完美前向安全的匿名会议密钥分配协议

为了克服当前大多数匿名会议密钥建立协议都只能提供部分前向安全性,不能提供完美前向安全性的缺点,利用基于身份的密码体制和双线性配对,提出一个匿名会议分配协议,在单向哈希函数(OWH)和Diffie-Hellman(BDH)假设的保护下,该协议能够抵抗被动攻击、假冒攻击和共谋攻击。同时,通过让私钥生成器(PKG)为所有的参与者分配1个随机数。研究结果表明,该协议能够提供完美前向安全性,即使所有参与者(包括会议主席)的私钥受到了威胁,之前由会议主席使用这些私钥建立并且分配的会议密钥也不会受到威胁。

一种具有前向安全的TLS协议0-RTT握手方案

针对传输层安全(TLS)协议1.3版本在握手消息的第1个flight中传输应用数据的0-RTT握手方案,传输的早期数据由于不存在身份认证,容易遭受重放、伪造以及中间人的攻击,并且不满足前向安全的问题,提出一种具有前向安全的0-RTT优化握手方案,使用Tamarin安全协议形式化分析工具对改进前、后的协议进行形式化验证,结果表明:改进方案的早期数据在原方案之上具有了前向保密的安全性质。

Sun等两个完美前向安全E-mail协议分析与改进

2005年,Sun等提出了两个完美前向安全的E-mail协议,尽管从短密钥保护的有效性来看这两个协议是安全的,但它们都不能提供密文的认证性,如果一个主动攻击者拦截或修改密文,则E-mail接受者会收到一个错误的明文。为了克服此缺点,对此两个协议作了改进,使得改进后的协议具有认证性,从而有更好的安全性和实用性。

受限环境下委托握手DTLS协议的形式化分析与改进

物联网设备有着资源受限的特性,往往处于受限的网络环境中,在这之上又面临着安全的挑战。目前常见的受限网络协议栈为CoAP-DTLS/UDP-6LoWPAN,传输层使用UDP,其安全性由DTLS协议维持。但DTLS协议作为TLS在UDP上的扩展,基于PKI连接建立的方式使其在直接应用到受限环境下会产生诸多性能上的问题。针对DTLS协议在受限环境下的性能问题,国内外的研究学者提出了诸多解决方式,包括但不限于改进加密算法、使用特定硬件、优化证书链、委托可信三方进行密钥协商(即将DTLS握手委托给第三方)。因此,对委托握手的DTLS协议使用Scyther进行形式化分析,得出其交付密钥材料时使用长期预共享密钥存在的安全问题,并提出重用TLS/DTLS协议中PRF函数的改进方式,对改进后的方法进行分析,证明了该方法能有效降低交付密钥材料时存在的风险。

基于格的身份基认证密钥交换协议

基于格理论密码体制已逐渐成为后量子领域的研究热点.身份基认证密钥交换协议在通信领域中应用广泛,具有很强的实用性.然而大多数格上构造的此类协议计算复杂度较大,并且没有实现完美前向安全性.本文基于环上带误差学习问题构造了一个格上基于身份的认证密钥交换协议.协议采用Peikert式误差协调机制实现密钥比特的均匀性,并且在系统初始化阶段不需要额外运算生成主公钥;此外,协议提供了双向认证、完美前向安全以及临时密钥泄露安全性.形式化的安全性分析和性能评估表明所提协议是安全且高效的.

