基于一次性口令技术的远程安全访问

针对远程安全访问中的用户鉴别问题，本文提出利用一次性口令认证产生的散列结果作为IKE协议使用的共享密钥，然后将该散列结果进行再散列后作为一次性口令计算结果，安全网关则采用相同的运算步骤，如果安全网关计算的一次性口令结果和用户传来的一次性口令相同，则安全网关将共享密钥加载到安全网关中进行安全关联的协商。此方法成功解决了对于大量远程用户的共享密钥分配问题，同时该方法不对一次性口令的安全性产生任何影响。     

跨域基于口令认证的密钥交换协议的分析与改进

由于网络中存在安全问题,通信双方必须在通信前进行身份鉴别和密钥交换.跨域基于口令的认证密钥交换协议(C2C-PAKE)利用同一域间客户与服务器问预先共享的口令,使分布在不同域中持有不同口令的两个用户可以协商并分配一个共享的会话密钥.描述一个跨域C2C-PAKE协议,给出协议的交互过程,分析其安全性及其可能遭受的两种攻击,并给出对应的改进方案.     

基于口令的远程身份认证及密钥协商协议

基于口令的身份认证协议是研究的热点。分析了一个低开销的基于随机数的远程身份认证协议的安全性,指出了该协议的安全缺陷。构造了一个基于随机数和Hash函数、使用智能卡的远程身份认证和密钥协商协议：PUAKP协议。该协议使用随机数,避免了使用时戳带来的重放攻击的潜在风险。该协议允许用户自主选择和更改口令,实现了双向认证,有较小的计算开销;能够抵御中间人攻击;具有口令错误敏感性、口令的主机非透明性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。     

基于身份加密的图像口令认证方案

基于对称密钥的认证协议需要通信双方拥有共同的密钥,共享密钥的更新存在安全问题。针对上述问题,提出一个以数字信封技术注册图像口令的图像口令认证方案,利用基于身份加密算法的密钥分配协议解决共享密钥的更新问题,采用动态图像序列的登录方式抵抗肩窥攻击,且用户可以自由选择图像口令。理论分析结果证明,该方案可以抵抗重放攻击等常规攻击,并节省通信带宽。     

IPsec协议的研究和分析

IPsec设计的目的是通过身份鉴别、数据加密和数据完整性保护,使端对端用户完成安全的通信。IPsec也成为构建VPN的一个基本协议。IPsec的体系结构随着对安全问题的探索而变得越来越庞杂。文章对IPsec的框架体系进行了研究,并分析了各个部分引入的安全问题。     

基于混沌映射的用户匿名三方口令认证密钥协商协议

在基于混沌的三方口令认证密钥协商协议中,用户通过低熵的口令实现相互认证和共享会话密钥,以避免在身份认证过程中公钥基础设施或存储用户长期密钥的安全威胁。通过分析Lee提出的基于混沌映射的口令认证密钥协商协议,发现其协议不能进行口令变更,而且仅适用于用户和服务器之间的两方通信。为了改进此方案,提出两个基于切比雪夫混沌映射的用户匿名三方口令认证密钥协商协议,包括基于时钟同步的密钥协商方案和基于随机数的密钥协商方案。其中基于时钟同步的用户匿名三方口令认证密钥协商协议通信量少,基于随机数的用户匿名三方口令认证密钥协商协议更容易实现。两个方案的优点是用户仅选择一个简单的口令进行相互认证和密钥协商,服务器不需要再保护用户口令表,避免了口令相关的攻击,而且在相互认证过程中用户使用临时身份和哈希函数,实现用户匿名性,在增强协议安全性的同时,减少了通信过程中消息的数量,提高了协议的执行效率,具有完美前向安全,并用BAN逻辑证明了其安全性。     

