铁路信号安全通信协议中消息验证码算法的安全性分析和改进

通过比较TDES算法与AES和SM4算法,分析铁路信号安全通信协议(RSSP-II)中消息验证码(MAC)算法的安全性弱点,提出采用以AES和SM4为核心的MAC改进算法,并对改进的算法进行半实物仿真实验。分析和实验结果证明:改进后的算法具有更高的实时性。

密码学在《网络安全协议》课程中的应用分析

网络安全协议是保障信息安全的重要技术,是以密码学为基础的通信协议。加密、消息验证码、数字签名、密钥协商与密钥传输等技术在不同的网络安全协议中被用于实现数据通信过程中的机密性、完整性、不可否认性和真实性。分析密码学相关技术在具体的安全协议中的应用是《网络安全协议》课程的授课重点。本文在深入研究各层网络安全协议原理的基础上,总结了对称加密和非对称两种加密体制、消息验证码和数字签名两种完整性保护技术在网络安全协议中的具体应用,还以IPSec协议为例分析了网络安全协议中的密钥协商机制。

传感器网络中一种基于编码的MAC生成算法

用于数据认证的消息验证码(MAC)在传统有线和无线网络已有广泛应用。然而,传统的MAC生成算法往往生成较长的MAC,并不适合带宽有限的传感器网络。因此,提出了一种适用于传感器网络的MAC生成算法。算法通过位运算和逻辑移位进行数据替换,从而得到与验证的数据长度无关的定长MAC,有效减小了MAC的数据传输量。理论分析及实验仿真表明新算法在保证安全性的同时具有更小的通信开销,是一种能量有效的算法。

SM4分组密码算法在RSSP-Ⅱ铁路信号安全通信协议中的应用

RSSP-II铁路信号安全通信协议是铁路信号领域的安全软件产品。目前,其使用的加密算法为3DES算法,可防护数据在传输过程中的损坏、伪装等安全风险。为实现技术自主可控、增强核心竞争力,提出采用中国国家标准SM4分组密码算法代替既有的3DES算法,并进行仿真和实物测试验证。

铁路信号安全通信协议中的MAC改进算法

改进铁路信号安全通信协议II(RSSP-II)中的ER层消息验证码(MAC)算法,将高级加密标准作为MAC的核心算法,使用密文分组链接方式对报文加解密,并将其运用到CTCS-3列控系统临时限速服务器测试平台的RSSP-II仿真测试中。结果表明,改进算法能够克服原算法存在的弱密钥、半弱密钥等安全隐患,具有更强的安全性与实时性。

WSN中基于阈值机制的虚假数据过滤方案

传统虚假数据过滤方案无法过滤从非转发区域注入的虚假数据。为解决该问题,提出一种基于阈值机制的虚假数据过滤方案。节点在部署后建立到Sink的转发路径,每个数据包包含t个检测节点的消息验证码(MAC)以及2个安全阈值,转发节点分别对MAC和安全阈值进行正确性验证。理论分析及仿真实验结果表明,该方案能有效识别与过滤任意区域注入的虚假数据,并且具有较低的能量开销。

无条件安全并可识别欺骗者多秘密共享方案

(k,n)门限的多秘密共享方案是秘密被分割成n个份额,任何≥k个份额都能重构出秘密,但任何<k个份额不能得到秘密的任何信息.已公开的可识别欺骗者的门限多秘密共享方案大都是基于计算性安全,如大整数分解、离散对数或者Hash函数等,若当敌手计算能力无界时,则方案的安全性得不到保障.针对以上问题,当欺骗者的个数t≤(k-1)/3时,本文给出一种新的无条件安全的可识别欺骗者(k,n)的多秘密共享方案,利用RS纠错码和Shamir秘密共享方案之间的关系构造门限多项式充当消息验证码进行份额的验证,此方案不但能觉察到欺骗者的存在,而且能识别出谁是欺骗者.由于在所有的用户中采用单一密钥的消息验证码,并且通信成本不会随着参与者的增加而线性增长,方案设计简单,计算量小,安全性能良好,因而具有较高的效率.

