一种基于手机令牌的移动支付认证协议

针对移动支付中身份和支付认证的安全问题,本文研究了手机令牌技术和无证书签密体制.结合Android系统安全策略和通信特点,利用身份和设备信息生成手机令牌并安全存储,基于手机令牌实现无证书签密,在SSL协议下层设计和实现安全认证协议.在不改变系统架构、设备硬件以及基础网络安全协议的基础上,实现了移动支付的安全增强.安全性分析表明该协议能有效抵抗伪造身份攻击、中间人攻击和重放攻击,保证移动支付的安全,并具有良好的计算效率.     

云环境下去中心化跨域身份认证方案

为解决传统公钥基础设施(public key infrastructure,PKI)体系下跨域认证困难的问题,提出一种云环境下去中心化跨域身份认证方案。该方案基于星际文件系统和区块链技术,构造了一种去中心化的跨域身份认证模型。一方面通过设计高效的存储模式和存储控制分离方式,实现海量身份数据下的快速响应;另一方面通过设计跨域认证与隐私保护机制,优化跨域身份认证流程并限制跨域共享数据的类型,实现对跨域认证用户的隐私保护。通过分析潜在的攻击手段,说明了本文方案的安全性;通过实现原型系统,并与其他方案进行对比,验证了本文方案在跨域存储、校验、认证等方面的优越性能。     

可选子密钥的门限追踪匿名认证方案

在现有的一些匿名认证方案中,成员不能自主选择子密钥,示证者不能自由选择匿名集,导致方案的计算代价较大,匿名认证过程较复杂.为了解决这两个问题,本文提出了一种新的门限追踪匿名认证方案.该方案允许成员自主选择子密钥,计算屏蔽子密钥作为签名私钥以保护成员的子密钥;示证者使用自由选择的匿名集和自己的签名私钥,借助1/n签名实现匿名认证;基于Lagrange插值,t个成员合作实现门限追踪,并验证追踪到的示证者身份的真实性.与现有方案相比,该方案计算代价较小,成员自主性更大,匿名认证更简单,匿名追踪更安全.在离散对数假设和DDH(Decisional Diffie-Hellinm)假设的前提下,该方案满足匿名性、门限可追踪性,可抵抗外部伪装攻击和一致性攻击.     

一种基于身份的匿名无线认证协议

针对移动用户漫游时需进行匿名认证问题,利用双线性对和椭圆曲线的相关特性,提出了一种基于身份的匿名无线认证协议.并对该协议的安全性和匿名性进行了详细分析,给出了移动用户匿名性在非认证链路模型下安全的形式化证明.分析表明,该协议实现了用户与接入点的双向身份认证和移动用户身份的匿名性,满足无线网络环境的安全需求.与同类协议相比计算量大幅减少,为匿名无线认证提供了一种较实用的解决方案.     

适用于远程医疗信息系统的身份认证协议

远程医疗信息系统中,身份认证是确保患者和医疗服务器之间安全通信的有效机制。对Sutrala等基于口令的适用于远程医疗信息系统的用户匿名认证协议进行了安全性分析,指出其协议不能抵抗离线口令猜测攻击、中间人攻击,不具备前向安全性。基于扩展混沌映射提出了一个新的三因素匿名用户身份认证协议,新协议克服了Sutrala等协议的安全漏洞。利用BAN(Burrows-Abadi-Needham)逻辑对提出方案进行了形式化证明。此外,安全分析表明,新的协议能够抵御各种恶意攻击,适用于远程医疗环境。     

基于身份的高效层次认证密钥协商协议

现有的基于身份的认证密钥协商协议大多工作于单一私钥生成中心(Public Key Generator,PKG)环境下.提出了一种新的基于身份的层次认证密钥协商协议.该协议中,根PKG为多层的域PKG验证身份并生成私钥,域PKG为用户验证身份并生成私钥.多层PKG有效防止了单点失效问题,减轻了PKG的运行压力,提高了系统的承载能力.与已有协议相比,本文协议的计算开销与双方用户所处层级成线性关系,不含双线性对运算,具有更高的效率.协议的安全性基于计算性Diffie-Hellman困难假设,满足密钥协商协议所需的基本安全需求,具有PKG前向安全等安全性质.     