基于PKI体系的跨域密钥协商协议

基于口令的跨域密钥协商协议和Kerberos协议无法抵抗口令猜测攻击,在金融、航天等通信安全需求高的场所,需要一种更有效的协议来保证通信安全。给出一种新的基于PKI体系的跨域密钥协商协议,采用公钥算法保证数据传输的安全,结合使用Diffie-Hellman协议生成会话密钥。协议有效地解决了利用预置共享密钥参与加/解密实施中间人攻击,以及Kerberos弱口令导致的攻击者可以实施口令猜测攻击的问题。跨域通信的公钥信息仅存储在各自域认证服务器,域内用户不需要配置跨域服务器的公钥信息,降低了配置复杂度、域内用户和域认证服务器之间密钥管理的复杂性,同时提高了域服务器鉴别身份的能力和信息机密性,使其免疫多种攻击,具有良好的前向安全性和扩展性。     

基于口令的认证密钥交换协议

提出一种基于(t, n)门限秘密共享技术的分布式口令认证密钥交换方案。用户口令的验证密钥通过秘密共享方案在服务器组内进行分配,验证任务需要t个服务器协调来完成,任意t-1个服务器合谋无法获得诚实服务器关于口令验证的任何信息。动态生成每个服务器的局部密钥,保证了方案的前向安全性。通过身份认证的各用户之间以对服务器组保密的方式交换会话密钥。该方案在DDH假设下被证明是安全的。     

Kerberos协议的安全性增强方案

身份认证是网络安全的基础.针对s/key协议的安全缺陷,构建了基于ECC数字签名链的一次性口令认证协议EOTP.利用一次性口令认证协议EOTP和对称密钥体制AES,针对Kerberos协议的安全缺陷,给出了一个改进的Kerberos协议.经过分析对比,改进的Kerberos协议具有更好的安全性.     

基于椭圆曲线的加密密钥交换协议

加密密钥交换协议(EKE)的目的是利用安全性低的口令协商安全性高的密钥,进而利用密钥对以后的通信进行加密或身份认证,从而实现安全通信.基于验证元的EKE是针对服务器泄露攻击问题提出的.本文基于椭圆曲线密码系统的特点,给出了一个基于验证元的3EKE,该协议中,服务器通过口令实现对用户的认证;协议能够抵抗服务器泄露等攻击,...     

一种使用扩展混沌映射的基于生物特征密钥协商协议

认证密钥协商协议是两个或多个用户产生一个共享的安全会话密钥.在开放的网络中,用户可以使用共享的会话密钥加密/解密消息达到安全通信.近来,基于生物特征和口令的远程认证方案得到研究者的广泛关注.受到切比雪夫映射的半群特性和基于混沌映射的密钥协商协议启发,本文提出一种使用扩展混沌映射的基于生物特征密钥协商协议.新协议没有采用模指数运算或者椭圆曲线的点乘运算.安全性分析表明,新协议具有显著特征并且能抵抗各类攻击,包括特权用户攻击,重放攻击,口令猜测攻击等.性能分析表明,与其它相关协议比较,新协议的计算复杂度较低.     

基于USB Key身份识别在VPN中的研究与实现

利用现代计算机都带有USB接口的特点,采用USB密钥管理器进行身份识别登录VPN．能够安全存储私钥、证书、口令等机密信息,私钥的产生、加密、解密均在密钥管理器完成,与传统方法相比大大提高了安全性。     

有效的口令认证的三方密钥交换协议

对于口令认证的密钥交换协议的安全性要求,提出一种口令认证的三方密钥交换协议,利用服务器存储客户端口令的验证值、双线性对与基于身份加密算法等内容进行协议的设计,并对协议进行了安全性和效率的两个方面的分析。分析表明,所提出的协议具有口令认证的三方密钥交换协议的安全属性要求,也具有较好的效率。     

标准模型下网关口令认证密钥交换协议的通用框架

网关口令认证密钥交换协议允许用户和网关在服务器的协助下建立起一个共享的会话密钥.网关口令协议适用于无线通信环境,如GSM和3GPP等.已有的网关口令认证密钥交换协议大多缺乏严格的安全证明,或者是在随机预言模型下证明安全的.该文采用模块化的设计方法提出了在标准模型下构造网关口令协议的通用框架.通用框架可以实现双向认证并且能够抵抗不可检测在线字典攻击,因此具有更强的安全性.利用DDH假设、二次剩余假设和N次剩余假设对通用框架进行实例化可以得到不同的标准模型下可证明安全的网关口令协议.     

