基于智能卡的轻量级非平衡型口令认证方案

智能卡与口令相结合的身份认证方式既可保留使用强密钥优势,又具有使用方便的特点,是一种理想的安全双因子认证方式。当前许多公开的口令认证方案,要么需要较强的计算环境而难于采用智能卡快速实现,要么不能抵抗离线口令猜测攻击或服务端内部攻击而存在安全缺陷。提出一种非平衡型口令认证方案,基于智能卡和用户口令双因子设计,具有简便高效、口令安全、双向认证特点,能够抵御离线口令猜测攻击和服务端内部攻击,可用于满足设备开机时的安全认证需求。     

基于智能卡安全登录系统的设计

引 言 随着我国数据电子化和网络化程度的不断加深,用户登录和用户身份认证问题也愈来愈引起人们的重视。传统的身份认证机制都是建立在口令的识别基础之上的。这种以口令为基     

格方强双因子身份认证系统Gefon TM SID

GefonTM SID是对“用户名 口令”等模式的身份认证系统进行改造的身份认证与访问控制系统。该系统采用格方公司独有的专利技术——ECHAP安全身份认证协议来鉴别用户的身份,彻底消除了原有系统的以下安全隐患:口令在客户端易被猜测;口令在用户录入易被黑     

一种基于SD卡的口令认证密钥协商方案

手机恶意软件的日益泛滥对移动支付的安全性带来了巨大的挑战。现有移动支付系统中的认证机制过于依赖静态口令与短信验证码,存在较大的安全隐患。文中针对远程移动支付应用场景,提出了一种基于SD卡的口令认证密钥协商方案,在保证用户与支付系统的双向认证以及会话密钥的安全性的同时,能够抵抗口令猜测攻击、SD卡被盗攻击以及钓鱼软件攻击。     

信息安全技术讲座第3讲口令认证与口令管理

口令方式仍是当前许多计算机网络系统的安全防范措施中广泛采用的一种。然而,随着网络规模的扩大,口令管理成了系统安全提升的一个瓶颈。本文通过对目前用于用户身份认证和访问控制的口令认证机制进行分析,结合国内、国际一些先进的口令管理产品,提出一些参考性的解决方案。     

信息安全技术讲座 第3讲 口令认证与口令管理

口令方式仍是当前许多计算机网络系统的安全防范措施中广泛采用的一种，然而，随着网络规模的扩大，口令管理成了系统安全提升的一个瓶颈。本文通过对目前用于用户身份认证和访问控制的口令认证机制进行分析，结合国内，国际一些先进的口令管理产品，提出一些参考性的解决方案。     

海星动态口令身份认证系统

由西安海星信息技术研究院研制开发的,具有自主版权和技术专利的“IDzeusTM海星动态口令身份认证系统”,从根本上解决了原有静态口令易猜测、易剽窃、易截取、易窃听等安全隐患问题,可以应用于各种计算机网络应用系统的身份认证中。该系统不但能提高原有系统的安全性,而且连接方便、简洁,操作简便,实用性强,同时又对整个应用系统部分影响不大。该产品以AAA技术为基础,是一个强力的用户身份认证系统,可以为VPN、FireWall等NAS提供安全高效的用户认证服务。其系统结构如图所示。IDzeusTM系统的组成*认证服务器:主要实现对用户动态口令…     

一种改进的动态ID远程用户身份认证方案

由于网络安全的需要,利用智能卡的双因子身份鉴别方案越来越受到重视。首先分析了Wang Yan-yan等人提出的基于动态ID的远程用户身份认证方案的安全性,指出其方案的安全缺陷是不能抵抗离线的口令猜测攻击;随后提出了一种改进的方案,改进之后的方案能有效抵抗重放攻击、离线口令猜测攻击、假冒服务器/用户攻击。经过安全分析,新的方案在保留了原方案优点的同时,具有了更高的安全性。     

一次性口令认证及其在防火墙上的实现

本文介绍了一次性口令的原理及用其进行用户认证的实现方法。将一次性口令与代理型防火墙的用户认证机制结合起来，可以增加网络的安全性。     

基于事件的一次性口令双向认证的实现

针对静态口令身份认证技术易受攻击的安全缺陷,在事件同步一次性口令产生机制的基础上,结合公钥密码体制,设计并实现了一种新的一次性口令双向认证方案。与传统的挑战／响应双向认证方案相比,该方案实现简单、执行效率高,适用于电子商务过程中的身份认证,能够实现网络环境下用户和服务器的双向认证,避免各种攻击,可以大大提高用户访问的安全性,有效保护用户信息。     

计算集成身份认证机制

研究集成口令认证、令牌认证、以及生物认证的机制,其创新在于利用协议消息还原用户的信任状,再利用传统的认证技术完成对后者的鉴别,从而提供一种把应用系统与其用户认证技术分离的集成身份认证机制。该机制易于标准化及推广应用,可为多租户的云环境的安全提供更好的安全保障。     

CPK-based grid authentication:a step forward

Effective grid authentication plays a critical role in grid security, which has been recognized as a key issue in the designing and extension of grid technologies. At present, public key infrastructure (PKI) has been widely applied for grid authentication, and this article proposes a novel grid authentication mechanism, which is based on combined public key (CPK) employing elliptic curve cryptography (ECC). The designing structure of the new grid authentication mechanism and its implementation procedure are described in details. Property analysis of the new mechanism is also made in comparison with that of the globus security infrastructure (GSI) authentication, which leads to the conclusion that CPK-based grid authentication, may be applied as an optimized approach towards efficient and effective grid authentication.     

