Analysis of security protocols based on challenge-response

Security protocol is specified as the procedure of challenge-response, which uses applied cryptography to confirm the existence of other principals and fulfill some data negotiation such as session keys. Most of the existing analysis methods, which either adopt theorem proving techniques such as state exploration or logic reasoning techniques such as authentication logic, face the conflicts between analysis power and operability. To solve the problem, a new efficient method is proposed that provides SSM semantics-based definition of secrecy and authentication goals and applies authentication logic as fundamental analysis techniques, in which secrecy analysis is split into two parts： Explicit-lnformaUon-Leakage and Implicit-Information-Leakage, and correspondence analysis is concluded as the analysis of the existence relationship of Strands and the agreement of Strand pa- rameters. This new method owns both the power of the Strand Space Model and concision of authentication logic.

基于ECC的SIP身份认证密钥协商协议

为在SIP认证协议中实现用户匿名性并提高协议的安全性能,将挑战/应答机制、椭圆曲线密码技术和口令认证相结合,提出一种新的匿名SIP认证协议。协议仅使用少量的椭圆曲线点乘运算,既保障认证的安全性又有效降低了整体运算量。协议在认证过程中引入高熵随机数,认证双方使用挑战/应答机制的三次握手实现双向认证,同时协商生成后续会话所需密钥。通过对协议的BAN逻辑分析和多种已知攻击的非形式化分析,证明该协议具有较高的安全性能。经与相关协议的效率比较,协议认证过程所需的运算量更小。

容迟与容断网络中的路由协议

作为一种新型的端到端存储转发网络体系结构,容迟与容断网络(delay and disruption tolerant network)具有间歇连接、频繁割裂、时延极高、非对称的数据速率、较高的误码率、异构互连等特点,传统的Internet、移动Ad Hoc网络和传感网的路由协议难以有效应用在容迟与容断网络中,容迟与容断网络路由面临新的挑战.在简要介绍了容迟与容断网络的基本特性和路由协议设计挑战之后,提出了路由协议评估指标.然后从单播路由、组播路由和选播路由3个方面介绍了容迟与容断网络路由协议的研究进展,最后对主要路由协议进行了综合比较,并指出了未来的研究方向.

基于数字证书认证的电力安全拨号认证系统

针对电力远程拨号系统的安全防护需求,对其相关安全隐患进行了分析,并设计和实现了基于数字证书认证的电力安全拨号认证系统,分析了其技术特点。该系统可对拨号客户端和拨号网关进行数字证书互验及客户端可信接入,对传输数据进行加密、签名,避免敏感信息泄漏及篡改,并可进行细粒度访问控制和用户行为审计,有效地解决了电力远程拨号系统相关安全隐患,对电力二次系统安全防护具有重要意义。

基于IBC体制的挑战/应答式双向身份认证协议

基于数字证书的身份认证协议在应用中存在证书管理复杂和通信带宽消耗大等不足。针对这个问题,设计一种基于身份密码体制(identity-based cryptography,IBC)的挑战/应答式双向身份认证协议,能够抵御冒充攻击、中间人攻击及重放攻击。对协议的通信带宽与系统复杂度进行分析,与传统的基于数字证书的挑战/应答式身份认证协议进行比较,比较结果表明,该协议降低了通信带宽消耗,具有较低的系统复杂度。

一种改进的TETRA系统鉴权协议

提出了TETRA(terrestrialtrunkedradio)系统的新的鉴权协议,协议将鉴权算法的运行实体设为HLR(homelocationregister),而不是VLR(visitorlocationregister),当无法保证VLR和HLR之间的通信安全时,所提出的协议仍然可以有效避免产生对已知明文攻击的开放性,同时有利于满足将来网间漫游和认证算法自主性的需要,对于提高实际数字集群通信系统的安全性具有十分重要的意义.

一种无线认证密钥协商协议

提出一种新的无线局域网认证密钥协商协议,可以提供双方相互认证及密钥确认。该协议在密钥设置上基于挑战响应协议和KAS方案,在密钥预分配上基于Diffie-Hellman协议,可以提供完美前向安全性,抵抗被动攻击、字典攻击、中间人攻击、假冒攻击等。并对协议的计算代价和通信代价进行分析。

安全协议关联性分析

提出安全协议本质上是协议主体利用密码学手段通过挑战-响应来对协议另一方的存在做出判断,并同时完成对一些数据例如会话密钥等的协商。依据这种思想,结合认证逻辑中的一些成果,提出了一种新的安全协议关联性的分析方法,该方法对协议认证目标进行了基于线空间模型语义的定义,并将关联性分析归结为Strand的存在关系和Strand参数一致性的分析问题。

802.1x系统中客户端软件版本检测方法分析

在对以太网接入控制中的802.1x技术(特别是华为802.1x技术)进行分析的基础上,针对接入用户使用兼容客户端,去除了标准客户端软件中扩展特性的问题,通过分析标准客户端数据帧,使用WinCap开发兼容类客户端,确认了兼容客户端产生的根源,提出了基于Challenge认证的客户端软件版本检测方法,在每次客户端向设备端请求认证时,通过发送以随机数产生的不同的版本检测帧,切断/非法客户软件重放攻击方式的兼容性实现途径,确认客户端软件的合法性.

