书机制,构造了Web Server与Gateway Proxy之间的认证交互流程,避免了OpenID规范中Web Server站点与OpenID服务器之间的中间人攻击和注册服务器欺骗攻击.通过本机制,保障了用户访问Internet的匿名性和可追溯性,实现了对网络中用户发帖行为可控,发帖事件可查的管理目标,对网络实名制的构建具有较大参考价值.     

更安全的匿名三因子多服务器身份认证协议研究

多服务器架构下的身份认证协议是远程认证的关键,但许多现有方案都存在潜在的攻击,未实现三因子安全性,忽略了匿名性。因此,需要指出其中的错误,并提出一个匿名的三因子方案。通过攻击者模型,攻击了温翔等人的方案,检验了新方案;使用椭圆曲线密码,保障认证阶段的核心安全性;使用模糊提取器与验证器,保护生物特征与口令;经与同类协议比较,分析了新协议的优势。分析表明,温翔等人的方案不能抵抗服务器仿冒用户,不具匿名性等。而新协议能有效防范智能卡丢失攻击、仿冒攻击等更多样的攻击,实现了匿名性、前向安全性等更全面的功能,计算效率也比前人提高了约14.8%。因此,可以应用于对安全性、可靠性要求较高的多服务器认证网络。     

面向边远地区内容分发的DTN密钥管理方案

边远地区内容分发系统由卫星及便携终端混合网络组成,针对其中的特殊DTN环境,以及现有密钥管理方案不适用的问题,提出了一种新的密钥管理方案。利用系统中卫星网络接收服务器为用户颁发数字身份证,用户产生密钥对并将其与数字身份证绑定产生盲数字身份证,从而进行身份验证及公钥获取。在验证数据中加入密钥生存期,实现了用户密钥定期更新并且可以防止对公钥获取进行的重放攻击。分析了该方案的安全性并与其他方案进行了对比,分析表明该方案达到了安全性需求并适用于卫星及便携终端混合网络内容分发的DTN。     

对两个基于智能卡的多服务器身份认证方案的密码学分析与改进

身份认证是用户访问网络资源时的一个重要安全问题。近来,Xu等(XU C, JIA Z, WEN F, et al. Cryptanalysis and improvement of a dynamic ID based remote user authentication scheme using smart cards [J]. Journal of Computational Information Systems, 2013, 9(14): 5513-5520)提出了一个基于智能卡的动态身份用户认证方案。分析指出其方案不能抵抗中间人攻击和会话密钥泄露攻击,且无法实现会话密钥前向安全性。此外,指出Choi等(CHOI Y, NAM J, LEE D, et al. Security enhanced anonymous multiserver authenticated key agreement scheme using smart cards and biometrics [J]. The Scientific World Journal, 2014, 2014: 281305)提出的基于智能卡和生物特征的匿名多服务器身份认证方案(简称CNL方案)易遭受智能卡丢失攻击、服务器模仿攻击,且不能提保护用户的匿名性。最后,基于生物特征和扩展混沌映射,提出了一个安全的多服务器认证方案,安全分析结果表明,新方案消除了Xu方案和CNL方案的安全漏洞。     

Robust one-time password authentication scheme using smart card for home network environment

Due to the exponential growth of the Internet users and wireless devices, interests on home networks have been enormously increased in recent days. In digital home networks, home services including remote access and control to home appliances as well as services offered by service providers are alluring. However, the remote control services cause digital home networks to have various security threats. Hence, for digital home networks, robust security services, especially remote user authentication, should be considered. This paper presents a robust and efficient authentication scheme based on strong-password approach to provide secure remote access in digital home network environments. The proposed scheme uses lightweight computation modules including hashed one-time password and hash-chaining technique along with low-cost smart card technology. It aims to satisfy several security requirements including stolen smart card attack and forward secrecy with lost smart card as well as functional requirements including no verification table and no time synchronization. Comparing with the existing representative schemes, it can be validated that the proposed scheme is more robust authentication mechanism having better security properties. We have conducted formal verification of the proposed scheme.     

