对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-Woon Lee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee-Kim-Yoo协议,首先分析了此协议中所存在的安全性缺陷,随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-WoonLee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee—Kim—Yoo协议,首先分析了此协议中所存在的安全性缺陷。随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

基于混沌映射的用户匿名三方口令认证密钥协商协议

在基于混沌的三方口令认证密钥协商协议中,用户通过低熵的口令实现相互认证和共享会话密钥,以避免在身份认证过程中公钥基础设施或存储用户长期密钥的安全威胁。通过分析Lee提出的基于混沌映射的口令认证密钥协商协议,发现其协议不能进行口令变更,而且仅适用于用户和服务器之间的两方通信。为了改进此方案,提出两个基于切比雪夫混沌映射的用户匿名三方口令认证密钥协商协议,包括基于时钟同步的密钥协商方案和基于随机数的密钥协商方案。其中基于时钟同步的用户匿名三方口令认证密钥协商协议通信量少,基于随机数的用户匿名三方口令认证密钥协商协议更容易实现。两个方案的优点是用户仅选择一个简单的口令进行相互认证和密钥协商,服务器不需要再保护用户口令表,避免了口令相关的攻击,而且在相互认证过程中用户使用临时身份和哈希函数,实现用户匿名性,在增强协议安全性的同时,减少了通信过程中消息的数量,提高了协议的执行效率,具有完美前向安全,并用BAN逻辑证明了其安全性。     

基于ECDLP的SIP认证密钥协商协议

SIP协议是应用层控制协议,为了提高SIP协议的安全性,文中基于椭圆曲线离散对数问题的难解性,结合用户身份、用户口令及单向陷门函数F(),提出了一种基于ECDLP的SIP认证密钥协商协议.协议过程主要由初始化、注册、登录认证、口令修改四部分组成.安全分析表明,该协议实现了双向认证、提供了安全会话密钥,能抵抗口令猜测攻击、中间人攻击、重放攻击、冒充攻击、Denning-Sacco攻击等.与相关协议比较,本文所提出的基于ECDLP的SIP认证密钥协议具有更高的安全性,能更好的满足应用需求.     

基于Hash函数的远程口令认证方案的改进

指出了Xue-Kong的基于单向哈希函数的远程口令认证方案易遭受不可检测在线口令猜测攻击,针对上述安全漏洞,构造了一个基于随机数和Hash函数、使用智能卡的远程口令认证和密钥协商协议。技术分析表明提出的改进方案是安全的。     

一种适合远程访问场景的认证和密钥交换方案

提出了一种基于基本ECMQV协议的非对称式认证和密钥交换方案AEAS，可实现对客户端的口令认证和对服务端的公钥认证；AEAS中的客户端口令认证具有零知识安拿属性，允许用户使用弱口令，并能抵御各种字典攻击和重放攻击；与同类非对称认证和密钥交换方案相比，AEAS具有最少的公钥计算开销。AEAS协议能集成到现有WTLS协议框架中，从而实现一种高安全性和低计算开销的WTLS扩展，它完全可满足无线终端在企业远程访问场景下的高安全性要求。     

基于椭圆曲线的加密密钥交换协议

加密密钥交换协议(EKE)的目的是利用安全性低的口令协商安全性高的密钥,进而利用密钥对以后的通信进行加密或身份认证,从而实现安全通信.基于验证元的EKE是针对服务器泄露攻击问题提出的.本文基于椭圆曲线密码系统的特点,给出了一个基于验证元的3EKE,该协议中,服务器通过口令实现对用户的认证;协议能够抵抗服务器泄露等攻击,...     

增强的基于智能卡的远程用户认证协议

基于智能卡的远程用户认证协议比基于口令的安全协议能提供更好的安全性。2011年Chen等提出一种对Hsiang-Shih方案改进的基于智能卡的远程认证协议,并称解决了相关方案中存在的各种攻击问题。指出Chen等方案仍然存在着内部攻击、丢失智能卡攻击、重放攻击和身份冒充攻击,并针对基于口令和智能卡的远程认证协议类存在的离线口令猜测攻击提出一种基于智能卡和椭圆曲线离散对数问题的认证协议。该协议能抵抗提到的所有攻击,在登陆和认证阶段只需要一个点乘运算。     

基于双因子认证的三方密钥协商协议

针对三方密钥协议中的在线不可检测词典攻击、假冒攻击问题,基于用户身份、口令,结合单向陷门函数,提出了基于双因子认证的三方密钥协商协议。该协议具有前向安全,能抵抗在线不可检测词典攻击、假冒攻击。密钥协商过程中使用了非对称加密、单向陷门函数,有效保证了通信双方的安全性。     

基于身份的可认证多方密钥协商方案

三方密钥协商协议虽然比传统方案高效,但不具有认证功能且易遭受中间人攻击。文章将该协议扩展到多方,提出2个新的基于身份的密钥协商方案。方案中用于实现认证功能的签名是短签名,因此认证过程比较高效。通过引入口令进化机制,提高了安全性。新方案具有等献性、无密钥控制、已知密钥安全、抗中间人攻击等安全特性。     

