基于SIP的安全认证机制的研究及改进

会话初始协议大部分认证机制只提供服务器到客户端的单向认证,HTTP摘要认证就是其中的一种。该文通过分析其过程,找出认证协议中的安全缺陷,给出攻击者可能进行的攻击。针对协议的安全漏洞,提出一种改进的安全机制,在提供服务器和客户端之间相互认证的基础上加入加密保护和完整性保护,以保证消息传输的安全性。     

一种基于动态令牌的双向认证方案

针对静态口令身份认证技术的安全缺陷,在动态令牌产生机制的基础上,笔者结合双向认证技术的特点,设计了一种新的动态令牌双向认证方案。与传统的双向认证方案相比,该方案实现简单、执行效率高,能够实现网络环境下用户和服务器的双向认证,减少了服务器的开销,能够避免各种攻击,大大提高了用户访问的安全性,能够有效保护用户信息安全。     

UBAP认证协议的逻辑设计与研究

该文对CHAP认证协议进行了阐述,并对其安全缺陷进行了分析。针对CHAP协议的安全缺陷,将它进行了改进,结合密码学、身份认证技术以及USB Key技术,设计了一种基于USBKey网络环境下的身份认证协议,即UBAP(USB Key-based Authentication Protocol)协议,它采用软硬件相结合的一次一密的强双因子认证模式,实现了服务器和用户双方可靠的双向身份验证,并对该协议进行非形式化的分析,证明其能够抵御重放攻击、服务器欺骗、网络监听、插入信道攻击、中间人攻击以及暴力攻击。     

新型S/KEY认证方案的分析与设计

分析传统S/KEY型一次性口令认证系统的缺陷,提出一种新型的S/KEY认证方案,实现客户端与服务器的双向认证,可进行会话密钥协商,且每次认证产生不同的会话密钥。该方案可有效抵御重放攻击、小数攻击、破坏协议攻击和冒充攻击,对中间人攻击也有较强的防御作用。     

会话初始协议安全认证机制的分析与改进

通过分析会话初始协议相关认证机制,指出认证中可能存在的安全威胁,如离线密钥猜测攻击和Denning-Sacco攻击。针对安全漏洞提出一种结合椭圆曲线密码的改进认证机制。安全性分析表明,改进的认证机制在提供客户端和服务器间双向认证的同时,能够完成会话密钥传递,确保认证的时效性,有效抵御离线密钥猜测攻击和Denning-Sacco攻击。     

多服务器环境下的身份认证方案

基于智能卡的多服务器远程认证方案,存在不能抵抗伪造攻击、重放攻击和中间人攻击等问题。针对上述安全性缺陷,提出一种改进的身份鉴别方案。该方案利用自验证的时间戳技术,解决基于时间戳技术的认证方案中存在的时钟同步问题,同时将时间戳作为随机数,有效地避免遭受重放攻击。安全性分析结果表明,与基于智能卡的多服务器远程认证方案相比,该方案继承了其轻量级认证的特征,计算量低,存储量小,实现了服务器对用户的可追踪性,满足实际网络的复杂性要求。     

一种改进的远程用户身份认证方法

本文针对Yoon-Yoo远程用户身份认证方法隐藏的伪装用户攻击、伪装服务器攻击和窃取校验机攻击的安全缺陷,利用随机数多次哈希运算提出一种改进的远程用户身份认证方法.本算法能够解决Yoon-Yoo方法的安全缺陷,同时又能保持其优点.因此,该方法具有更稳定的安全性,为电子商务等领域提供了远程用户身份认证的有效解决方案.     

使用智能卡的动态口令认证机制

动态口令身份认证机制是目前身份认证技术发展的一个重要方向。但是在很多动态口令机制中,用户的认证数据通常利用在服务器储存的验证因子进行掩码传输,如果验证因子被盗,攻击者就可以伪造验证数据,因此动态口令认证机制易遭受盗窃攻击。最近提出了一种新的抗盗窃攻击的动态口令认证方案2GR,但是2GR不能抵抗拒绝服务攻击,也没有提供用户和服务器的双向认证。将在2GR方案的基础上提出一个基于智能卡的改进方案,该方案能解决上述问题。     

一种高效安全的动态口令认证方案

动态口令身份认证技术相对于传统的静态口令身份认证技术有更高的安全性.基于ElGamal公钥密码体制和挑战-应答机制,提出了一种新型的结合智能卡和指纹特征的动态口令身份认证方案,实现了服务器和用户之间的双向认证,该方案能够有效地防止重放攻击,并且可以抵御假冒服务器攻击.     

基于动态口令的IKE认证实现

认证服务机制是实现网络安全的重要机制之一。在基于挑战/应答认证机制的基础上,提出了一种基于动态口令的IKE认证实现,使其成为一个安全的双向认证协议,能够有效地抵抗冒充服务器攻击,具有更高的安全性。     

SIP协议的轻量级双向认证技术研究

提出一种会话过程中的轻量级双向认证机制,它基于 HTTP 摘要认证机制,可以实现逐跳认证,完成端到端的认证,抵抗身份欺骗和拒绝服务等类型的攻击,从而在系统开销小的情况下提供了较好的安全保护。     

基于遗传算法和灰色关联分析的击键特征识别算法

基于用户击键特征的身份认证比传统的基于口令的身份认证方法有更高的安全性，现有研究方法中基于神经网络、数据挖掘等算法计算复杂度高，而基于特征向量、贝叶斯统计模型等算法识别精度较低。为了在提高识别精度的同时有效降低计算复杂度，在研究现有算法的基础上提出了一种基于遗传算法与灰色关联分析的击键特征识别算法。该算法利用遗传算法根据用户训练样本确定表征用户击键特征的标准特征序列，通过对当前用户击键特征序列与标准特征序列进行灰色关联分析实现用户身份认证。实验结果表明，该算法识别精度达到神经网络、支持向量机等算法的较高水平，错误拒绝率与错误接受率分别为0%与1.5%。且计算复杂度低，与基于特征向量的算法相近。     

