后量子前向安全的可组合认证密钥交换方案

随着后量子时代的逼近,网络通信安全要求会话密钥具有针对量子计算攻击的前向安全性,而后量子的公钥基础设施尚未建立,采用现有公钥密钥系统与后量子密钥交换相结合的混合密码系统势在必行.以DHKE-like(Diffie-Hellman key exchange-like)协议为基础,结合签密方案,提出一种通用可组合的认证密钥交换(authentication key exchange,AKE)方案——GC-AKE.GC-AKE的基本思路是采用签密方案对DHKE-like中的临时公钥进行签密,实现实体的相互认证和密钥协商.采用签密机制的主要目的是为了实现GC-AKE方案的完美前向安全性,这要求签密机制满足强不可伪造性.提出一种基于椭圆曲线密码的基于身份签密方案,结合基于环上误差学习问题的DHKE-like协议,提出一种GC-AKE方案实例.定义了能模拟完美前向安全性的wAKE-PFS模型.在wAKE-PFS模型下,GC-AKE方案的安全性被规约为求解DDH-like(decision Diffie-Hellman-like)问题,以及破解基于身份签密的选择密文安全性(indistinguishability against chosen ciphertext attacks,IND-CCA)和强不可伪造性(strong existentially unforgeable under adaptive chosen messages attacks,SEUF-CMA).分析表明:GC-AKE方案实例的计算和通信开销都相对较低,同时实现了会话密钥的完美前向安全性及后量子的前向安全性.

DH密钥体制在VoIP通信中的应用

随着通信网络与计算机技术的飞速发展,通信业务也逐渐多样化。Vo IP逐渐成为当前通信网络发展的主流,DH密钥协商体制作为保证Vo IP网络通信安全的重要技术越来越受到重视。首先介绍DH密钥协商体制的基本原理,分析了其在Vo IP通信系统中应用所存在的安全隐患和可能遭受的攻击,针对不用应用需求提出了两种解决方案,有效解决DH密钥体制在合法身份认证方面的缺陷,提高了Vo IP通信系统中密钥协商的安全性,具有一定的实用价值。

一种适用于物联网的群组接入认证协议

无线局域网与3G网络互联可作为物联网业务的承载。针对现有接入认证方案中的安全和群组通信问题,提出一种基于可扩展身份验证协议认证框架的群组接入认证协议。在初始化和注册阶段完成设备群组的建立,在认证和密钥协商阶段实现设备的安全接入。与传统EAP-AKA协议相比,该协议采用基于椭圆曲线密码体制的Diffie-Hellman密钥交换协议以保证前向安全性,通过先到设备完成群认证向量的获取,并与后来者共享认证的方式,实现群组认证功能并提高认证效率。分析结果表明,该协议提供相互认证并能抵抗多种类型的攻击,有效减少了群组认证开销,可满足物联网的业务要求。

一种WLAN Mesh网络漫游接入认证协议

针对WLAN Mesh网络节点漫游接入过程中现有协议的不足,通过利用EMSA(efficient mesh security association)初始认证过程中所建立的安全链路和消息认证码技术,并引入修改后的DH(Diffie Hellman)密钥交换过程,提出了一种能有效满足漫游接入性能和安全性需求的接入认证协议。该协议不仅具有基本的SK(session key,会话密钥)安全属性,还具有较小的接入时延,能够适应Mesh网络拓扑变化的特性,在完成双向接入认证过程的同时,完成了密钥的生成,并能较好地隐藏终端节点的身份信息。