网络融合下的鉴权技术研究

为提供整体鉴权管理机制以实现固网与移动网络的融合,在对现有通信网络及IMS的安全鉴权进行研究的基础上,提出以EAP-AKA协议加上SIM卡的鉴权机制和只使用SIM卡的用户识别功能两种方案,形成融合网络的整体鉴权。最后对融合网络的未来鉴权机制做了探讨。     

VPN用户认证技术

虚拟专用网络绕开防火墙的安全保障机制提供对内网资源的访问,因此高强度的用户认证功能是必须的。目前常用的认证技术包括无中心式的基于签名技术的认证机制以及基于数字证书的中心式认证机制。文章对这两类认证技术在ＶＰＮ中的应用进行了细致的研究和分析,为ＶＰＮ用户认证技术的实现提供了技术框架。     

基于SASL的LDAP认证机制研究

分析了SASL的原理和认证机制,并详细阐述了基于SASL的LDAP认证机制和认证方式,对基于Kerberos和X.509的两种认证方式的认证原理和实现过程进行了分析,对认证过程进行了详细的阐述,给出了这两种认证方式的实现.     

一种基于WLANMESH网络中的EAP-TLS接入认证方案

MESH是一种新型的无线网络,安全的认证机制是确保WLAN MESH网络安全问题的前提条件。研究了WLAN MESH网络的结构特点,提出一种基于IEEE802.1x标准下的EAP-TLS协议认证方案,利用EAP-TLS双向认证机制来实现WLAN MESH网络中安全接入认证。并对该协议的认证流程及安全性进行了描述与分析。     

物理层认证的中间人导频攻击分析

现有物理层认证机制依赖合法信道状态信息(CSI)的私有性,一旦攻击者能够操控或窃取合法信道,物理层认证机制就会面临被攻破的威胁。针对上述缺陷,该文提出一种中间人导频攻击方法(MITM),通过控制合法双方的信道测量过程对物理层认证机制进行攻击。首先对中间人导频攻击系统进行建模,并给出一种中间人导频攻击的渐进无感接入策略,该策略允许攻击者能够顺利接入合法通信双方;在攻击者顺利接入后,可对两种基本的物理层认证机制发起攻击:针对基于CSI的比较认证机制,可以实施拒绝服务攻击和仿冒接入攻击;针对基于CSI的加密认证机制,可以实现对信道信息的窃取,从而进一步破解认证向量。该攻击方法适用于一般的公开导频无线通信系统,要求攻击者能够对合法双方的导频发送过程进行同步。仿真分析验证了渐进无感接入策略、拒绝服务攻击、仿冒接入攻击、窃取信道信息并破解认证向量等多种攻击方式的有效性。     

软件定义网络中基于密码标识的报文转发验证机制

针对软件定义网络(SDN)中缺乏安全高效的数据来源验证机制问题,该文提出基于密码标识的报文转发验证机制。首先,建立基于密码标识的报文转发验证模型,将密码标识作为IP报文进出网络的通行证。其次,设计SDN批量匿名认证协议,将SDN控制器的验证功能下放给SDN交换机,由SDN交换机进行用户身份验证和密码标识验证,快速过滤伪造、篡改等非法报文,提高SDN控制器统一认证与管理效率,同时可为用户提供条件隐私保护。提出基于密码标识的任意节点报文抽样验证方案,任何攻击者无法通过推断采样来绕过报文检测,确保报文的真实性的同时降低其处理延迟。最后,进行安全性分析和性能评估。结果表明该机制能快速检测报文伪造和篡改及抵抗ID分析攻击,但同时引入了大约9.6%的转发延迟和低于10%的通信开销。     

对基于802.1x协议的认证机制及缺陷的研究

简要介绍802．1x协议的认证结构与认证机制，研究该认证机制下的一些问题与缺陷。首先，介绍基于端口控制的802．1x协议的认证原理及特点优势；其次，结合网管实践及调查研究分析探讨802．1x标准下认证存在的问题与缺陷。结论是基于802．1x协议的认证机制比传统认证有优势，但在安全控制与网络管理上暴露出一些问题与缺陷。     

One-time password-based high performance per-packet authentication for capsule networks

Most traditional security for capsule-type active networks focused on node-level security mechanism that tries to restrict resource consumption of a packet at a node. Network level security mechanism, which restricts resource consumption in the whole network like ttl in ipv4, is also necessary for capsule. We propose high-performance per-packet authentication mechanism for this purpose. The proposed authentication mechanism uses packet-loss-resistant one-time password algorithm to avoid multiple packet exchanges between user terminals and routers. Since the address in a node where a packet’s authentication data is stored can be easily calculated from the information contained in the packet, we can authenticate the packet without searching a database. The overhead in the packet for authentication information is 46 bytes, and a Linuxpc with a 2.8 GHz Intel Pentium 4 processor can authenticate and process a packet in 22 µs, which corresponds to 45,000 authentications per second.