基于部署前密钥分配的虚假数据过滤方案

针对传统虚假数据过滤方法无法过滤从非转发区域注入虚假数据的问题,提出了一种不依赖转发路径的过滤方案PFDF。在PFDF中,基于期望的密钥共享度灵活构建密钥池,在部署前进行密钥分发。理论分析及仿真实验表明,PFDF能有效防范非转发区域的虚假数据注入攻击,并具备较低的能量开销。

组播源认证技术TESLA研究

介绍了一种组播源认证技术TESLA;分析了协议实施的前提条件、协议涉及到的重要参数D和Tint;重点分析了TESLA验证的全过程;特别说明了显密时延在验证过程中的重要作用;讨论了TESLA协议的优势和缺点;最后总结出其适用范围和应用前景.

真实环境下的Wi-Fi个人通信安全性分析

针对Wi-Fi个人通信中安全脆弱的问题,提出了一种基于WAP3规范的安全性增强方案,采用理论分析与实验验证相结合的方法进行Wi-Fi安全性研究。首先,对Wi-Fi通信中主流如的安全协议有线等效私密性(WEP)协议和计数器模式下密文分组链接消息验证码认证协议(CCMP)进行了安全性理论分析,分析结果显示它们在安全算法和协议时序中都存在较严重的脆弱性问题,其中密码算法莱维斯特加密(ARC4)算法提供的安全保护等级低于高级加密标准(AES)算法。其次,在实际的Wi-Fi个人通信环境下进行安全性实验测试,实验结果显示了ARC4和AES算法都随着密钥长度的增加破译难度提高,相应恢复密钥所需的时间呈现出非二进制指数的增长趋势,可在有限的计算资源条件下快速恢复出密钥。在相同的密钥长度和计算资源下,恢复AES密钥所需的时间比ARC4的要多一倍以上。最后,WPA3规范支持对等实体同时验证(SAE)双向认证和高强度的加密算法,弥补了WEP协议和CCMP的主要不足,在与WPA2同样的实验环境下,连续破译一个月还未能恢复出WPA3中的AES密钥,WPA3可显著提高无线个人通信的安全性;但WPA3需持续改进,增强抵抗拒绝服务攻击的能力,逼近至一种理想的安全水平。

一种大流量报文HMAC-SM3认证实时加速引擎

SM3密码杂凑算法是我国自主研发的商用密码算法,自主安全性高。目前缺乏将SM3应用到自主网络报文验证的相关研究。核心网络流量大、流认证密钥维护量大、要求延迟低,报文认证功能需要高性能引擎支撑。首次给出了面向大流量网络报文的HMAC-SM3实时加速引擎设计方案,提出了基于存储地址的报文-密钥对快速存储匹配技术和多报文乱序哈希下的有序输出架构,并对SM3算法的64轮轮计算在FPGA上实现流水化,能够同时计算64条报文-密钥对。本方案最高可达到172.41 MHz时钟频率和65.18 Gb/s的平均吞吐量,相同实验条件下是现有串行HMAC-SM3吞吐量的34.86倍。

传感网中一种高效的假数据过滤方案

笔者提出一种基于双重密钥的假数据过滤机制DSF。节点利用对偶密钥建立协作关系,形成"封锁区",结合随机密钥共享,构成双重密钥共享。数据包附带两类MAC(Message Authentication code)信息,中转节点对数据进行双重过滤。理论分析结果表明,DSF算法比SEF过滤效率高。

远程医疗环境下面向多服务器的轻量级多因子身份认证协议研究

现有的远程医疗环境身份认证都是针对单服务器环境的,随着远程医疗体系的发展,用户需要访问多个医院服务器查询病情,也需要访问医保网站查询报销情况或访问其他第三方服务器。因此,对远程医疗环境下多服务器身份认证方案的研究具有积极意义。2019年,BARMAN等人提出了远程医疗环境下多服务器身份认证方案,但该方案存在可扩展性差、易遭受特权攻击、不能实现访问控制等安全问题。为了解决这些问题,文章提出了基于Fuzzy Commitment和HMAC算法的多因子身份认证方案,通过安全性分析、证明及仿真实验可知,文中方案具有较高的安全性,虽然计算量和通信开销略有增长,但能较好地解决BARMAN等人方案面临的安全威胁。

