对两个无线传感器网络中匿名身份认证协议的安全性分析

针对设计安全高效的无线传感器网络环境下匿名认证协议的问题,基于广泛接受的攻击者能力假设,采用基于场景的攻击技术,对新近提出的两个无线传感器网络环境下的双因子匿名身份认证协议进行了安全性分析。指出刘聪等提出的协议(刘聪,高峰修,马传贵,等.无线传感器网络中具有匿名性的用户认证协议.计算机工程,2012,38(22):99-103)无法实现所声称的抗离线口令猜测攻击,且在协议可用性方面存在根本性设计缺陷;指出闫丽丽等提出的协议(闫丽丽,张仕斌,昌燕.一种传感器网络用户认证与密钥协商协议.小型微型计算机系统,2013,34(10):2342-2344)不能抵抗用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性。结果表明,这两个匿名身份认证协议都存在严重安全缺陷,不适于在实际无线传感器网络环境中应用。     

面向多网关的无线传感器网络多因素认证协议

无线传感器网络作为物联网的重要组成部分,广泛应用于环境监测、医疗健康、智能家居等领域.身份认证为用户安全地访问传感器节点中的实时数据提供了基本安全保障,是保障无线传感器网络安全的第一道防线;前向安全性属于系统安全的最后一道防线,能够极大程度地降低系统被攻破后的损失,因此一直被学术及工业界视为重要的安全属性.设计面向多网关的可实现前向安全性的无线传感器网络多因素身份认证协议是近年来安全协议领域的研究热点.由于多网关无线传感器网络身份认证协议往往应用于高安全需求场景,一方面需要面临强大的攻击者,另一方面传感器节点的计算和存储资源却十分有限,这给如何设计一个安全的多网关无线传感器网络身份认证协议带来了挑战.近年来,大量的多网关身份认证协议被提出,但大部分都随后被指出存在各种安全问题.2018年,Ali等人提出了一个适用于农业监测的多因素认证协议,该协议通过一个可信的中心(基站)来实现用户与外部的传感器节点的认证;Srinivas等人提出了一个通用的面向多网关的多因素身份认证协议,该协议不需要一个可信的中心,而是通过在网关之间存储共享秘密参数来完成用户与外部传感器节点的认证.这两个协议是多网关无线传感器网络身份认证协议的典型代表,分别代表了两类实现不同网关间认证的方式:1)基于可信基站,2)基于共享秘密参数.分析指出这两个协议对离线字典猜测攻击、内部攻击是脆弱的,且无法实现匿名性和前向安全性.鉴于此,本文提出一个安全增强的可实现前向安全性的面向多网关的无线传感器网络多因素认证协议.该协议采用Srinivas等协议的认证方式,即通过网关之间的共享秘密参数完成用户与外部传感器节点的认证,包含两种典型的认证场景.对新协议进行了BAN逻辑分析及启发式分析,分析结果表明该协议实现了双向认证,且能够安全地协商会话密钥以及抵抗各类已知的攻击.与相关协议的对比结果显示,新协议在提高安全性的同时,保持了较高的效率,适于资源受限的无线传感器网络环境.     

对两个基于智能卡的口令认证协议的安全性分析

身份认证是确保信息系统安全的重要手段,基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术,对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出“对Liao等身份鉴别方案的分析与改进”(潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进.计算机工程与应用,2010,46(4):110-112)中提出的认证协议无法实现所声称的抗离线口令猜测攻击;指出“基于双线性对的智能卡口令认证改进方案”(邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案.计算机工程,2010,36(18):150-152)中提出的认证协议无法抗拒绝服务(DoS)攻击和内部人员攻击,且口令更新阶段存在设计缺陷。分析结果表明,这两个口令认证协议都存在严重安全缺陷,不适合安全需求较高的应用环境。     

对一个口令认证协议的可攻击性分析及改进

Rhee H S等人(Computer Standards &; Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本,但该协议仍存在一些不足。针对该问题,基于Chan-Cheng攻击案例,指出该协议难以抵抗假冒攻击和离线口令猜测攻击,为克服这些缺陷,给出一种改进方案,通过实验证明了该方案可以有效抵抗上述2种攻击,并能保证其口令的秘密性及身份认证的安全性。     

