双向认证

摘要： 当前用户登录网页安全协议认证方法难以抵御临时密钥泄露攻击,导致用户登录不安全,为此提出了一种基于多重密钥的用户登录网页安全协议认证解决方案。根据用户登录网页的过程,作出用户登录网页的安全协议初始化假设,得到用户的初始密钥,构建密钥阵列,设计双向认证流程,避免读写标签的非法使用。配置服务器端的公共密钥,确定用户和密钥一一对应。通过安全命令解释设计用户认证过程,避免随机数解密错误,抵制临时密钥泄露攻击。实验结果表明,该方法在重传攻击和跟踪攻击下,登录请求指令随机数A与系统接收到的指令随机数B一致,说明用户登录网页安全。

摘要： 射频识别系统中电子标签与读写器间基于无线链路交互数据信息,因无线链路自身具有的开放性,使得两者间交互的数据信息易被第三方人员获取,存在一定的安全隐患。为解决该安全问题,文中给出了一种基于伪随机数发生器的认证协议。协议摒弃经典加密算法对信息加密,而是采用伪随机数发生器实现对信息的加密,伪随机数发生器的实现具备时钟周期数少、门电路总数少等优势,能够降低射频识别系统的整体成本;协议为能够有效保持交互数据信息的新鲜性,在数据加密过程中均混入随机数,随机数由随机数产生器产生,具有互异性、不可预测性等优势,在保持信息新鲜性的同时,亦可抵抗第三方人员发起的诸如定位攻击、重放攻击等攻击。将该协议与其他经典协议进行安全及性能对比,表明该协议在可抵抗假冒攻击、异步攻击等常见类型攻击时,还具备较低的成本开销。

摘要： 针对无人机通信中密钥配置的安全性和轻量化需求,面向不同计算性能的无人机系统分别提出了基于椭圆曲线密码算法的认证和密钥协商协议DroneSec,以及基于对称密码算法的认证和密钥协商协议DroneSec-lite。所提协议实现了无人机和地面站之间的双向身份认证和通信密钥配置功能,其中DroneSec协议通过结合使用ECDH(Elliptic-Curve Diffie-Hellman)和消息认证码,在保证前向安全性的情况下减小了计算开销,适用于较高性能的计算平台;DroneSec-lite协议仅使用了对称密码算法,因而计算开销极低,适用于低性能平台。使用安全协议形式化验证工具ProVerif验证了协议在加强的Dolve-Yao威胁模型下进行双向认证和密钥配置的安全性,并通过仿真环境实验对协议的性能进行了对比测试和分析。结果显示,协议的计算、通信开销和安全性优于已有协议。

摘要： 针对现有方案中复杂安全原语不适合资源受限的物联网设备的问题,基于物理不可克隆函数(PUF)为物联网设备设计了一种轻量级高效匿名身份认证协议。通过形式化安全模型和ProVerif协议分析工具,证明该协议满足信息传输机密性、完整性、不可追踪和前向/后向保密等13种安全属性。与近几年认证方案的性能对比分析表明,该协议在设备端与服务器端的计算开销分别为0.468 ms和0.072 ms,设备存储开销与通信开销分别为256 bit和896 bit,高度适用于资源受限的轻量级物联网设备。

摘要： 针对RFID系统存在的无线信道通信安全以及隐私保护问题,提出一种名为随机运算的轻量级技术.它可以使标签在公共信道通信时保持匿名,并通过洗牌算法来决定秘密值更新时使用的轻量级运算.结合随机运算方法,提出了一个支持三方验证的轻量级RFID认证协议RLMP3.标签只需要执行不同轻量级运算就能够更新假名.同时使用物理不可克隆函数来增加标签的伪造难度和生成假名的不可预测性.服务器能够通过二次剩余难题验证终端设备身份.该协议实现了服务器、阅读器和标签之间的互相认证.理论分析和仿真测试表明,RLMP3方案能够在实现3个主体互相认证的同时保护标签的隐私,并且标签的存储开销、标签和阅读器的在线计算以及通信开销都较低,适用于资源受限的RFID应用场景.

