A framework of hybrid authentication for link access under MIH environments

A unified hybrid authentication framework was proposed to provide proactive authentication and re-authentication for media independent handover(MIH)-based multi-wireless access.In addition,a specific protocol distributing a hierarchical key after the proactive authentication from key holder to base station has been proposed.The proposed hybrid authentication framework not only performs proactive authentication with credentials based on Chameleon hashing,which removes the authentication procedures that exchanges messages with a authentication server,but also performs re-authentication with EAP re-authentication protocol(ERP)that distributes the hierarchical key on the basis of the root key generated by the proactive authentication.

基于认证测试方法的EAP-AKA协议分析

EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)是WLAN的认证和密钥分配协议;认证测试是一种以串空间理论为基础的安全协议分析验证方法。运用认证测试方法对EAP-AKA协议的双向身份认证过程进行了分析证明,结果说明EAP-AKA能够保证移动终端和认证服务器之间的双向认证。

基于改进的Diameter/EAP-MD5的SWIM认证方法

广域信息管理(SWIM,system wide information management)采用面向服务的体系结构(SOA,service oriented architecture)提供民航信息交互与数据共享功能。在分析SWIM体系结构和基于Diameter协议的EAP-MD5应用子协议基础上,给出标准Diameter/EAP-MD5认证过程中存在的安全隐患,改进了EAP-MD5认证协议,提出基于改进的Diameter/EAP-MD5协议的SWIM用户身份认证方法,研究基于Diameter的SWIM认证服务,并在模拟的SWIM环境中对改进方法进行仿真实验和安全性分析。实验结果表明,改进的Diameter/EAP-MD5认证方法可在计算性能相当的前提下提高SWIM认证系统的安全性,为SWIM安全服务框架的构建提供保障。

基于身份密码学的EAP-AKA方案

针对3GPP R8版本中的EPS-WLAN互联网络,分析EPS-WLAN互联网络接入认证协议EAP-AKA的安全性,指出其存在的安全隐患以及对于特定攻击存在的脆弱性。在EAP协议的基础上,引入基于身份的加密和密钥协商的要素,提出基于身份密码学的改进方案。通过性能和安全性分析,证明该协议能够在不增加协议步骤和系统负担的条件下,克服EAP-AKA协议的安全隐患,提高协议的安全性。

基于IEEE 802．1x和EAP-TLS的无线局域网认证和密钥管理的研究与实现

分析了基于IEEE802.11无线局域网的安全问题。针对安全隐患,提出了基于IEEE802.1x和EAP-TLS双向认证和密钥管理的方案。详细阐述了其中最重要的两部分-基于数字证书认证和密钥产生的具体实现。分析结果表明该方案能提供可靠的基于数字证书的双向认证,可有效提高无线局域网的安全性。

支持身份隐藏的EAP-PSK协议改进

鉴于身份隐藏这一安全新需求,在分析EAP-PSK协议的基础上,剖析EAP-SIM和EAP-TTLS认证身份保密的特点,提出一种支持身份隐藏机制的EAP-PSK改进方案,并在复杂性上与EAP-TTLS进行了比较.结果表明,新协议具有安全、简单、可行、与原协议兼容的优点,有一定的实用价值.

PPP上的EAP可扩展认证协议

PPP可扩展认证协议(EAP)是PPP上的一个通用认证协议，在它之上可支持多种认证机制。文章在阐明PPP工作机制的基础上剖解了EAP在PPP上的设计与实现。

VPN安全网关IKEv2-EAP／SIM扩展研究与设计

以往安全网关的实现偏重于单一功能,且认证方式不够灵活。该文对最新IKEv2动态密钥协商机制进行研究和分析,结合EAP可扩展认证机制的优点,提出将EAP/SIM认证框架引入IKE认证体系的思路,给出实现方案,设计了基于EAP/SIM的增强型可扩展IKEv2系统。IKEv2-EAP系统以RADIUS为认证服务器实现AAA功能,使用新的IKEv2-EAP/SIM交互建立了安全的IPSec隧道,使VPN网关功能更趋灵活、强大及多样化。

针对802.1X-EAP安全认证协议的中间人攻击

基于802.1X的可扩展认证协议(EAP)是目前主流的无线网络认证协议。该文介绍802.1X、EAP及中间人攻击的相关技术,分析针对802.1X-EAP的中间人攻击流程,给出在EAP-MD5网络环境下对无线网络进行中间人攻击的框架及流程,从而证实目前无线网络设施遭受中间人攻击风险的可能性。

增强EAP-AKA协议安全性的改进方案

针对EAP-AKA协议中存在的安全问题,提出了改进方案。通过在3G和WLAN接入网络间增设共享密钥实现了两者间的相互认证,并用串空间模型和认证测试方法进行了形式化分析,通过加密传输NAI实现了对IMSI的加密保护,通过引入密钥更新机制实现了对用户和3G网络间的共享密钥的安全更新。

