基于OAuth协议的天翼开放平台安全性浅析

OAuth协议是当前互联网最流行的开放授权标准。以天翼开放平台为例,介绍了OAuth2.0协议的工作原理,重点分析了OAuth2.0安全问题的两个焦点,一是技术应用漏洞,即由于授权场景的多样性导致部署时产生逻辑和代码设计漏洞,二是业务应用漏洞,即由于安全机制不够完善以及协议涉及的实体之间无法有效配合导致业务应用层面的安全性降低。     

一种新的三方认证密钥协商协议

目前大部分基于身份的三方认证密钥协商协议都存在安全缺陷,文中在Xu等人提出的加密方案的基础上,设计了一种基于身份的三方认证密钥协商协议.该协议的安全性建立在BDDH假设基础上,经安全性分析,协议具有已知密钥安全,PKG前向安全,并能抵抗未知密钥共享攻击和密钥泄露伪装攻击,因此该协议是一个安全的三方密钥协商协议.     

一种基于非否认协议的电子邮件传输方案

在电子邮件传输中,发信人和收信人的不可否认性是一个重要的安全问题。该问题可以通过采用数据传输中的非否认协议来解决。目前多数非否认协议基于可信第三方,并且对可信第三方的安全性、通信能力要求很高,因而难以在实际中应用。提出了一种基于安全第三方的非否认协议,该协议适合于电子邮件传输的特定应用;同时该协议减少了通信流量,降低了对可信第三方的安全性要求。随后结合安全多用途邮件扩展技术,得出了基于该协议的电子邮件传输实现方案。     

浅析作用于Web2.0安全防范的OpenID和OAuth机制

分析了Web2.0的安全漏洞和安全威胁,介绍了两个开放式的身份认证协议即OpenID和OAuth,并建议结合OpenID和OAuth来保护Web2.0中的网络资源,防止网络资源遭到有意或无意的滥用.     

基于SAT的安全协议惰性形式化分析方法

提出了一种基于布尔可满足性问题的安全协议形式化分析方法SAT-LMC,通过引入惰性分析的思想优化初始状态与转换规则,提高了安全性的检测效率。另一方面,通过在消息类型上定义偏序关系,SAT-LMC能够检测出更丰富的类型缺陷攻击。基于此方法实现了一个安全协议分析工具,针对Otway-Rees协议检测出了一种类型缺陷攻击;针对OAuth2.0协议,检测结果显示对现实中存在的一些应用场景,存在一种利用授权码截取的中间人攻击。     

安全的公平非否认协议研究

本文基于B.Meng协议提出了一个安全的、满足公平性及不可否认性的电子交易协议,该协议保护了交易信息的隐私性,提高了处理效率.协议所涉及的可信第三方是离线的,所以减少了对第三方的依赖,提高了安全性,避免了瓶颈问题的产生.     

无第三方服务器的基于数据流行度的加密去重方案

在加密去重系统中,基于流行度为数据设定不同级别的安全保护可有效平衡数据安全与存储效率。现有方案均需引入第三方服务器协助统计数据流行度,而第三方易成为单点故障和效率瓶颈。针对此问题,提出了一个无第三方服务器的基于数据流行度的加密去重方案,基于Count-Minsketch算法和MerklePuzzles协议实现数据流行度的安全统计,并通过用户间执行s PAKE协议实现不流行数据的加密去重。安全性分析和实验评估表明所提方案是安全且高效的。     

Web2.0安全机制探讨

分析了Web2.0的安全威胁,介绍了能减少这些安全威胁的两种安全机制,即OpenID和OAuth,给出了结合OpenID和OAuth来保护Web2.0中的网络资源,防止网络资源遭到滥用的建议.     

基于智能卡的强安全认证与密钥协商协议

将认证与密钥协商(Authenticated Key Agreement,AKA)协议所需的一种强安全属性——抗临时密钥泄露攻击引入到基于智能卡和口令的AKA协议中,基于NAXOS方法分别提出了基于智能卡的两方强安全AKA协议和三方强安全AKA协议.同时,首次给出了包含临时密钥泄露攻击的基于智能卡和口令的AKA协议的安全模型,并在该模型下给了所提出协议的安全性证明.此外,文中还分析了抗临时密钥泄露攻击不能在仅使用口令的AKA协议中实现的原因.     

基于PCL的3GPP-AKA协议的形式化分析与证明

3GPP-AKA协议在第三代移动通信的安全性方面起着至关重要的作用,它保证了移动用户MS与VLR/HLR之间的双向认证及密钥协商.文中通过协议组合逻辑(PCL)对3GPP-AKA协议进行了形式化分析及安全性证明.分析表明3GPP-AKA协议可以满足它的安全目标,因此该协议可以安全的作为第三代移动通信中的认证和密钥分配协议.     

一种安全数字水印协议的设计及应用

在分析以往几种数字水印隐患的基础上,得出一个安全数字水印协议应具备的条件,提出了一个新的数字水印协议并基于此协议设计了一个交易买卖系统.该协议引入了可信任的第三方、数字签名和数字时间戳技术,从而提高数字产品交易的安全性,保护了买卖双方的权益.     

一种基于计算能力的无需可信第三方公平非抵赖信息交换协议

随着互联网电子商务等业务的发展,公平非抵赖的信息传送协议(fair non-repudiation protocol)逐渐成为网络安全研究的新热点.现有的一些协议大多建立在可信第三方(trusted third party——TTP)基础之上,协议能否顺利进行主要依赖于TTP,如果TTP受到攻击,那么协议将失效.因此,迫切需要一个无需TTP的公平非抵赖协议.由于已有此类协议在安全性上是不对称的,不能保证发送方的信息安全.本文在分析已有非抵赖协议机制及其安全性的基础上,设计了一种发送方优先的协议,并根据双方的计算能力提出了一种可协商的无需可信第三方的公平非抵赖信息交换协议,使非抵赖信息交换的安全性摆脱了对TTP的依赖,并解决了信息的发送方和接收方的计算能力不对等时而存在的安全问题.     