标准模型下完美前向安全的基于身份认证密钥交换

一轮Diffie-Hellman密钥交换(One-Round Diff ie-Hellman key exchange,OR-DHKE)协议被认为无法实现完美的前向安全性(Perfect Forward Secrecy,PFS)。基于身份的OR-DHKE协议也是如此,现有研究仅实现了弱的完美前向安全性(wPFS)。基于Cremers等人对密钥交换协议完美前向安全性的研究,文章提出一种新的具有完美前向安全的基于身份认证密钥交换方案。文章首先提出一种较弱安全性的基于身份OR-DHKE协议π0,然后采用Cremers等人提出的SIG变换方法,将π0转化为具有完美前向安全的基于身份认证密钥交换方案π1。文章简要分析了CK、CK^+、eCK和eCK-PFS安全模型的异同,在此基础上定义了基于身份认证密钥交换协议分析的强安全模型ID-eCK-PFS。在ID-eCK-PFS模型下,协议π0和π1的安全性被规约为求解判定性BDH(Decisional Bilinear Diffie-Hellman,DBDH)问题,规约过程未使用随机预言机,实现了在标准模型下的完美前向安全性和可证明安全性。

增强的基于口令认证的高效安全智能卡方案

基于智能卡的口令认证是在非安全网络环境中保证通信安全最简单有效的认证机制之一.文章对Moon等提出的口令方案进行了安全性分析,发现存在无法抵御离线字典攻击、临时密钥泄漏攻击等问题,进而提出了一种改进的基于智能卡的远程用户口令认证方案.分析表明,该方案与类似方案相比更为安全.

构建无证书的两方认证密钥协商协议

基于无证书的认证密钥协商方案相比基于PKI的方案具有身份管理的简单性,同时相比基于身份的方案具有无密钥托管性。基于可证安全的无证书加密方案提出了一个两方认证密钥协商方案.通过与其他方案在安全性和有效性方面的比较,该方案满足更多的安全属性要求,如完美前向安全性,PKG前向安全性,已知会话相关临时秘密信息安全性和无密钥托管等安全特性,同时具有良好的计算有效性。

一种两方认证密钥协商方案的分析与改进

基于签密方案,Liu-Xu利用椭圆曲线群构造了一种高效、强安全的两方认证密钥协商协议。对Liu-Xu提出的方案进行安全性分析,指出该方案不具有强安全性。该方案不能抵抗临时私钥泄露攻击,并且方案不具有完美前向安全的特性。分析了方案不安全的原因在于传送的消息存在冗余,并在此基础上提出一种改进的方案来修正Liu-Xu的方案。

一种抗DoS攻击的轻量级密钥交换协议

在IPSec大规模部署应用下,分析了IKEv2和JFK两种现有协议安全及性能缺陷,提出了一种轻量级密钥交换协议LKE,该协议能有效减少报文交互数量,降低计算资源开销。通过经典Puzzle机制和两轮异步DiffieHellman交换,解决了抗DoS攻击与完美前向安全特性难以共存的问题。仿真结果表明,LKE对低带宽通信环境具有较强的适应性,在低于384kbps的无线链路条件下,LKE协议的收敛时间相比IKEv2和JFK分别减少了20%和10%。

一种基于身份可认证的密钥协商协议的分析与改进

对Wang等提出的一种基于身份可认证的密钥协商协议进行协议安全性分析后发现,该协议存在安全性不足,如存在冗余信息、假冒攻击和临时秘密信息泄漏攻击。为解决这个问题,对该协议进行了改进,并对改进后协议的安全属性和运行效率进行了分析。分析结果表明,改进后的基于身份可认证的密钥协商协议满足已知所有的密钥协商协议的安全属性要求,且拥有可靠的效率。

对一个无线传感器网络中的用户认证协议的分析与改进

由于传感器节点通常被部署在无人值守的远程环境之中,且这些节点的计算与通信能力十分有限,因此极易遭受外部攻击者的多种攻击,例如窃听、伪装攻击等等.采用安全、高效的认证协议(同时带密钥建立功能)是解决这些安全问题的最有效方式.文章对Li等于2018年提出的一个协议进行了安全分析,指出该协议存在的若干安全缺陷,然后提出了改进协议并分析说明新协议去除了这些安全缺陷.最后,通过与相关协议进行比较,表明改进协议在安全性和计算性能方面均具有一定的优势.