一种基于联盟链的物联网匿名交易方案

针对物联网终端交易的跨平台、去中心化、隐私、安全需求,提出基于联盟链的匿名交易方案,确保用户身份隐匿。通过划分基础域和互联域实现中心化身份认证和去中心化交易;对身份认证,提出基于Merkle树的双因素认证方案,实现各节点身份与消息的去耦;针对通信中明文消息暴露用户身份问题,提出基于CoinJoin思想的聚合签名隐私保护方案,混淆交易身份,以抵抗身份关联分析攻击;最后针对一致性和记账权问题,提出基于信誉评价策略的共识机制。安全性与效率分析表明,所提方案能以较低存储和计算开销保护终端身份隐私。     

基于身份密码系统和区块链的跨域认证协议

随着信息网络技术的快速发展和网络规模的持续扩张,网络环境中提供的海量数据和多样服务的丰富性和持久性都得到了前所未有的提升.处于不同网络管理域中的用户与信息服务实体之间频繁交互,在身份认证、权限管理、信任迁移等方面面临一系列安全问题和挑战.本文针对异构网络环境中用户访问不同信任域网络服务时的跨域身份认证问题,基于IBC身份密码系统,结合区块链技术的分布式对等网络架构,提出了一种联盟链上基于身份密码体制的跨信任域身份认证方案.首先,针对基于IBC架构下固有的实体身份即时撤销困难问题,通过加入安全仲裁节点来实现用户身份管理,改进了一种基于安全仲裁的身份签名方案mIBS,在保证功能有效性和安全性的基础上,mIBS性能较ID-BMS方案节省1次哈希运算、2次点乘运算和3次点加运算.其次,本文设计了区块链证书用于跨域认证,利用联盟链分布式账本存储和验证区块链证书,实现域间信任实体的身份核验和跨域认证.所提出的跨域认证协议通过安全性分析证明了其会话密钥安全,并且协议的通信过程有效地减轻了用户端的计算负担.通过真实机器上的算法性能测试,与现有同类方案在统一测试标准下比较,本文方案在运行效率上也体现出了明显的优势.     

FBSS:一种基于公平盲签名和秘密共享的车载网隐私保护方案*

车载自组织网络是移动自组网络及无线传感器网络在交通领域的一种应用,由车辆节点,路侧单元,服务提供商等构成的一种新型移动自组织网络。车载自组网络利用无线信道进行数据传输,由于车载自组织网络本身的开放性和传输信息的敏感性,不可避免的面临信息的泄漏和攻击。如何保证车载自组织网络中的身份隐私和可信通信是亟待解决的关键问题。现有的工作通常采用认证机制,但在车辆认证的过程中不可避免地泄漏了用户的隐私,随后提出的匿名认证方案解决了隐私保护问题却忽略了匿名滥用的情况。针对上述问题,本文提出一种基于公平盲签名和秘密共享的匿名认证方案-FBSS。通过安全性分析和实验,该方案具有较高的匿名性和较高的效率。     

Two robust remote user authentication protocols using smart cards

With the rapid growth of electronic commerce and enormous demand from variants of Internet based applications, strong privacy protection and robust system security have become essential requirements for an authentication scheme or universal access control mechanism. In order to reduce implementation complexity and achieve computation efficiency, design issues for efficient and secure password based remote user authentication scheme have been extensively investigated by research community in these two decades. Recently, two well-designed password based authentication schemes using smart cards are introduced by Hsiang and Shih (2009) and Wang et al. (2009), respectively. Hsiang et al. proposed a static ID based authentication protocol and Wang et al. presented a dynamic ID based authentication scheme. The authors of both schemes claimed that their protocol delivers important security features and system functionalities, such as mutual authentication, data security, no verification table implementation, freedom on password selection, resistance against ID-theft attack, replay attack and insider attack, as well as computation efficiency. However, these two schemes still have much space for security enhancement. In this paper, we first demonstrate a series of vulnerabilities on these two schemes. Then, two enhanced protocols with corresponding remedies are proposed to eliminate all identified security flaws in both schemes.     

基于可信计算的移动终端身份认证方案的研究

该文针对当前移动终端的安全性问题,分析了可信计算的思想,提出了一种在可信移动平台上结合SIM卡将指纹与口令绑定的身份认证方案,并采用域隔离技术与访问控制策略,使终端安全得到了更好的保障。