对ARAP认证协议的攻击及其改进

分析了射频识别（RFID）系统中匿名RFID认证协议（ARAP）存在的安全缺陷,指出攻击者可利用该协议存在的异或运算使用不当的安全缺陷发起身份假冒攻击.为此,提出了一种改进的RFID双向认证协议,该协议修改了ARAP认证协议中部分异或运算和验证操作,仍采用假名机制提供隐私性保护,防止攻击者对标签进行跟踪.结果分析表明,改进后的协议具有双向认证、前向安全性和匿名性等安全属性,并能够抵抗冒充、跟踪和重放等攻击.同时,性能对比分析表明改进后的协议具有比较好的效率,实用性较强.     

可证明安全的RFID群标签识别与认证协议

为了克服RFID系统的标签识别中存在的安全性问题和识别死循环问题,提出了一种群标签的识别与认证协议GIA.GIA协议在识别过程中采用假名进行防冲突识别,防止标签敏感信息的泄露,在认证过程中只用伪随机数发生器实现了阅读器和标签之间的相互认证,解决了中间人攻击、前向安全、重放攻击和克隆等安全问题,同时也满足了低成本标签的要求.用可证明安全模型证明了GIA满足了安全性目标.与现有的相关研究进行比较,GIA在存储开销、计算代价和通信开销上具有较好的性能.     

可证安全的Internet密钥交换协议

针对IKEv2初始交换存在认证失败和发起者的身份暴露问题，提出了一种改进协议．新的协议采用SIGn-and-Mac认证方法来完成显式密钥认证，并且在协议中让响应者首先证明自己的身份，实现对协议发起者的主动身份保护．同时协议双方在自己发送的消息中包含期望的消息接收者来防止认证失败．另外协议中还引入了不可否认性，使得协议交互双方对自己发送的消息内容不可抵赖．分析表明：新的协议在Canetti-Krawczyk模型中是会话密钥安全的，并且性能上相对于IKEv2仅仅增加了一次对称加密运算，大大优于IKEv1．     

快速密钥交换协议的分析与实现

通过对快速密钥交换协议JFK交换消息的内容和过程的分析,论述了其高效、抗DoS攻击、抗中间人攻击、抗重放攻击、能有效地保护单方身份信息的特点.在redhat linux 9.0上利用套接字编程、多线程技术、openssl函数库实现了JFKr协议,给出了实现程序的框架模型,介绍了各个模块内部的主要细节,最后描述了该程序的测试方法和测试结果.     

一种基于身份的全同态签名方案

全同态签名方案在可验证外包计算等领域具有重要应用,但目前人们还没有提出基于身份的全同态签名方案.因此,本文给出了基于身份的全同态签名方案的安全定义,基于格问题构造了一个基于身份的层次型全同态签名方案,在标准模型下基于小整数解问题难解性严格证明了所提全同态签名方案满足选择性身份与选择性消息数据集合攻击下的存在性不可伪造性.     

动态对等群上的基于身份的认证密钥协商协议

针对DB08协议(Dutta和Barua的动态群密钥协商协议)不满足密钥独立性的缺陷,利用SK(Sakai和Kasahara)的密钥构造方法,提出了一个动态对等群上的基于身份的认证密钥协商协议.在新协议中计算子密钥时,利用Hash运算和增加会话标识,来避免不同会话中子密钥的关联性,因此新协议满足密钥独立性.同时新协议满足完善的前向安全性、主密钥前向安全性,以及抗主动和被动攻击等安全性.与DB08协议相比较,新协议大大降低了计算开销和通信开销,因此更适用于动态的对等网络.     

