认证协议设计逻辑的语义

Levente Buttyan等人提出了一种认证协议设计的简单逻辑，协议设计者可以使用该逻辑，用一种系统的方法来构造认证协议。该文把简单逻辑和串空间（Strand Space）模型结合起来，给出了简单逻辑的串空间语义，然后运用该语义证明了简单逻辑的推理规则是正确的。     

一种可分析保密性与认证性的模态逻辑

提出了一种新的基于信念的模态逻辑——MBL逻辑，来分析由单向函数构造的对称钥认证交换协议的安全性。该逻辑有严格的证明体系，可证明推理规则在其语义模型下的正确性，说明该逻辑具有合理性。其推理规则不仅能对单向函数保护的消息进行有关认证性的推理，克服了以往逻辑系统使用不当的安全服务来分析协议认证性的缺陷，而且可分析消息的保密性，避免了其他逻辑分析协议时对可信中心的过分依赖，可发现敌手通过欺骗可信中心而造成的攻击。     

一种新的共享密钥安全协议设计方法

为了设计出具有高安全性的安全协议,提出了一种面向主体的逻辑,可以形式化和系统地设计共享密钥安全协议;根据可以提供的不同安全服务,将密码机制抽象为不同信道,这样在设计安全协议时不必考虑密码机制的实现细节;提出安全协议的转发设计规则,将设计规则作为预防攻击的有效措施;运用该逻辑和设计规则设计了一种新的共享密钥安全协议,该协议能达到相互身份认证和密钥分发目的,并能预防与设计规则相对应的攻击。     

一种不可否认协议形式化设计方法

针对目前尚无不可否认协议的形式化设计方法,提出一种基于逻辑的不可否认协议形式化设计方法,包括逻辑语言、定理、推理规则及合成规则。协议设计者用逻辑语言描述协议目标,由该目标出发,运用合成规则逐步推导出一个含可信第三方的不可否认协议。实例证明该方法可以很好地用于辅助不可否认协议的设计与改进。     

基于强认证理论的三方网络协议安全性证明

形式化方法是分析网络安全协议的一种重要方法,网络协议安全性也是信息安全领域的研究热点。事件逻辑是一种描述分布式系统中状态迁移的形式化方法,用于证明网络安全协议的安全性。以事件逻辑为基础,定义强匹配及匹配会话,结合事件逻辑公理和推理规则,提出了强认证理论。利用该理论对有3个主体的Neuman-Stubblebine协议进行了研究,分析得出发送者是安全的而接收者是不安全的,从而证明了该协议是不安全的,说明了强认证理论适用于三方的网络安全协议。该理论适用于类似多方网络安全协议的安全性证明。     

家乡代理不支持EAP协议时的MIP6认证问题研究

针对Split场景下,家乡代理不支持EAP协议的问题,提出了一种基于diameter-EAP协议的认证方案。认证服务器在对移动节点进行认证时,通过支持EAP协议的接入路由器对移动节点进行身份认证,为移动节点和MIP6服务提供者配置共享密钥,用于服务提供者对移动节点的认证。采用BAN逻辑对协议的安全性进行了形式化证明,并比较分析了该方案的性能,分析结果表明,该协议的密钥性能达到了RFC4004的水平。     

BAN逻辑及其在认证协议性质分析中的应用研究

在各类安全协议中,认证协议分析正成为热点,BAN逻辑是近年来主要的认证协议分析工具之一。在分析了BAN逻辑主要规则和分析步骤之后,研究了BAN逻辑存在的各类缺陷,并对BAN类逻辑需要改进的方面进行了讨论。     

单向函数在公钥认证协议中的作用

对认证协议进行了研究,指出采用保密服务是设计认证协议是一种安全服务的误用,存在两种潜在的安全隐患。针对带密钥的单向函数提出了一种扩展的BAN逻辑。利用该逻辑对两种改进的公钥认证协议进行形式化分析,说明带密钥的单向函数所提供的两种安全服务能够保证公钥认证协议的安全。     

高效异构融合网络认证协议的研究与分析

针对异构融合网络认证协议的效率和安全性不能兼顾的问题,提出了一种高效的认证协议,该协议包括全认证过程和快速重认证过程。通过全认证过程减少消息交互数量,快速重认证过程减少认证实体相结合的方式降低认证延迟,利用哈希链的随机性和单向性来保证信息的安全性和新鲜性。采用了形式化分析工具AVISPA对协议的安全性进行分析,同时与现有协议进行对比,结果分析表明,该认证协议在保证安全性的基础上提高了认证效率,有效改善了异构融合网络的性能。     

一种基于进程代数的安全协议验证消解算法

安全协议本质上是分布式并发程序,可以描述为多个子进程的并发合成系统.将安全协议对应的并发合成系统抽象为一组逻辑规则,能够对安全协议无穷会话的交叠运行进行验证.本文首先给出了将安全协议基于进程代数的形式描述转化成为一组逻辑规则的方法,并提出了基于逻辑规则分类的高效逻辑程序消解算法,对安全协议认证性和保密性进行验证.     

