基于TPM的虚拟机安全协议的研究

研究并分析现有的一些基于TPM的虚拟机安全协议,分析协议的一些不足和不完善的地方,针对这些协议的不足,提出一种改进的协议,并补充一种新的协议。     

符合MIKEY规范的密钥更新协议MIKEY-Rekey

MIKEY协议是一种可应用于实时的、多媒体通信的密钥管理协议。该文基于MIKEY协议和文献[6]中的组密钥管理结构,提出了一种综合周期和批量密钥更新策略的密钥更新协议MIKEY-Rekey协议,协议设计考虑到了两种更新策略的融合、同步问题的对策和PDU的设计等问题。     

一种基于代理签名机制的改进认证协议的设计与研究

Lee提出了一种适用于便携式通信系统的代理认证协议。该协议在在线认证过程的基础上提出了一种离线认证过程来优化本地服务器的性能。研究表明该离线认证协议存在安全隐患。本文提出了一种改进协议,解决了不法分子恶意伪造离线消息的问题,提高了协议的安全性。     

一种单点登录协议的设计

Kerberos单点登录协议存在口令猜测、重放攻击、缺乏认证等安全问题,该文以Kerberos协议为基础,设计一种新的单点登录协议,该协议修改了Kerberos协议的框架,引入一次性口令和授权服务机制,解决了Kerberos协议存在的问题,提供一种更安全、且扩展性强的单点登录协议。     

一种基于投标结果修正的合同网协议

合同网协议是一种广泛应用于多Agent系统的合作协议. 针对传统的合同网协议, 提出一种基于投标结果修正的合同网协议, 并论述该协议的合作过程, 说明该协议简化了传统合同网协议的工作过程. 最后把该协议应用于一个风力/太阳能互补发电系统的实例中, 结果表明该协议的工作效率比传统合同网协议更高.     

基于DESX的Kerberos协议的分析与改进

Kerberos协议是一种基于可信第三方的身份认证协议,针对Kerberos协议具有口令猜测攻击、重放攻击等缺陷,提出一种基于DESX算法和SHA函数的Kerberos协议改进方案,通过分析比较,改进协议不但摒弃了原Kerberos协议存在的缺陷,且以相对较小的开销使Kerberos协议认证过程更安全可靠。     

对一种公平非否认协议的新改进

Zhou-Gollmann协议是一种公平非否认协议,近年来得到广泛讨论.Kim发现该协议在时限公平性方面存在缺陷,针对该缺陷提出一种改进的协议,但其改进方法高度依赖于网络时钟的同步.通过详细分析,发现在缺乏时钟同步时Kim的改进协议也可导致不公平.针对此问题,提出一种新的改进方案.新的改进消除了协议对时钟同步的依赖性,保持了协议的公平非否认性,且不会降低协议的效率.     

基于群智能算法无线传感网络分簇路由协议

无线传感网络路由协议——LEACH协议(Low Energy Adaptive Clustering Hierarchy)是一种经典的分簇路由协议,LEACH协议相比其他平面路由协议生命周期提高15%以上。然而LEACH协议还是存在不少使能耗过大的缺陷,为改进LEACH协议这些缺陷本文提出了一种节能高效的基于群智能算法的智能分簇路由协议SI-CRP协议(Swarm Intelligence-Clustering Routing Protocol)。     

一种分析和设计认证协议的新逻辑

提出一种分析和设计认证协议的新逻辑,可以用来分析认证协议和设计认证协议。通过运用该逻辑,使认证协议的设计和分析可以在同一种逻辑中进行,也消除了用不同的方法来设计和分析认证协议的不一致性。在分析协议时,先用逻辑对协议进行形式化,再用推理规则对协议进行推理。如果不能推理出协议的最终目标,说明协议存在缺陷或者漏洞。在设计协议时,通过运用合成规则使协议设计者可用一种系统化的方法来构造满足需要的协议。用该逻辑对Needham-Schroeder私钥协议进行了分析,指出该协议不能满足协议目标,并重新设计了该协议。     

认证协议的有向图模型及其安全性分析

认证协议的形式化描述及其安全性分析是安全协议形式化分析的关键问题之一.为了解决以往分析方法中协议规范形式化描述存在的问题,提出了一种协议规范有向图描述方法,并在此基础上提出了协议消息构造的逆向搜索算法.用该算法分析Woo-Lam认证协议,找到了该协议一种新的攻击方法及其攻击路径.     

Analysing the Vulnerability of Protocols to Produce Known-pair and Chosen-text Attacks

In this paper we report on an analysis for finding known-pair and chosen-text attacks in protocols. As these attacks are at the level of blocks, we extend the attacker by special capabilities related to block chaining techniques. The analysis is automated using Blanchet's protocol verifier and illustrated on two well-known protocols, the Needham-Schroeder-Lowe public-key protocol as well as the Needham-Schroeder symmetric-key protocol. On the first protocol, we show how the special intruder capabilities related to chaining may compromise the secrecy of nonces and that chosen- ciphertext attacks are possible. We propose two modified versions of the protocol which strengthen its security. We then illustrate known-pair and chosen-plaintext attacks on the second protocol.     