摘要： 在运用射频识别系统过程中,电子标签与读卡器间采用无线信道方式进行数据交换。无线信道固有的开放性使得数据交换过程时易被攻击者窃听,存在一定的安全隐患。为了解决该安全隐患问题,设计一个双向认证算法,用于保护电子标签与读卡器间数据交换安全性。算法为适用于低成本RFID系统,采用变形反比例函数对传送信息进行加密,变形反比例函数实现时巧妙结合加密参数自身汉明权重值,在减少信息引入的同时,亦可增加算法安全性能。文章从安全性及性能分析等多角度与已知算法进行比较,文中提出的算法具备较高的安全性能及低成本计算量特征。

摘要： 针对文献[16]提出的认证协议进行安全性分析,得出无法抗暴力破解攻击的不足,在该协议框架基础上,设计一个改进的协议。改进的协议为能够抵抗穷举攻击,在信息进行加密过程中确保至少两个参数对于攻击者来说是不知晓的,同时只传送密文,以此确保隐私信息的安全性;结合置换交叉合成运算对信息加密,该创新型的加密算法采用位运算方式实现,依据加密参数自身汉明重量值的不同,进行相对应的不同操作,从而增加攻击者的破解难度。对协议进行安全和性能分析,改进的协议在安全角度优于其他类型协议,具备较高的安全需求,同时具有计算量低的特征。

摘要： 针对传统S/Key协议容易遭受伪服务器攻击和小数攻击等安全隐患,文中基于低计算复杂度的DES和MD5算法,提出一种具备抵抗多种安全攻击能力的多因素身份认证方案。首先,分析传统S/Key认证协议的具体流程,并阐明其在网络数据交互过程中的不足;再基于此,利用随机数生成器、DES算法和MD5算法改变用户隐私信息的传输方法,深度改进S/Key协议的用户注册和服务器认证方法,实现数据交互中用户和服务器之间的双向认证,有效地增强身份认证系统的保护机制与安全性能。相关仿真及安全性分析结果表明,与传统S/Key协议相比,基于改进S/Key协议的身份认证方案能够抵抗伪服务器攻击和小数攻击,具备更加优异的安全性能和算法执行效率。

摘要： 针对现有的物联网设备安全接入方案不适用于资源受限的物联网设备的问题,提出一种基于tPUF的物联网设备安全接入方案.利用物理不可克隆函数技术(Physical Unclonable Function,PUF),物联网设备不需要存储任何秘密信息,实现设备与认证端的双向认证以及协商会话秘钥;利用可信网络连接技术(Trusted Network Connect,TNC),完成认证端对物联网设备的身份认证、平台身份认证、完整性认证.安全性分析表明,方案能够有效抵抗篡改、复制、物理攻击等.实验结果表明,相较于其他方案,该方案明显降低了设备的资源开销.

摘要： 为保证智能终端和企业内网数据中心的双向通信安全,以数字签名和国密算法SM2为基础,提出一种终端接入认证协商协议.给出安全风险和效率分析,并利用BAN逻辑进行形式化分析.结果表明,该协议在终端和企业内网数据中心实现双方身份认证,协商出一个用于后续加密通信的共享密钥,具有较高的安全性.

摘要： 针对在主流网络硬盘中简单的用户名密码易在网络层被截获,用户无法甄别网络硬盘服务器的合法性以及用户必须手动断开网络硬盘连接等不足,设计并实现了虚拟桌面环境双向认证网盘系统.系统采取指纹识别型USB Key作为双向身份认证介质,实现对用户终端和服务器之间双方身份的严格认证,并由守护进程对USB端口进行轮询.待双方均成功认证后,虚拟桌面客户端读取USB Key中的身份信息并通过无缝传递实现对网盘的自动挂载.研究结果表明本设计能够解决虚拟桌面环境下的数据集中管理所面临的一系列安全问题.