NS公钥认证协议的另一个改进方法

将NS公钥认证协议解析为两个质询-应答型的单向认证子协议,并从消息方向标识缺失的角度对协议的设计缺陷进行了分析,在该基础上提出了针对NS公钥认证协议的另一种改进方法。

结构化认证协议设计方法研究

设计安全、有效的认证协议是密码学和通信领域中一个十分重要的研究课题，与认证协议的形式化分析方法研究同步发展。文章在分析认证协议应用技术和协议类型基础上，采用协议结构化的方法，给出了认证协议的分层设计原则。

动态口令身份认证系统的设计

网络已成为信息交换的主要手段,但网络全球化、开放性的特点使得网络的安全问题越来越受到人们的重视和关注.身份认证作为网络应用系统中的第一道防线,其认证技术的好坏直接关系到网络的安全性能.本文针对目前普遍采用的静态口令认证技术存在的安全缺陷,提出了基于挑战-应答协议的动态口令身份认证方案.

基于Windows9X的用户在局域网中的身份认证

LASA是一种基于Windows 9X安全登录的系统 ,可以替换Microsoft公司提供的操作系统的局域网登录的身份认证 ,大大增强局域网内资源的安全性。

一种混合机制的TETRA双向鉴权协议

该文详细分析了TETRA系统移动台和网络之间的鉴权协议,分析表明采用共享秘密的挑战应答协议存在 若干缺陷:(1)当无法保证访问位置寄存器和归属位置寄存器之间的通信安全时会产生对已知明文攻击的开放性;(2) 网络规模较大时,在网络端难于保存和维护大量的鉴权密钥。在理论分析的基础上该文给出了一种基于身份公钥的 网络端对移动台和基于哈希链的移动台对网络端的鉴权协议,所提出的协议可以有效弥补上述缺陷。

Chap认证协议的改进方案——ChapNew协议

本文首先介绍Chap协议,指出其安全漏洞,提出ChapNew协议,并对其安全性进行分析.

基于eL2TP实现VPDN

介绍L2TP协议在现阶段所存在的安全隐患,对eL2TP协议的原理进行描述,讨论控制消息和PPP-PDU的具体封装,对现有的L2TP源代码进行分析,并描述内部各模块之间的关系。在该结构上加入AD域模块、隧道认证模块、数据加密模块、Linux下伪终端的应用,从而建立完整的el2TP体系结构。并基于该el2TP协议实现VPDN,同时进行抓包分析和验证。

在线建立会话密钥身份认证协议的设计与实现

挑战-应答身份认证协议由于安全性较高,用户端运算量较小成为中小型网络应用系统十分青睐的身份认证解决方案。本文在分析、改进挑战-应答经典协议的基础上,从易于实现、符合用户使用习惯的角度,提出一种新的挑战-应答协议,并对其进行了安全性分析,在B/S模式下实现了应用。这种协议具有高安全性的同时,结构简捷,易于实现,而且能够让通信双方在线建立会话密钥,对加密随后的通信具有重要意义。

抗临时秘密指数泄露攻击的认证群密钥协商协议

为克服大部分现有的认证群密钥协商(AGKA)协议的不足,基于双指数挑战-应答数字签名(DCR签名)和BD方案,提出了具有常数轮AGKA协议.该协议除具有相关AGKA协议的安全性外,还有抗临时秘密指数泄露攻击能力,效率也有所提高.

基于大数分解的一次性身份识别协议

针对现有的身份识别协议效率不高的问题,利用大数分解的困难性和多元一次同余不定方程解的结构形式,构造了随机"询问与应答"的一个四步交互式身份识别协议.该协议符合身份证明系统的完备性、正确性、安全性和零知识性的要求,既没有被附加任何复杂性假设和用户的计算能力假设,又能做到对用户身份的一次性识别.

一个CHAP认证协议的改进方案

对CHAP(ChallengeHandshakeAuthenticationProtocol)协议进行阐述和安全性分析,针对其存在服务器欺骗、插入信道攻击等安全缺陷,提出了一个改进方案。最后分析了新协议对一些常见攻击表现出的安全性能。