基于认证公钥的抗合谋攻击加密方案

针对Gentry基于认证的公钥加密方案不能抵抗拒绝服务攻击和合谋攻击的问题,改进并优化了基于认证公钥加密方案,给出了该方案的安全模型、具体算法和标准模型下安全分析.在该办案中,用户利用第三方对其公钥和/或身份的认证对自选公钥进行签名;在加密消息前加密者将验证接收方对自选公钥的签名;公钥发布者如果没有合法授权将不能给出正确的签名,在保留Gentry方案优势的条件下能拒绝服务攻击和抵抗合谋攻击.     

一种无密钥托管的移动IPv6网络匿名密钥分发协议

针对基于身份的密码体制IBE中固有的密钥托管问题,本文提出了一个移动IPv6网络环境中的无密钥托管匿名密钥生成机制与分发协议.该机制将节点身份认证和密钥生成与分发这两个过程分离,利用不可区分性匿名密文安全性在PKG不知道节点地址的情况下分发私钥给经过身份认证的节点,使得私钥生成中心或认证中心即使被单独攻破,攻击者也无法实现身份碰撞.可将身份认证中心部署于家乡服务器,而将PKG离线部署.经安全性分析,协议有效解决了移动IPv6网络中基于身份密码体制的密钥托管问题.     

WSNs中基于Chebyshev多项式的可认证密钥协商方案

无线传感器网络中节点之间的通信在整个网络中有着重要地位,其安全性也逐渐受到关注.本文基于Chebyshev多项式提出了一种节点之间可认证的非对称密钥协商方案,利用Chebyshev多项式的半群特性和计算上的单向性设计会话密钥机制完成节点之间的认证功能,分析结果表明本文方案可以抵御无线传感网中的典型攻击.     

基于无证书公钥密码体制的身份鉴别方案

基于双线性加群G1上计算Diffie-Hellman问题的困难性假没下,采用无证书公钥密码体制密钥生成原理,首次提出了一个能有效抵抗重置攻击和冒充攻击的基于ID的身份鉴别方案,避免了基于身份的诸多方案所涉及敏感的密钥托管问题.最后在随机预言模型下给出了方案的安全性证明.     

基于TPM的家庭基站安全架构

针对基于SIM卡安全机制的家庭基站平台完整性无法保护,容易产生通过家庭基站的恶意攻击等安全威胁,提出了基于TPM的家庭基站保护机制,采用TPM的安全计算、安全存储和认证机制,实现了核心网对家庭基站的设备认证、家庭基站软硬件完整性验证、家庭基站身份认证、家庭基站位置认证与锁定、用户接入家庭基站的认证.     

基于身份密码体制在无线局域网安全协议中的应用

通过引入基于身份(Identity-based)的公钥密码体制，提出了一个基于身份的802．11无线局域网安全认证结构．文中详细描述了从初步建立系统参数，动态的共享密钥的生成，到4-way握手的相互身份认证的认证协议过程以及Weil Palring的实现，并且通过上海交通大学无线网络测试，说明了该协议在安全性方面和实际应用中相对于目前的无线局域网安全协议的优越性．     

面向Saber算法的并行乘法器

随着量子计算的发展, 现有密码系统的安全性将受到严重威胁. Saber算法是抵御量子计算攻击的后量子密码方案之一, 但存在多项式商环上模乘占据运算开销过大的问题. 鉴此, 本文通过对Karatsuba算法和Schoolbook相乘方式的剖析, 提出一种面向Saber算法的并行乘法器设计方案. 该方案首先利用Karatsuba算法分解模乘运算的关键路径, 结合乘法复用和加法替换的策略减少硬件开销, 然后采用并行运算电路压缩关键运算路径时长, 最后在TSMC 65nm工艺下, 利用Modelsim和DC软件仿真验证. 结果表明 该方案运算时长为137个时钟周期, 与传统方式相比速度提升46.50%, 功耗为87.83mW, 面积为927.32×103 ?m2.     

基于原子系综和线性光学器件的量子中继

有噪信道上的量子通信出错率随着信道长度呈指数式增长, 量子中继是应对此问题的一种有效方法. 提出一种具有实验可行性的量子中继方案, 利用原子系综来制备量子纠缠, 利用偏振分束器来完成量子纠缠的纯化和交换, 为实现远程量子通信提供了一种有效方法.