一种基于PUF的超轻量级RFID标签所有权转移协议

针对RFID标签所有权转移协议中存在的数据完整性受到破坏、物理克隆攻击、去同步攻击等多种安全隐私问题,新提出一种基于物理不可克隆函数(PUF)的超轻量级RFID标签所有权转移协议—PUROTP.该协议中标签所有权的原所有者和新所有者之间直接进行通信完成所有权转移,从而不需要引入可信第三方,主要涉及的运算包括左循环移位变换(Rot(X,Y))和异或运算($\oplus$)以及标签中内置的物理不可克隆函数(PUF),并且该协议实现了两重认证,即所有权转移之前的标签原所有者与标签之间的双向认证、所有权转移之后的标签新所有者与标签之间的双向认证.通过使用BAN(Burrows-Abadi-Needham)逻辑形式化安全性分析以及协议安全分析工具Scyther对PUROTP协议的安全性进行验证,结果表明该协议的通信过程是安全的,Scyther没有发现恶意攻击,PUROTP协议能够保证通信过程中交互信息的安全性及数据隐私性.通过与现有部分经典RFID所有权转移协议的安全性及性能对比分析,结果表明该协议不仅能够满足标签所有权转移过程中的数据完整性、前向安全性、双向认证性等安全要求,而且能够抵抗物理克隆攻击、重放攻击、中间人攻击、去同步攻击等多种恶意攻击.在没有额外增加计算代价和存储开销的同时克服了现有方案存在的安全和隐私隐患,具有一定的社会经济价值.     

一种新的改进口令认证协议

口令认证作为一种简单易用的认证方式,被广泛应用于各种认证场合。最近几年,很多口令认证协议被提出来。2004年Kim和Choi提出一种经典的PAP口令认证协议,这种协议被引入802.11标准之中。随后这种协议被证明不能够抵抗离线字典攻击和重放攻击。2006年Ma等人提出这种协议的改进,随后Yoon等人证明Ma等人提出的协议仍然不能够抵抗离线字典攻击,并提出了改进。对Yoon等人提出的协议进行了分析,指出Yoon等人提出的协议仍然不能够抵抗离线字典攻击,提出了攻击模式。并对Yoon等人提出的协议进行了改进,提出一种T-PAP协议,能够抵抗离线字典和重放攻击。     

基于有限计算端的双向认证密钥交换协议

身份认证和密钥交换技术是保证无线通信安全的重要手段。针对非接触式智能卡的需求,提出一种基于有限计算能力的相互认证密钥交换协议。在随机预言模型下证明该协议的安全性,结果表明,该协议可有效抵抗重放攻击、中间人攻击和交错攻击,计算量较小,实用性较高。     

基于口令的可隐含认证的密钥协商协议

研究了群组通信中的密钥协商协议，首先用可变的底数来代替DH方案中的固定底数，改进了两方（Two-party)密钥协商协议PPK^[5]，然后把两方协议扩展成多方（Multi-party)协议，并且分析了所提出的两个协议对被动攻击和主动攻击的抵抗能力，最后给出了前者在抵抗联合攻击方面的不足。     

改进的Kerberos单点登录协议

现有Kerberos协议易受密码猜测字典攻击和报文重放攻击。为此,提出一个改进的Kerberos单点登录协议。在认证报文中添加随机数并使用动态密钥,防止密码猜测字典攻击,为每个报文添加一个唯一的序列号,防止报文重放攻击。实验结果证明了改进协议的有 效性。     

一种安全高效的强口令认证协议

提出了一种基于轻量级客户端的、基于散列函数的、用户端和服务器端双向基于口令的认证协议SPAS。指出了以往类似协议中存在的攻击问题，并分析了SPAS的安全性，指出SPAS能够抵御拒绝服务攻击、重放攻击、冒充攻击、服务器端验证信息泄密后的攻击。SPAS协议能够应用于各种使用轻量级用户端的、在公共信道上进行认证的用户认证应用场景。     

Efficient and secure three-party authenticated key exchange protocol for mobile environments

Yang and Chang (2009) proposed a three-party authenticated key exchange protocol for securing communications in mobile-commerce environments. Their protocol reduces computation and communication costs by employing elliptic curve cryptosystems. However, Tan (2010) pointed out that Yang and Chang (2009)’s protocol cannot withstand impersonation and parallel attacks, and further proposed an enhanced protocol to resist these attacks. This paper demonstrates that Tan (2010)’s approach still suffers from impersonation attacks, and presents an efficient and secure three-party authenticated key exchange protocol to overcome shown weaknesses.     

一种抵抗假冒攻击的移动RFID双向认证协议

分析现有移动双向认证协议存在的安全缺陷,提出一种能够抵抗攻击者假冒攻击的移动双向认证协议。采用计算量更小的位运算对信息进行加密,能保障信息安全的同时,亦能够降低系统整体的计算量;对于所有信息并不是单纯转发,而是通过加密后再发送,以此抵抗假冒攻击。通过形式化分析,证明了该协议的正确性;安全性分析表明,该协议能够抵抗攻击者发起的常见攻击;性能分析表明,该协议具备低计算量的特征。     

基于协议分析的网络入侵检测技术

网络协议分析是网络入侵检测中的一种关键技术,当前主要方法是对网络层和传输层协议进行分析。文章基于状态转换进行协议分析和检测,以充分利用协议的状态信息检测入侵,有效地完成包括应用层协议在内的网络各层协议的分析,更加精确地定位了检测域,提高了检测的全面性、准确性和检测效率;这种方法综合了异常检测和误用检测技术,可以更有效地检测协议执行时的异常和针对协议的攻击,并且可检测变体攻击、拒绝服务攻击等较难检测的攻击。