摘要： 利用有向签名的方法，结合零知识证明的思想，在ELGamal签名机制的基础上提出了一种新型的基于身份的双向认证方案．只有特定的双方用户，不必暴露自己的秘密信息就可以实现双向身份认证．该方案具有良好的安全性和较低的计算复杂度。

摘要： 针对现有复合型支付协议AECPP的单向身份认证中易受匿名攻击,支付子协议的完整性不能有效保证这些不足,提出了一种新的复合型电子支付协议.新协议实现了用户与服务供应商之间的双向认证,通过引入Hash函数和经由第三方信息的转发进一步提高了支付子协议的完整性和保密性.通过SVO逻辑和Kailar逻辑形式化分析验证可知,新的复合电子支付协议满足双向认证性、可追究性和公平性.

摘要： 可信网络连接是在终端接入网络前,对终端的可信状态进行验证,保证终端在接入网络之前是可信的.可信网络连接支持802.1x技术,用于实现基于端口的访问控制.802.1x利用可扩展认证协议EAP作为它的认证框架,802.1x采用的EAP认证方式包括EAP-MD5,EAPPEAP,EAP-TLS、EAP-TTLS等,其中EAP-TLS是一种基于证书的扩展认证协议.本文设计了基于EAP-TLS认证方式的可信网络连接模型,使用双方平台的AIK证书进行双向认证,并且增加了平台的完整性验证,实现了使用可信网络连接进行网络访问控制的能力.

摘要： 针对当前安全防护方案在应对USB硬件木马等攻击、窃密技术方面的不足,设计了一种与设备种类无关的USB安全连接方案.方案通过在设备识别过程中进行双向认证与密钥协商,在数据发送至总线前进行加解密,实现了独立于设备种类的USB接入与传输安全.实验结果表明,方案可为信息系统构建安全封闭的USB连接,解决因USB接口引入的安全隐患.

摘要： RFID标签在其生命周期内往往要经历多个所有者.为保护标签所有权转换过程中信息的安全性,提出了一种带有转换开关的所有权转换协议.在该协议中,标签和所有者共享两个密钥,分别用于进行认证通信和所有权转换.通过设置转换开关,达到允许所有权转换和抵御去同步化攻击的目的.采用GNY逻辑对协议进行了分析,分析结果表明,该协议能提供双向认证,抵御重放攻击、中间人攻击和去同步化攻击,并能保护标签信息的前向安全和后向安全.

摘要： 传感器网络中的节点存在由于能量耗尽或恶意攻击而丧失作用的威胁，因此需要新节点的加入。利用Bloom Filter技术，提出了一种访问控制协议。本协议不仅便于实现新节点、旧节点的双向认证和密钥协商，而且便于实现节点的加入与撤消。通过性能分析和安全性分析说明了该协议的有效性。

摘要： 本文针对无线用户接入认证的安全问题,提出了一种适用于基于HMIPv6的无线Mesh网络的基于椭圆曲线公钥自认证体制的安全接入认证机制。该方案实现了Mesh用户域间域内切换时与接入网络的双向认证,消除了对公钥证书的依赖,并完善了密钥管理机制。rn 最后通过安全性分析与性能评估表明,该方案足够安全且比现有的方案在减小切换延时与信令开销方面更有效。

摘要： TNC架构在终端接入网络前对终端的平台身份和平台环境进行可信认证，保证了接入终端的可信，但这种可信认证存在单向性的局限，无法保证网络服务器的可信。EAP-TLS是802.1x中一种基于证书的扩展认证协议，支持双向认证机制。论文在分析TNC架构和EAP-TLS双向认证机制基础上，设计了一种基于EAP-TLS的可信网络连接双向认证方案，方案设计能够对终端和服务器的平台身份、平台完整性和平台可信环境进行双向认证。在FHH@TNC开源架构搭建的可信网络环境上实现了客户端与服务器之间双向可信认证方案，并进行了方案测试，证明了方案的正确性。