一种新的EAP协议及其应用

可扩展认证协议(EAP)支持多种认证机制。文章在介绍EAP工作机制的基础上,提出了一种新的EAP协议及其在可扩展因件接口 (EFI)上的应用。

3G-WLAN互联网络中EAP-AKA协议的分析与改进

3G与WLAN互连是当前研究的一个热点,EAP-AKA是其对应的认证与密钥协商协议。详细分析该协议,修正其中的安全缺陷;并利用哈希链技术和CPK算法实现重认证本地化;最后对该改进方案进行安全性分析。

基于EAP-TTLS的可信网络接入认证技术

为解决可信网络中网络访问层对客户端和服务器的双向身份认证以及完成对终端平台的完整性进行度量的任务,深入分析TNC网络访问层IF-T标准的要求和EAP-TTLS协议的结构,重点研究EAP-TTLS协议用于可信网络中的安全性和可靠性。基于TNC@FHH开源框架将EAP-TTLS协议应用于可信网络,使用Wireshark抓包工具抓取接入认证过程的报文,并对结果进行分析。

EAP-TLS协议的形式化验证研究

EAP-TLS是5G标准定义的在特定物联网环境中提供密钥服务的安全协议,然而EAP-TLS协议无法提供用户设备与网络之间的双向认证,存在设计缺陷的协议在运行时将危害系统安全,因此在协议实施之前分析其安全性,尽可能找到潜在缺陷并将其改进是所有协议必不可少的过程。文中研究了基于Proverif的EAP-TLS协议与安全属性的形式化模型,并验证了用户设备与网络之间的相互认证性、协议中安全锚点密钥KSEAF与用户身份标识SUPI的保密性等安全属性。实验结果表明,在非安全信道下EAP-TLS协议在认证性方面存在安全缺陷,用户设备对网络的认证失败。分析验证结果进一步确定了导致安全缺陷的原因,并给出了相应的攻击路径。最后,基于密码学中的非对称密钥加密与随机数,讨论了安全缺陷改进的可能性。

基于802.1x/EAP的WLAN安全认证机制

目前飞机与地面机场之间WLAN的应用部署日益广泛,但对其安全接入通信却没有提过较为合理的设计和规划,由WLAN引起的安全漏洞给飞机与地面之间信息传递带来很大的隐患。主要介绍EAP认证方法以及基于802.1x/EAP无线局域网的安全认证机制。

EAP与Diameter结合的认证机制设计与实现

对用户进行认证是目前广泛使用的一种保障网络安全的有效手段。为了满足无线移动环境下不同用户的认证需求,文章基于Diameter协议和EAP协议设计了一种支持多种认证方法的认证机制,该认证机制具有良好的易扩展性,并且易于对不同认证过程进行管理。通过应用测试,认证性能良好。

基于改进EAP的无线局域网络安全身份认证的研究

为了增强无线局域网络的安全性,文中利用改进EAP协议的方法提出一种适用于无线局域网的身份认证方案。通过分析无线局域网的安全隐患与传统EAP协议的认证原理,结合IEEE802.1X标准和EAP-SIM协议的流程,文中设计了基于改进EAP协议的EAP-TTLS混合认证协议,同时增加AT_CLIENT_CHECK属性,从而避免泄露用户的IMSI、TMSI和认证三元组信息。综合安全性测试分析结果表明,利用实际的网络抓包分析工具,所提出的EAP-TTLS混合认证协议能够有效避免用户IMSI信息的泄露。

基于802.1x的校园网身份认证系统的设计与实施

校园网应用越来越多,对网络安全性、计费以及实名制的需求也日益突出,而传统认证方式在校园网中存在不可弥补的缺陷.因此,通过对IEEE的基于802.1x协议认证方式的分析以及和其他传统认证方式进行比较和实际调研,最后采用基于802.1x的解决方案实施校园网身份认证系统.

强健安全网络中的中间人攻击研究

中间人(MitM)攻击是强健安全网络(RSN)面临的一类严重安全威胁。参照802.1X-2004认证者和申请者状态机模型,从RSN关联建立过程的整体视角,对RSN中MitM攻击进行系统性分析。指出现有关于RSN中MitM攻击问题研究方面存在片面性,提出RSN中一个MitM攻击的框架和有效攻击条件,并给出该框架下一个有效攻击实例。分析结果表明,RSN采用强双向认证方法时可抗MitM攻击,未采用强双向认证方法时易遭MitM攻击。

IEEE 802.1x协议的认证机制及其改进

在分析IEEE802.1x协议认证机制的基础上,针对IEEE802.1x缺乏源真实性和完整性保护的缺陷,提出IEEE802.1x协议认证机制的改进方案(AIP)。该方案通过在EAPOL包中增加了一个Protection字段,可弥补IEEE802.1x的中间人攻击和会话劫持等缺陷。经性能分析,该方案相对原方案而言,具有源真实性和完整性保护等优点。