体域网中基于CSI指纹的身份认证算法研究

无线体域网是实现智慧健康的重要基础,但其采集的生理状态等敏感信息在开放的无线信道传输,攻击者容易伪装成合法用户获取用户隐私数据,因而身份认证成为挑战。对此,提出了一种将无线信道特征CSI与递归神经网络（RNN）相结合的身份认证方法,实现体域网中节点的有效身份认证。利用无线体域网中无线信道的物理层特征CSI作为合法节点认证的指纹特征。为了加快认证速度与效率,通过取特定环境下CSI的数据包,将数据包中子载波的特性作为RNN的输入量,训练出RNN模型来快速识别合法节点。通过实验将所提出的身份认证方法与利用RSS作为指纹特征的认证方法进行比较,结果表明所提方法的认证速度更快、准确率更高。     

基于数字化校园门户的分布式身份认证系统研究

身份认证是网络安全技术的一个重要组成部分,针对网络中如何利用多台分布式服务器上的用户认证信息的进行认证的难题,提出了一种基于数字化校园门户的分布式身份认证方案来解决这一问题,并分析了其安全性。基于数字化校园门户的分布式身份认证系统在目前具有广泛的应用前景。     

基于单光子的量子双向同步身份认证协议

针对量子身份认证（QIA）存在的高效、双向、同步的需求，提出一种基于单光子的两方量子身份认证协议。首先于协议中采用了一种新型的单光子双向测量基编码方式，其次结合了Kerberos经典密码协议思想提出一种根据量子票据发起建立的认证流程。在此基础上，于认证过程中采用双向同步认证的策略。最后对量子通信和认证中存在的多种攻击方式进行概率计算和安全性分析，并同时试图将协议由两方推及到多方。研究结果与新型编码策略的基于制备-测量的量子身份认证相比，提出了一个完整的、防止用户抵赖的双向同步身份认证协议，并给出了将协议扩展到多方通信的参考原则。从结论上来看，所提方法提高了量子认证理论的高效性，支持了量子通信协议与经典协议的结合和借鉴的新的可能，实现了理论上不可抵赖的双方同步认证流程。     

基于单光子的量子双向同步身份认证协议

针对量子身份认证（QIA）存在的高效、双向、同步的需求,提出一种基于单光子的两方量子身份认证协议。首先于协议中采用了一种新型的单光子双向测量基编码方式,其次结合了Kerberos经典密码协议思想提出一种根据量子票据发起建立的认证流程。在此基础上,于认证过程中采用双向同步认证的策略。最后对量子通信和认证中存在的多种攻击方式进行概率计算和安全性分析,并同时试图将协议由两方推及到多方。研究结果与新型编码策略的基于制备-测量的量子身份认证相比,提出了一个完整的、防止用户抵赖的双向同步身份认证协议,并给出了将协议扩展到多方通信的参考原则。从结论上来看,所提方法提高了量子认证理论的高效性,支持了量子通信协议与经典协议的结合和借鉴的新的可能,实现了理论上不可抵赖的双方同步认证流程。     

基于动态信任值的智能手机隐式认证方案

在智能手机隐私安全领域,隐式认证具有高安全性、友好交互体验等优点,但存在行为特征采集不便、认证模型复杂的问题。提出一种基于动态信任值的分级隐式认证方案。利用机器学习方法进行模型训练,提取用户划屏行为特征作为前级认证数据,并将前级输出概率经信任值检测作为后级认证数据,进而得到最终认证结果。同时基于真实用户历史认证变化的稳定性和连续性,通过计算一定时间窗口内的认证概率均值作为动态信任更新值,使信任值在真实用户认证结果变化范围内波动。实验结果表明,该方案的分类准确率达到98.63%,等错误率仅为3.43%,与只包含前级认证的方案相比准确性更高,并且能够有效阻挡冒名者非法使用手机。     

可信计算环境下的防钓鱼攻击技术

网络欺诈和钓鱼攻击等在线攻击行为已经成为重要的网络安全问题。该文在讨论在线用户认证的基础上,提出了一种基于可信计算技术的在线用户认证技术。该技术可使某些钓鱼攻击失效,且可以抵抗其他类型的在线攻击。     

基于分离机制网络的可信域内快速认证协议

分离机制网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题.基于分离机制网络,结合可信计算技术,提出一种终端域内切换时的快速认证方案,在对终端用户身份进行认证的同时,对终端平台进行身份认证和完整性校验.在本方案中,终端进行域内切换时不需要本域的认证中心再次参与,仅由接入交换路由器通过Token即可完成认证.认证过程可以保持用户身份和平台信息的匿名性,减轻了认证中心的负担.与其他方案相比,本方案在认证开销、认证延迟以及安全性等方面均有明显优势.安全性分析结果表明本方案是安全高效的.     

基于智能卡的远程认证体制

介绍了2006年 Manik 提出的远程认证体制,对其存在安全缺陷进行了详细分析.在此基础上,提出一种改进的远程认证体制.该体制使用用户智能卡生成一个立即数并使用两种杂凑运算,以改进整个认证体制的安全性能和计算性能.与现有的其它远程认证体制相比,提出的远程认证体制还实现了用户和远程服务器之间的双向认证.