摘要： 结合身份密码体制,提出了一个基于身份和地理位置信息的异构传感器网络(HSN)节点间的双向认证及密钥协商方案.不同性能节点之间采用不同的协议完成身份认证和密钥建立,充分发挥了高性能节点的能力,降低了低性能节点的能耗.该方案具有完美前向保密性和主密钥前向保密性,具有较好的抗节点伪造、节点复制和女巫攻击能力.分析与仿真表明,该方案具有较好的安全性.

摘要： 本发明涉及通信安全技术领域，尤其涉及一种基于CPK标识密钥的双向认证系统及双向认证方法。该系统包括第一终端，用于将第一终端ID发送至密钥管理装置；还用于进行复合，得到第一终端密钥；计算得到第二终端公钥；生成身份认证信息进行验证，若验证通过，则生成会话密钥与第二终端进行通信；第二终端，用于将第二终端ID发送至密钥管理装置；还用于进行复合，得到第二终端密钥；计算得到第一终端公钥；生成身份认证信息进行验证，若验证通过，则生成会话密钥与第一终端进行通信；密钥管理装置，用于计算第一终端标识密钥和第二终端标识密钥；第一终端和第二终端均包含有NB‑IoT模组进行信息传输。本发明具有安全可靠的优点。

摘要： 本申请提供一种终端应用与安全认证平台的双向认证方法及系统，该方法包括：判断终端应用是否已在安全认证平台注册，若是，则执行认证过程，若否，则执行注册过程；所述认证过程包括：T1,安全认证平台向终端应用发送认证数据；T2，终端应用将认证数据作为认证请求指令的数据域向安全模块发送认证请求指令；T3，安全模块接收到认证请求指令后对认证数据进行验证，验证成功后，则执行下一步；否则，验证失败；T4，安全模块向终端应用发送认证响应指令；T5，终端应用将认证响应指令的数据发送给安全认证平台，T6，安全认证平台对该数据进行验证。本申请提高了交易的安全性，实现了免密登录，交易更加方便快捷。

摘要： 本发明公开了一种可双向认证的CPU卡门禁读卡器的安全认证方法，此认证方法专门针对门禁系统应用的需求特点设计，简化了读卡器与CPU卡之间的认证步骤，同时实现了CPU卡和读卡器间的双向认证模式，大大提高了安全性，并且把卡复制的技术难度大大提高，使用了多组密钥随机选择加密保护模式，大大降低了密钥暴力破解的风险；同时简化了认证读取卡门禁号的步骤，利用卡复位信息，将认证过程简化为一组交互指令。

摘要： 本发明公开了一种三方认证方法、装置及支持双向认证的智能卡，三方认证方法包括：终端与智能卡之间进行认证；终端与智能卡之间的认证通过后，终端向管理平台报告终端与智能卡的绑定关系，并向管理平台请求对该绑定关系进行认证；管理平台对终端与智能卡的绑定关系进行认证，若绑定关系认证通过，则判定三方认证通过，否则，判定三方认证未通过。采用本发明，使得终端和智能卡的安全都得到了保证，同时终端和智能能卡的绑定关系能够被动态的认证，在管理平台侧具有对终端和卡设备的控制管理权，便于运营商开展自己的业务，也保证了开展物联网业务的终端和智能卡的专用性和安全性。

摘要： 本发明涉及通信技术领域中一种认证服务器及网状网中双向认证的方法及系统。所述认证服务器包括：信任度分发模块，用于根据接收到的请求认证的节点信息确定所述节点的安全等级，并在认证成功后产生信任度时戳，签名后连同签名算法标识下发给所述请求认证的节点；节点状态检测模块，用于检测各节点是否受到攻击；信任度降低/剥夺模块，用于在接收到断开消息或节点受到攻击后降低/剥夺节点的信任度；信任度管理模块，用于存储Mesh网络中所有认证成功的节点的用户身份信息以及AS认可的信任度、签名和时间戳信息。本发明实现了Mesh网络中各节点可以基于信任度来选择关联节点，并通过验证关联节点反馈的信任度签名一次实现双向认证。