An efficient and secure multi-server authentication scheme with key agreement

Remote user authentication is used to validate the legitimacy of a remote log-in user. Due to the rapid growth of computer networks, many network environments have been becoming multi-server based. Recently, much research has been focused on proposing remote password authentication schemes based on smart cards for securing multi-server environments. Each of these schemes used either a nonce or a timestamp technique to prevent the replay attack. However, using the nonce technique to withstand the replay attack is potentially susceptible to the man-in-the-middle attack. Alternatively, when employing the timestamp method to secure remote password authentication, it will require the cost of implementing clock synchronization. In order to solve the above two issues, this paper proposes a self-verified timestamp technique to help the smart-card-based authentication scheme not only effectively achieve password-authenticated key agreement but also avoid the difficulty of implementing clock synchronization in multi-server environments. A secure authenticated key agreement should accomplish both mutual authentication and session key establishment. Therefore, in this paper we further give the formal proof on the execution of the proposed authenticated key agreement scheme.     

基于MYK-NTRUSign签名的用户认证方案

基于修复了延展性缺陷的NTRUSign算法，给出了一个使用智能卡的远程用户认证方案。该方案的安全性是基于单向Hash函数和在有限时间在大维数格计算最短向量的困难性。该方案包括4个阶段：注册阶段，登陆阶段，认证阶段和更改口令阶段。允许用户自主选择并更改口令，实现了双向认证；能够抵御中间人攻击，抗DoS攻击，具备前向安全性、强安全修复性和“黑名单”拒绝服务机制。是一个低开销、强安全性的方案。     

Efficient and secure two-factor dynamic ID-based password authentication scheme with provable security

Password-based remote user authentication schemes using smart cards are designed to ensure that only a user who possesses both the smart card and the corresponding password can gain access to the remote servers. Despite many research efforts, it remains a challenging task to design a secure password-based authentication scheme with user anonymity. The author uses Kumari et al.’s scheme as the case study. Their scheme uses non-public key primitives. The author first presents the cryptanalysis of Kumari et al.’s scheme in which he shows that their scheme is vulnerable to user impersonation attack, and does not provide forward secrecy and user anonymity. Using the case study, he has identified that public-key techniques are indispensable to construct a two-factor authentication scheme with security attributes, such as user anonymity, unlinkability and forward secrecy under the nontamper resistance assumption of the smart card. The author proposes a password-based authentication scheme using elliptic curve cryptography. Through the informal and formal security analysis, he shows that proposed scheme is secure against various known attacks, including the attacks found in Kumari’s scheme. Furthermore, he verifies the correctness of mutual authentication using the BAN logic.     

一种基于随机数的高效远程认证方案

提出了一种基于随机数的高效远程认证方案,无需存储密码字典或验证表,使用随机数替代时间戳,可以有效抵抗重放攻击。用户可以自由更改密码。方案计算开销小、简洁、高效、实用、安全性高。     

一种增强的智能卡口令认证方案

Hwang等人提出了基于ElGamal算法的智能卡口令认证方案,其安全性依赖于计算有限域上离散对数的难度。Chan等人分析了该方案的安全缺陷,并进行了改进。最近,Awasthi等人指出了改进方案中的安全缺陷,并提出了一种新方案,但新方案仍然存在缺陷。针对新方案的缺陷,基于“一次一密”和“动态口令”,提出了一种增强的智能卡口令认证方案。该方案允许用户自由选择口令,能够抵御重放攻击、内部攻击,能双向认证,具备强安全修复性。     

一种多服务器环境下基于智能密码钥匙的认证方案

口令认证是客户端访问服务器资源的第一步。在分析现有的一些远程登录认证方案的安全性及其性能的基础上,提出了一种新的多服务器环境下基于智能密码钥匙的认证方案。该方案利用了RSA公钥密码算法、单向散列函数、会话随机数等方法来加强安全性。并分析了它可以抵抗一些常见的攻击。     

Cryptanalysis and improvement of a robust smart card secured authentication scheme on SIP using elliptic curve cryptography

The session initiation protocol (SIP) has been receiving a lot of attention to provide security in the Voice over IP (VoIP) in Internet and mobility management. Recently, Yeh et al. proposed a smart card-based authentication scheme for SIP using elliptic curve cryptography (ECC). They claimed that their scheme is secure against known security attacks. However, in this paper, we indicate that Yeh et al.’s scheme is vulnerable to off-line password guessing attack, user impersonation attack and server impersonation attack, in the case that the smart card is stolen and the information stored in the smart card is disclosed. As a remedy, we also propose an improved smart card-based authentication scheme which not only conquers the security weaknesses of the related schemes but also provides a reduction in computational cost. The proposed scheme also provides the user anonymity and untraceability, and allows a user to change his/her password without informing the remote server. To show the security of our protocol, we prove its security the random oracle model.     

基于D-H密钥交换协议的用户认证方案

分析指出Liaw等人的远程用户认证方案(Mathematical and Computer Modelling,2006,No.1/2)容易受到重放攻击和中间人攻击,并且密码修改阶段和注册阶段存在安全漏洞,在此基础上提出一个基于D-H密钥交换协议的远程用户认证方案.理论分析结果表明,该方案可以抵抗假冒攻击、重放攻击、中间人攻击,安全地实现相互认证及会话密钥生成.