【摘要】：認證作為信息安全體系的基礎(chǔ),是保障信息系統(tǒng)安全的第一道門檻,而認證協(xié)議是在不可信的環(huán)境中保障通信實體安全地交換信息的重要手段之一。本文圍繞安全認證協(xié)議這一主線,依據(jù)不同應(yīng)用環(huán)境的特點和需求,以分別適用于單服務(wù)器環(huán)境、多服務(wù)器環(huán)境和無線傳感網(wǎng)絡(luò)為背景,研究基于不同安全要素、不同安全基礎(chǔ)和不同公鑰認證方式的認證協(xié)議,本文工作歸納如下:1.提出適用于單服務(wù)器環(huán)境下的認證協(xié)議本文充分研究當前各種單服務(wù)器認證協(xié)議中的不足和缺陷,尤其是很多方案未提供用戶匿名導(dǎo)致的一系列安全問題,針對性地提出多個解決方案,具體如下:(1)基于ElGamal密碼體制,本文為移動用戶設(shè)計了一個安全的認證協(xié)議,通過Burrow M、Abadi M和Needham R (BAN)邏輯分析證明該協(xié)議可實現(xiàn)用戶和訪問網(wǎng)絡(luò)的相互認證,并且可解決移動網(wǎng)絡(luò)中非授權(quán)實體追蹤問題。(2)基于橢圓曲線密碼體制(ECC),本文提出兩個適用于會話初始協(xié)議(SIP)的魯棒且有效的認證密鑰協(xié)商協(xié)議,所提兩種方案可實現(xiàn)在公開信道上完全不暴露任何關(guān)于計算會話密鑰信息的條件下的握手交互,特別是,不同于其他的基于智能卡的SIP認證方案,本文提出的基于智能卡的SIP認證方案能實現(xiàn)即便服務(wù)器私鑰已泄露條件下,用戶身份的匿名性。(3)在研究了 Xie Q等提出的基于混沌映射的三方認證方案后,發(fā)現(xiàn)該協(xié)議由于直接將用戶身份暴露在公開信道,導(dǎo)致敵手不僅能通過離線模式成功猜測用戶口令進而實施偽裝攻擊,而且他還能輕松恢復(fù)會話密鑰,這些安全漏洞導(dǎo)致該方案不適合在實際環(huán)境的應(yīng)用。為此,利用加強的切比雪夫(Chebyshev)半群性質(zhì),本文設(shè)計了一個適用于無線通信的三方實體間相互認證及會話密鑰協(xié)商協(xié)議,該協(xié)議不僅可以消除已有方案的安全缺陷,還具有比同類方案更多的安全屬性,并通過安全性分析和安全驗證工具仿真實現(xiàn),證明該方案可防御主動和被動在內(nèi)的各類型攻擊。因此,所提方案滿足無線環(huán)境的安全需求。2.提出適用于多服務(wù)器環(huán)境下的認證協(xié)議本文充分研究當前多服務(wù)器認證協(xié)議,發(fā)現(xiàn)很多基于雙因子的認證方案不能抵抗系統(tǒng)內(nèi)部攻擊和偽裝攻擊,很多基于三因子的認證方案只能提供部分安全屬性,為有效解決各類認證方案中的安全缺陷,提出多個對策性方案,具體如下:(1)本文設(shè)計了注冊中心直接參與認證與密鑰交換的兩個協(xié)議:方案一是基于動態(tài)身份的輕量級協(xié)議,根據(jù)性能和安全性分析,證明該方案以相對較低的計算復(fù)雜度保證抵抗偽裝攻擊、重放攻擊和內(nèi)部特權(quán)人等已知攻擊;方案二是通過研究Tasi J L和Lo N W提出的基于混沌映射多服務(wù)器認證交互協(xié)議,發(fā)現(xiàn)該協(xié)議在注冊中心對稱密鑰泄露條件下,敵手不僅可以假冒用戶侵入系統(tǒng),而且可以恢復(fù)會話密鑰,為此,本文通過引入生物特征以解決已知方案的安全缺陷,通過與相關(guān)方案功能和性能的對比表明,該協(xié)議以一個極小計算復(fù)雜度增量換取高安全特性和功能特性。(2)本文也設(shè)計了無需注冊中心參與認證的兩個密鑰協(xié)商方案:方案一是基于公鑰技術(shù)的用戶匿名協(xié)議,經(jīng)過安全性分析,該協(xié)議能抵抗用戶偽裝攻擊、服務(wù)器假冒攻擊和內(nèi)部人攻擊等多種攻擊并且能保護用戶身份和口令安全;方案二是基于三因子和哈希函數(shù)的認證方案,安全性分析證明該方案能保護用戶身份信息且與同類方案相比具有更低的計算量。3.提出適用于無線傳感器網(wǎng)絡(luò)環(huán)境下的認證協(xié)議本文針對無線傳感網(wǎng)中的認證協(xié)議,尤其是基于智能卡和哈希函數(shù)的認證方案,發(fā)現(xiàn)這類方案存在由于會話短期秘密信息的偶然泄露致使用戶憑證丟失的安全漏洞。為解決這一安全問題,本文基于對稱密碼設(shè)計了一個計算復(fù)雜度較小的認證協(xié)議,具體如下:在該方案中,以隨機用戶名與秘密值的哈希值作為對稱密鑰,通過引入時間戳和隨機新鮮數(shù)機制,在網(wǎng)關(guān)節(jié)點的協(xié)助下用戶與傳感器節(jié)點完成相互認證且協(xié)商出一個安全的會話秘密。該協(xié)議可抵抗已知特定臨時會話信息泄露攻擊、節(jié)點捕獲攻擊、模擬用戶攻擊并可保證傳感器節(jié)點匿名和可實現(xiàn)用戶不可追蹤性等安全屬性。通過可證安全分析和AVISPA仿真實驗,證明該方案確實能抵抗主動和被動攻擊。與適用于WSN的認證方案相比,本方案由于對稱密碼的引入帶來稍高的計算量,但經(jīng)過在安全屬性及通信代價方面的對比,本方案相對更安全且通信代價合理。
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2017
【分類號】：TP309