基于单粒子态的双向认证多方量子密钥分发

量子密钥分发是一种重要的量子通信方式.为了提高量子密钥分发的可行性、安全性和效率,提出了一种基于单粒子态的具有双向认证功能的多方量子密钥分发协议.在协议中,量子网络中的任意两个用户均可在半可信第三方的帮助下进行双向认证并共享一个安全的会话密钥;协议中作为量子信息载体的粒子不需要存储,这在当前技术下更容易实现.安全性分析表明所提出协议在理论上是安全的.     

基于量子第三方的隐私数据库查询协议

保障查询数据库时用户及数据库的隐私性具有重要意义。该文利用三光子GHZ(Greenberger-Horne- Zeilinger)态的量子关联性,提出一个基于量子第三方的隐私数据库查询协议。协议对于信道损耗具有很高的容忍度,并且能够有效地抵抗第三方发动伪造量子纠缠态和量子记忆存储攻击。在第三方的帮助下,协议能够确定地控制用户获得数据库隐私信息的数量。同时,利用Mermin-Bell不等式进行真正的三方纠缠验证保证协议的安全性,这一思想也拓展了设备无关纠缠验证的应用领域。     

基于无证书的多方合同签署协议

线上合同签署在电子商务中日益普及,在互不信任的签署方之间签署一份合同并不是一件简单的事情,各方就合同签署问题提出过许多合同签署协议。其中较多的协议是带有第三方参与的,但是在效率方面并不占优势,且易出现安全问题。现有借助区块链技术取代第三方参与的合同签署协议中,区块链的公开验证对不管是签署方还是待签署合同的敏感信息又发起了挑战。且大多协议针对于双方合同签署,随着签署方数量的增加,协议的通信成本和复杂度都在急剧增加。该文结合现有协议,提出一个高效的多方合同签署协议,协议中通过基于无证书的高效聚合签名方案,用于提高区块链下签署方签名验证效率,在区块链上仅公开签署方的临时密钥以减少系统开销。该协议满足正确性、安全性、公平性、私密性以及高效性。     

面向第三方支付平台的移动安全交易协议研究

为提升移动支付交易安全性和质量,该文致力于设计一种能够在移动终端上搭载的面向第三方支付平台的安全交易协议模型STPT。该协议保留了SET协议及MSET协议双重签名的特性,用对称算法替换了大部分非对称算法环节,显著提升了计算效率,降低了计算量和计算时间,使其能够在移动终端上实现搭载。通过改造MSET协议的初始化流程,显著强化了协议整体的安全性并使其具有明显的不可否认性特征。基于对SET协议和MSET协议的分析,提出STPT模型,并对其可认证性、保密性、完整性、不可否认性、原子性进行分析,证明其能够提供较为全面的安全性服务。并运用Kailar逻辑证明其能够达到预定的安全目标。     

基于信任链度量机制的安全登录终端系统研究

为了提高企业园区网的终端登录安全,引入了身份认证系统来保证用户的数字身份与物理身份相对应。但在登录之前,如何能够安全登录操作系统,提高抵抗恶意篡改的能力,是信息安全领域研究的热点。文中引入可信计算理论[1],提出了一种基于信任链度量机制的安全登录终端系统研究。最终实现整个系统登录及运行过程的安全性、可信性。     

基于动态阈值核密度估计的登录异常检测

登录验证是各种信息系统的第一道门户，是保障系统安全的重中之重。但用户账号通常面临着两种风险：一是账号被撞库，二是账号被盗。其中，撞库是指黑客利用第三方泄露的账号和密码生成对应的字典库来尝试批量登录目标系统或网站的行为。针对用户登录日志通常是稀疏数据的问题，提出了一种基于动态阈值核密度估计的登录异常检测方法。该方法能够在稀疏登录日志上建立动态阈值，通过核密度估计计算用户登录历史基线，并在此基线上完成用户登录异常检测。对比实验结果表明，该算法能够有效地进行异常登录检测，并针对稀疏登录数据有着更好的检测效果。     

一种适合3G移动的微支付方案

本方案提出利用改进后3G入网认证机制中密钥和随机数,结合AES算法生成安全性高的一次性签名,且计算量和存储量很少,具有不可否认性,还利用了登录第三方网站后生成的用户临时标识,具有很好的匿名性和不可跟踪性。其中商家受到第三方的监视和管理,防止用户和商家的欺诈,用户收到商品后对商家的信用进行评价,具有公平性。该方案交易灵活、效率高,适合3G用户实行微支付交易。     

基于层级化身份的可证明安全的认证密钥协商协议

目前基于身份的认证密钥协商协议均以单个私钥生成器(PKG)为可信第三方,但这种系统结构难以满足身份分层注册与认证需求。该文以基于层级化身份的加密(HIBE)系统为基础重构了私钥的组成元素,并利用椭圆曲线乘法循环群上的双线性映射提出一个基于层级化身份的认证密钥协商协议,为隶属于不同层级的云实体提供了安全的会话密钥协商机制。基于CDH(Computational Diffie-Hellman)与GDH(Gap Diffie-Hellman)假设,该文证明了新协议在eCK模型下具有已知密钥安全性、前向安全性和PKG前向安全性,并且能够抵抗基于密钥泄露的伪装攻击。