实现IPsec和SSL一体化的VPN

为了保障VPN传输私有数据的安全性,需要特定的安全技术用于创建和维护VPN网络。目前有几种安全技术得到了较广泛的应用,每种技术都有自己的优点,同时也存在一定的不足。本文对基于IPSec协议的VPN和基于SSL协议的VPN技术进行对比,探讨它们之间的区别,以及各自的适用场所,提出IPsec和SSL一体化实现VPN远程访问的方案。     

实现IPsec和SSL一体化的VPN

为了保障VPN传输私有数据的安全性,需要特定的安全技术用于创建和维护VPN网络.目前有几种安全技术得到了较广泛的应用,每种技术都有自己的优点,同时也存在一定的不足.本文对基于IPSec协议的VPN和基于SSL协议的VPN技术进行对比,探讨它们之间的区别,以及各自的适用场所,提出IPsec和SSL一体化实现VPN远程访问的方案.     

随时随地建安全通道——SafeNet iGate利用SSL加密与双因素身份认证

1月4日获悉,SafeNet推出的iGate SSL VPN利用SSL加密隧道与双因素身份认证机制,通过互联网和任何标准的Web浏览器,可以为用户提供访问公司内部网络或应用程序的远程接入服务。基于SSL协议的iGate SSL VPN提供了比IPSec VPN更好的安全性、易用性和经济性,可以在几个小时内完成安装,无需对应用程序和远程客户端进行修改或特殊配置。iGateSSL VPN提供从应用程序到桌面浏览器之间的保护,以及应用层网络连接。只有应用层数据才能通过过滤进入系统内部,远程访问者能够通过浏览器访问企业的核心应用。利用iGate SSL VPN,用户可以…     

对两个口令认证密钥交换协议的安全性分析

口令认证密钥交换协议使得仅共享低熵口令的用户可以通过不安全的信道安全地协商出高熵的会话密钥,由于实用性较强受到了密码学研究者的广泛关注。对最近在“标准模型下高效的基于口令认证密钥协商协议”一文中提出的协议以及在“基于验证元的三方口令认证密钥交换协议”一文中提出的协议进行了分析,指出这两个口令认证密钥交换协议都是不安全的,难于抵抗离线字典攻击,进一步分析了原协议设计或安全性证明中被疏忽之处。     

一种无线传感器网络用户认证与密钥协商协议

随着无线传感器网络的发展,外部用户可以直接访问传感器内部节点获取信息,因此如何认证外部用户的身份,只允许授权用户获取节点数据,保证传输数据的保密性和完整性,已成为当前无线传感器网络研究的热点问题.本文基于用户口令和智能卡提出一个无线传感器网络用户认证与密钥协商协议,协议中采用哈希和异或运算实现主体的身份认证和密钥协商功能.为了分析协议的安全性,本文扩展了串空间理论,构造了分析无线传感器网络认证与密钥协商协议的形式化方法,证明了协议的安全性.最后,文中分析了协议的执行效率,并与同类协议进行了比较.     

SSL VPN技术及应用研究

安全套接层协议(SSL)是用来保障数据安全传输的协议,SSL VPN是采用SSL协议来实现远程接入的一种VPN技术,近年来在企业网中得到了广泛应用。文中分析了SSL VPN的组件,对SSL VPN的关键技术进行了研究,针对企业外用户访问企业网内部资源所面临的问题,提出了通过SSL VPN实现安全接入的方案。通过SSL VPN的安全接入,企业网用户在接入Internet的任何地方都可以方便、安全地访问企业网资源,有助于企业提高生产力,提高企业的信息安全性,同时也可以降低企业的管理和维护成本。