改进的可证安全的相互认证及密钥协商方法

提出一种新的用于移动通信的相互认证和密钥协商方法——NMAKAP。NMAKAP采用基于阿贝尔群的模幂运算和散列函数进行身份认证,取代了传统公钥密码算法和数字签名方案,降低了协议的计算开销和实现成本。在SVO逻辑系统证明下,NMAKAP协议是安全的。SVO逻辑是安全协议形式化分析的一种重要方法,文章扩展了SVO逻辑分析散列函数的逻辑语法。SVO逻辑方法的认证目标被发现存在中间人攻击,为此提出了新的认证目标,并分析了新目标的安全性。分析了一种可用于移动通信的认证协议——MAKEP。MAKEP协议通过预计算,大大降低了移动设备的计算量,但被认为存在Hijacking攻击。分析表明针对原MAKEP协议的Hijacking攻击并不成立,但该协议被发现存在未知共享密钥攻击,为此提出了改进意见。     

对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-WoonLee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee—Kim—Yoo协议,首先分析了此协议中所存在的安全性缺陷。随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-Woon Lee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee-Kim-Yoo协议,首先分析了此协议中所存在的安全性缺陷,随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

电子商务协议的串空间分析

电子商务协议常常具有复杂结构,协议可能由多个子协议组合而成.因此,电子商务协议的安全分析较认证协议更为复杂.传统的信念逻辑不适宜分析电子商务协议.Kailar逻辑适宜分析电子商务协议的可追究性,但不适宜分析协议的公平性.本文介绍并扩展了串空间逻辑,分析了ISI支付协议的串,并证明其不满足公平性.还提出一种新的串节点路径法,用以分析了ASW协议,该协议系由多个子协议组成的分支结构协议,通过串空间分析证明了该协议的公平性.通过对两个协议的分析,分别提供了对电子商务在线交易协议和离线交易协议的形式化分析方法.     

NS公钥认证协议的另一个改进方法

将VS公钥认证协议解析为两个质询一应答型的单向认证子胁议，并从消息方向标识缺失的角度对协议的设计缺陷进行了分析，在该基础上提出了针对NS公钥认证协议的另一种改进方法。     

一种新的基于身份的多信任域认证模型研究

为解决基于身份的多信任域跨域认证问题,在分析了IBC和PKI认证框架特点的基础上,提出了一种新的基于身份的多信任域认证模型。该模型综合利用IBC和PKI的优点,实现了不同参数的IBC信任域的跨域认证问题,并通过BAN逻辑对本文设计的跨域认证协议进行了详细的分析和证明。分析结果表明,该模型能够实现跨域认证需求,跨域认证协议是安全有效的。     

电子商务支付协议认证性的SVO逻辑验证

与证伪法（如模型检测）相比,采用证真法（如定理证明和逻辑推理）能验证协议在任意会话中的正确性,但分析难度较高,验证过程较为复杂。使用SVO逻辑方法,以Netbill微支付协议为例,对电子商务支付协议的认证性进行形式化分析。扩展了SVO逻辑的公理集;在不影响Netbill协议安全性的前提下,为其建立了简化模型;针对协议特点,修正和补充了其验证目标;给出了比之前更合理的协议假设,展示了具体的推理过程,分析了验证结果。结果表明,Netbill协议基本满足认证性。最后对相关研究工作进行了比较。     

适应受限环境的认证协议及其SVO逻辑分析

针对认证协议在受限通信网络环境中的应用和安全问题,提出一种基于椭圆曲线密码技术的认证协议,使用对称密码为协议中的交互信息提供机密性,在协议最后生成参与者共享的会话密钥。采用扩展的SVO逻辑对推荐协议进行形式化分析,结果证明该协议的安全性符合要求。     

基于认证测试方法的EAP-AKA协议分析

EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)是WLAN的认证和密钥分配协议;认证测试是一种以串空间理论为基础的安全协议分析验证方法。运用认证测试方法对EAP-AKA协议的双向身份认证过程进行了分析证明,结果说明EAP-AKA能够保证移动终端和认证服务器之间的双向认证。     

一种动态口令身份认证协议的设计与研究

动态口令用户认证机制是当前身份认证技术发展的一个重要方面,在分析了SAS-2和2GS两种动态口令用户认证协议的基础上,提出了一种更安全的动态口令用户认证协议。该协议不仅能有效地抵御SAS-2协议不能抵御盗取验证因子的攻击,而且纠正了2GS协议不能实现双向认证和抵御拒绝服务攻击的缺陷,有效地保护了用户的信息,提高了网络安全。