基于多线性映射的身份类广播加密方案

针对Delerablee在随机预言机模型下提出的动态广播加密方案中选择明文攻击安全性问题,提出了标准模型下具有选择密文攻击安全的基于身份广播加密。首先建立多线性映射改进了私钥提取算法;然后在方案中加入消息验证码机制;最后,在标准模型下证明了该方案是抗选择密文攻击(chosen ciphertext attack,CCA)安全。分析表明,提出的方案保留了动态特性并提高了安全性。

基于哈希链的软件定义网络路径安全

针对软件定义网络中,控制器无法保证下发的网络策略能够在转发设备上得到正确执行的安全问题,提出一种新的转发路径监控安全方案。首先以控制器的全局视图能力为基础,设计了基于OpenFlow协议的路径凭据交互处理机制;然后采用哈希链和消息验证码作为生成和处理转发路径凭据信息的关键技术;最后在此基础上,对Ryu控制器和Open vSwitch开源交换机进行深度优化,添加相应处理流程,建立轻量级的路径安全机制。测试结果表明,该机制能够有效保证数据转发路径安全,吞吐量消耗比SDN数据层可信转发方案(SDNsec)降低20%以上,更适用于路径复杂的网络环境,但时延和CPU使用率的浮动超过15%,有待进一步优化。

列车运行控制系统故障注入测试方法研究

故障注入测试在对列控系统的功能、安全性验证测试中具有重要作用,通过故障注入测试可以分析列控核心设备对故障-安全的响应行为,以此评价系统功能的设计水平。为解决现有基于仿真的故障注入测试方法可信度不高、通用性较差的问题,以列控设备接口间的通信数据为着眼点,利用铁路信号安全通信协议(RSSP)、借助序列化技术与面向对象编程思想,设计了一种应用于列控系统真实设备的故障注入测试方法。在实验室中利用真实的列控系统环境,通过对典型通信数据错误场景的模拟,完成了对本测试方法的验证。验证结果表明,提出的故障注入测试方法满足故障注入测试的需求,提高了测试结果的可信度,并且在不同的设备接口间具有良好的通用性。

基于双线性对的车联网匿名身份认证

本文提出基于双线性对和消息验证码密码保护方案,实现了车联网网络接入中的匿名身份认证,有效满足了系统真实性要求,同时实现了敏感个人信息的保护。

Lattice MachXO3D系列低密度PLD开发方案

Lattice公司的Mach XO3D系列是新一代低密度PLD器件,包括增强安全特性和片上两个引导闪存.增强安全特性包括先进的安全加密标准(AES) AES-128/256,安全哈希算法(SHA) SHA-256,椭圆曲线数字签名算法(ECIES),哈希消息验证码(HMAC) HMAC-SHA256,公钥加密术和单独安全ID. Mach XO3D系列是信任根(Root of Trust)硬件解决方案,很容易升级用来保护整个系统,具有增强比特流安全性和用户模式功能.器件的I/O特性支持最新的工业标准I/O,包括可编转换速率增强特性和I3C. Mach XO3D系列的逻辑密度从4.3K到9.4K LUT4,高I/O引脚/LUT比.

网络通信中的数据安全技术

本文简要介绍了网络安全的基本内容,详细分析了RSA、DES、数字签名、消息验证码、密钥交换和管理等基本的数据安全技术。

美国银行试用Smart卡

据《Computer Fraud & Security Bulletin》1991年4月号报导,美国克里夫兰的联邦储备系统第四地区银行正用IBM的灵巧卡来改善基金转帐的安全性。IBM的这种“个人安全”卡含一个芯片,它的ROM为10K字节,RAM为256字节,E^2PROM的容量是8K字节。该系统采用了用户ID、通过字、加密数据(用DES加密)和消息验证码,还避免了芯片接口的安全弱点。