【相似文獻】

相關(guān)期刊論文 前10條

1 薛海峰;荊立夏;;認證協(xié)議的必要條件證明[J];計算機工程;2011年11期

2 田建波,徐勝波,王育民;認證協(xié)議形式分析的討論[J];西安電子科技大學(xué)學(xué)報;1998年03期

3 張勇,陳涵生,白英彩;結(jié)構(gòu)化認證協(xié)議設(shè)計方法研究[J];計算機工程;2000年12期

4 鄭東,田建波,王育民;關(guān)于BAN邏輯擴展的注記[J];電子科學(xué)學(xué)刊;2000年01期

5 楊宇光,祝世雄;一種量子認證協(xié)議的設(shè)計[J];通信技術(shù);2002年09期

6 段斌,王鍵;學(xué)生就業(yè)網(wǎng)簽約認證協(xié)議設(shè)計及分析[J];計算機應(yīng)用;2004年08期

7 吳文杰,張曉光;網(wǎng)絡(luò)查詢系統(tǒng)中認證協(xié)議的設(shè)計與分析[J];計算機工程;2005年21期

8 繆祥華;;一種分析和設(shè)計認證協(xié)議的新邏輯[J];計算機工程;2008年02期

9 高偉;李飛;劉鋒;;基于身份的非交互可否認認證協(xié)議[J];計算機工程與應(yīng)用;2008年33期

10 ;私有云用戶訪問公有云的一輪認證協(xié)議[J];科學(xué)通報;2012年19期

相關(guān)會議論文 前10條

1 石春暉;趙戰(zhàn)生;;認證協(xié)議安全分析[A];第十三屆全國計算機安全技術(shù)交流會論文集[C];1998年

2 王英俊;徐明;;無線傳感器網(wǎng)絡(luò)交叉認證協(xié)議研究與改進[A];第十七屆全國青年通信學(xué)術(shù)年會論文集[C];2012年

3 鄭重;李少華;劉亞斌;李敬東;;安全通信中的抗重播機制的研究與實現(xiàn)[A];第十八次全國計算機安全學(xué)術(shù)交流會論文集[C];2003年

4 仇細平;繆祥華;楊曉婕;;Otway-Rees認證協(xié)議的分析與改進[A];2009年研究生學(xué)術(shù)交流會通信與信息技術(shù)論文集[C];2009年

5 于秀蘭;丁曉誠;李影;英春;劉東;周彬;魏冰;;電信行業(yè)數(shù)據(jù)業(yè)務(wù)中Web Service的安全[A];中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2003年年會論文集[C];2003年

6 朱紅儒;焦文娟;齊e，

本文編號：2545377