摘要： 本发明涉及通信安全技术领域，尤其涉及一种基于CPK标识密钥的双向认证系统及双向认证方法。该系统包括第一终端，用于将第一终端ID发送至密钥管理装置；还用于进行复合，得到第一终端密钥；计算得到第二终端公钥；生成身份认证信息进行验证，若验证通过，则生成会话密钥与第二终端进行通信；第二终端，用于将第二终端ID发送至密钥管理装置；还用于进行复合，得到第二终端密钥；计算得到第一终端公钥；生成身份认证信息进行验证，若验证通过，则生成会话密钥与第一终端进行通信；密钥管理装置，用于计算第一终端标识密钥和第二终端标识密钥；第一终端和第二终端均包含有NB‑IoT模组进行信息传输。本发明具有安全可靠的优点。

摘要： 本申请提供一种终端应用与安全认证平台的双向认证方法及系统，该方法包括：判断终端应用是否已在安全认证平台注册，若是，则执行认证过程，若否，则执行注册过程；所述认证过程包括：T1,安全认证平台向终端应用发送认证数据；T2，终端应用将认证数据作为认证请求指令的数据域向安全模块发送认证请求指令；T3，安全模块接收到认证请求指令后对认证数据进行验证，验证成功后，则执行下一步；否则，验证失败；T4，安全模块向终端应用发送认证响应指令；T5，终端应用将认证响应指令的数据发送给安全认证平台，T6，安全认证平台对该数据进行验证。本申请提高了交易的安全性，实现了免密登录，交易更加方便快捷。

摘要： 本发明公开了一种可双向认证的CPU卡门禁读卡器的安全认证方法，此认证方法专门针对门禁系统应用的需求特点设计，简化了读卡器与CPU卡之间的认证步骤，同时实现了CPU卡和读卡器间的双向认证模式，大大提高了安全性，并且把卡复制的技术难度大大提高，使用了多组密钥随机选择加密保护模式，大大降低了密钥暴力破解的风险；同时简化了认证读取卡门禁号的步骤，利用卡复位信息，将认证过程简化为一组交互指令。

摘要： 本发明提供了一种认证终端与主机之间的双向认证方法，包括：主机通过识别认证终端中的密钥信息，以验证认证终端的身份；认证终端通过识别主机中的部分或所有硬件标识，以验证主机的身份。实施上述方法的装置，包括主机与认证终端，主机中包括：用于读取认证终端密钥信息的读取模块，用于存储密钥信息的主机数据库，用于将密钥信息与数据库中存储的密钥信息进行比较的判断模块；认证终端主要包括：用于读取主机硬件标识的读取模块，用于存储主机中硬件标识与密钥信息的认证终端数据库，用于将读取到硬件标识与认证终端数据库中存储的硬件标识进行比较的判断模块。本发明无需运用大量的加密算法及逻辑算法，可使双向认证过程变得更为简便。

摘要： 本发明公开了一种三方认证方法、装置及支持双向认证的智能卡，三方认证方法包括：终端与智能卡之间进行认证；终端与智能卡之间的认证通过后，终端向管理平台报告终端与智能卡的绑定关系，并向管理平台请求对该绑定关系进行认证；管理平台对终端与智能卡的绑定关系进行认证，若绑定关系认证通过，则判定三方认证通过，否则，判定三方认证未通过。采用本发明，使得终端和智能卡的安全都得到了保证，同时终端和智能能卡的绑定关系能够被动态的认证，在管理平台侧具有对终端和卡设备的控制管理权，便于运营商开展自己的业务，也保证了开展物联网业务的终端和智能卡的专用性和安全性。