更安全的匿名三因子多服务器身份认证协议研究

多服务器架构下的身份认证协议是远程认证的关键,但许多现有方案都存在潜在的攻击,未实现三因子安全性,忽略了匿名性。因此,需要指出其中的错误,并提出一个匿名的三因子方案。通过攻击者模型,攻击了温翔等人的方案,检验了新方案;使用椭圆曲线密码,保障认证阶段的核心安全性;使用模糊提取器与验证器,保护生物特征与口令;经与同类协议比较,分析了新协议的优势。分析表明,温翔等人的方案不能抵抗服务器仿冒用户,不具匿名性等。而新协议能有效防范智能卡丢失攻击、仿冒攻击等更多样的攻击,实现了匿名性、前向安全性等更全面的功能,计算效率也比前人提高了约14.8%。因此,可以应用于对安全性、可靠性要求较高的多服务器认证网络。     

改进的三方口令认证密钥交换协议

基于三方的口令认证密钥交换（3PAKE）协议是客户通过与可信服务器共享一个口令验证元,在两客户进行通信时通过此可信服务器进行会话密钥的建立与共享,从而进行通信。首先对李文敏等人提出的协议进行安全性分析,发现该协议易受离线字典攻击和服务器泄露攻击。提出了一个改进协议,该协议能够提供双向认证、会话密钥机密性和前向安全性,能够有效抵抗多种攻击,包括离线字典攻击和服务器泄露攻击。     

基于二次剩余的多服务器环境下的身份认证协议

多服务器环境下的身份认证协议实现了用户只需要一次注册即可跟多个服务器实现交互认证,基于二次剩余构造了一个注册中心在线的多服务器环境下身份认证协议。该协议中,注册中心参与实现对用户的认证并协助用户和服务器建立后继通信的会话密钥,并且服务器之间是可以相互区分的。协议能够抵抗字典攻击、口令泄露模仿攻击常见攻击,同时能够实现相互认证,以及前向安全、已知会话密钥安全和无密钥控制等会话密钥的安全属性。     

多服务器环境下的身份认证方案

基于智能卡的多服务器远程认证方案,存在不能抵抗伪造攻击、重放攻击和中间人攻击等问题。针对上述安全性缺陷,提出一种改进的身份鉴别方案。该方案利用自验证的时间戳技术,解决基于时间戳技术的认证方案中存在的时钟同步问题,同时将时间戳作为随机数,有效地避免遭受重放攻击。安全性分析结果表明,与基于智能卡的多服务器远程认证方案相比,该方案继承了其轻量级认证的特征,计算量低,存储量小,实现了服务器对用户的可追踪性,满足实际网络的复杂性要求。     

基于口令的客户端/服务器认证协议

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全：无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。     

一个匿名的基于生物特征的多服务器的密钥认证协议方案的研究

随着通讯技术的快速发展,用户的口令与生物特征值的结合越来越普遍。最近,Chuang等提出了一个基于用户口令和生物特征值的匿名的多服务器的认证密钥协议方案。本文指出了Chuang等协议容易受到丢失智能卡攻击、伪装攻击、重放攻击和服务器伪装攻击,并且没有提供匿名性。因此针对上述协议的安全缺陷,本文提出了一个新的、有效的基于生物特征的多服务器的密钥认证协议。通过详细的安全和性能分析,证明出本文所提出的协议能够抵抗多种攻击,并且提供匿名性,与Chuang等协议相比,该新协议更加安全和实用。     

A user friendly mutual authentication and key agreement scheme for wireless sensor networks using chaotic maps

