对ARAP认证协议的攻击及其改进

分析了射频识别（RFID）系统中匿名RFID认证协议（ARAP）存在的安全缺陷,指出攻击者可利用该协议存在的异或运算使用不当的安全缺陷发起身份假冒攻击.为此,提出了一种改进的RFID双向认证协议,该协议修改了ARAP认证协议中部分异或运算和验证操作,仍采用假名机制提供隐私性保护,防止攻击者对标签进行跟踪.结果分析表明,改进后的协议具有双向认证、前向安全性和匿名性等安全属性,并能够抵抗冒充、跟踪和重放等攻击.同时,性能对比分析表明改进后的协议具有比较好的效率,实用性较强.     

可选子密钥的门限追踪匿名认证方案

在现有的一些匿名认证方案中,成员不能自主选择子密钥,示证者不能自由选择匿名集,导致方案的计算代价较大,匿名认证过程较复杂.为了解决这两个问题,本文提出了一种新的门限追踪匿名认证方案.该方案允许成员自主选择子密钥,计算屏蔽子密钥作为签名私钥以保护成员的子密钥;示证者使用自由选择的匿名集和自己的签名私钥,借助1/n签名实现匿名认证;基于Lagrange插值,t个成员合作实现门限追踪,并验证追踪到的示证者身份的真实性.与现有方案相比,该方案计算代价较小,成员自主性更大,匿名认证更简单,匿名追踪更安全.在离散对数假设和DDH(Decisional Diffie-Hellinm)假设的前提下,该方案满足匿名性、门限可追踪性,可抵抗外部伪装攻击和一致性攻击.     

适用于远程医疗信息系统的身份认证协议

远程医疗信息系统中,身份认证是确保患者和医疗服务器之间安全通信的有效机制。对Sutrala等基于口令的适用于远程医疗信息系统的用户匿名认证协议进行了安全性分析,指出其协议不能抵抗离线口令猜测攻击、中间人攻击,不具备前向安全性。基于扩展混沌映射提出了一个新的三因素匿名用户身份认证协议,新协议克服了Sutrala等协议的安全漏洞。利用BAN(Burrows-Abadi-Needham)逻辑对提出方案进行了形式化证明。此外,安全分析表明,新的协议能够抵御各种恶意攻击,适用于远程医疗环境。     

基于身份密码体制在无线局域网安全协议中的应用

通过引入基于身份(Identity-based)的公钥密码体制，提出了一个基于身份的802．11无线局域网安全认证结构．文中详细描述了从初步建立系统参数，动态的共享密钥的生成，到4-way握手的相互身份认证的认证协议过程以及Weil Palring的实现，并且通过上海交通大学无线网络测试，说明了该协议在安全性方面和实际应用中相对于目前的无线局域网安全协议的优越性．     

一种无密钥托管的移动IPv6网络匿名密钥分发协议

针对基于身份的密码体制IBE中固有的密钥托管问题,本文提出了一个移动IPv6网络环境中的无密钥托管匿名密钥生成机制与分发协议.该机制将节点身份认证和密钥生成与分发这两个过程分离,利用不可区分性匿名密文安全性在PKG不知道节点地址的情况下分发私钥给经过身份认证的节点,使得私钥生成中心或认证中心即使被单独攻破,攻击者也无法实现身份碰撞.可将身份认证中心部署于家乡服务器,而将PKG离线部署.经安全性分析,协议有效解决了移动IPv6网络中基于身份密码体制的密钥托管问题.     

SET电子商务中更安全的密钥和证书保护方案

在Internet开放式环境中的身份认证是电子商务安全进行的前提和基础,文章对Set安全电子交易协议中身份认证进行了分析,提出了一种更为安全的密钥和证书保护机制——智能卡系统认证模型,该模型充分利用了智能卡的数据处理能力．     

基于身份的高效层次认证密钥协商协议

现有的基于身份的认证密钥协商协议大多工作于单一私钥生成中心(Public Key Generator,PKG)环境下.提出了一种新的基于身份的层次认证密钥协商协议.该协议中,根PKG为多层的域PKG验证身份并生成私钥,域PKG为用户验证身份并生成私钥.多层PKG有效防止了单点失效问题,减轻了PKG的运行压力,提高了系统的承载能力.与已有协议相比,本文协议的计算开销与双方用户所处层级成线性关系,不含双线性对运算,具有更高的效率.协议的安全性基于计算性Diffie-Hellman困难假设,满足密钥协商协议所需的基本安全需求,具有PKG前向安全等安全性质.     

一种基于手机令牌的移动支付认证协议

针对移动支付中身份和支付认证的安全问题,本文研究了手机令牌技术和无证书签密体制.结合Android系统安全策略和通信特点,利用身份和设备信息生成手机令牌并安全存储,基于手机令牌实现无证书签密,在SSL协议下层设计和实现安全认证协议.在不改变系统架构、设备硬件以及基础网络安全协议的基础上,实现了移动支付的安全增强.安全性分析表明该协议能有效抵抗伪造身份攻击、中间人攻击和重放攻击,保证移动支付的安全,并具有良好的计算效率.     

可证安全的Internet密钥交换协议

针对IKEv2初始交换存在认证失败和发起者的身份暴露问题，提出了一种改进协议．新的协议采用SIGn-and-Mac认证方法来完成显式密钥认证，并且在协议中让响应者首先证明自己的身份，实现对协议发起者的主动身份保护．同时协议双方在自己发送的消息中包含期望的消息接收者来防止认证失败．另外协议中还引入了不可否认性，使得协议交互双方对自己发送的消息内容不可抵赖．分析表明：新的协议在Canetti-Krawczyk模型中是会话密钥安全的，并且性能上相对于IKEv2仅仅增加了一次对称加密运算，大大优于IKEv1．     

一种基于手机令牌和NFC技术的身份认证系统

针对目前Web站点的身份认证安全问题,提出了一种基于手机令牌和近距离无线通信(NFC,near field communication)技术的身份认证方法,并在Android平台上实现了该系统.该系统利用手机使用手机令牌实现了USBKey的主要功能,当用户访问站点进行注册时,将获得惟一的手机令牌并存于带有加解密功能的手机中.在下次访问站点进行身份认证时,用户可通过手机直接在Web站点进行身份认证,也可通过NFC技术将手机令牌传于PC机,使得用户可在PC机上利用手机进行身份认证.该系统将手机作为类USBKey设备,在增强Web站点身份认证安全的同时,省去了为用户颁发USBKey的流程和成本,具有较强的实用价值.