Spread of wireless network technology has opened new doors to utilize sensor technology in various areas via Wireless Sensor Networks (WSNs). Many authentication protocols for among the service seeker users, sensing component sensor nodes (SNs) and the service provider base-station or gateway node (GWN) are available to realize services from WSNs efficiently and without any fear of deceit. Recently, Li et al. and He et al. independently proposed mutual authentication and key agreement schemes for WSNs. We find that both the schemes achieve mutual authentication, establish session key and resist many known attacks but still have security weaknesses. We show the applicability of stolen verifier, user impersonation, password guessing and smart card loss attacks on Li et al.’s scheme. Although their scheme employs the feature of dynamic identity, an attacker can reveal and guess the identity of a registered user. We demonstrate the susceptibility of He et al.’s scheme to password guessing attack. In both the schemes, the security of the session key established between user and SNs is imperfect due to lack of forward secrecy and session-specific temporary information leakage attack. In addition both the schemes impose extra computational load on resource scanty sensor-nodes and are not user friendly due to absence of user anonymity and lack of password change facility. To handle these drawbacks, we design a mutual authentication and key agreement scheme for WSN using chaotic maps. To the best of our knowledge, we are the first to propose an authentication scheme for WSN based on chaotic maps. We show the superiority of the proposed scheme over its predecessor schemes by means of detailed security analysis and comparative evaluation. We also formally analyze our scheme using BAN logic.     

BAN逻辑在协议分析中的密钥猜测分析缺陷

BAN逻辑可以证明协议是否能够达到预期目标,还能够发现协议中存在的一些缺陷,为进一步改进提供参考。但是,通过一个认证协议的例子证明,该文指出,BAN逻辑对于诸如弱密钥方面存在的密钥猜测攻击的分析存在缺陷,还需结合非形化的方法来加以解决。     

A Generic Framework for Anonymous Authentication in Mobile Networks

Designing an anonymous user authentication scheme in global mobility networks is a non-trivial task because wireless networks are susceptible to attacks and mobile devices powered by batteries have limited communication, processing and storage capabilities. In this paper, we present a generic construction that converts any existing secure password authen- tication scheme based on a smart card into an anonymous authentication scheme for roaming services. The security proof of our construction can be derived from the underlying password authentication scheme employing the same assumptions. Compared with the original password authentication scheme, the transformed scheme does not sacrifice the authentication effciency, and additionally, an agreed session key can be securely established between an anonymous mobile user and the foreign agent in charge of the network being visited. Furthermore, we present an instantiation of the proposed generic construction. The performance analysis shows that compared with other related anonymous authentication schemes, our instantiation is more effcient.     

面向云服务的匿名单点登录认证协议*

单点登录可以使用户只须进行一次身份验证就能高效便捷地访问多种网络服务。为了使用户可以更加安全高效地访问服务,基于扩展切比雪夫混沌映射,提出了一种新的单点登录认证协议,并证明了其安全性。方案中用户和云端应用服务器利用身份信息生成公、私钥对,并结合DH密钥交换思想进行双向认证。与现有其它基于切比雪夫混沌映射的认证协议进行了比较,结果显示本文提出的认证协议更加安全高效。     

一种基于USB Key的双因子身份认证与密钥交换协议

传统的USB Key只能存储数据而无法进行复杂的加／解密运算,导致基于USB Key的认证协议存在诸多不足。本文针对含智能卡芯片的USB Key可进行加／解密运算和生成随机密钥的特点,提出了一种基于USB Key的双因子身份认证与密钥交换协议DKAKEP。该协议综合运用伪随机数验证、一次性会话密钥、AES加密算法、安全哈希算法等技术,除了可提供安全快速的身份认证与密钥交换,还具有快速更改密钥、支持多种哈希算法和无需时间同步机制的特点。 多种协议攻击,具有较强的实用性、安全性和可靠性。     

一个强口令认证协议的漏洞研究

研究了基于散列函数的强口令密码认证协议,分析了目前该类协议中具有较高安全性的SPAS协议。虽然协议具有较高的安全性,但是通过分析发现协议还是存在安全漏洞。存在安全缺陷的主要原因是协议中使用的密码技术过于单一。该类协议中,如果不使用其它密码技术,很难使协议达到安全。     

一次性口令身份认证方案的分析与改进

分析了文献[1]中的一次性口令的身份认证方案,发现由于原方案是一个单向认证协议,因此不能抵抗中间人攻击,该文在不增加计算复杂度的前提下,对原方案进行了改进,使其成为一个安全的双向认证协议,并将其中的关键信息进行了加密保护,改进后的方案克服了原方案存在的安全漏洞,并保留了原方案的所有安全特性,且具有更高的安全性。     

无线传感器网络下多因素身份认证协议的内部人员攻击

无线传感器网络技术一经提出,迅速得到学术界、工业界的广泛关注,在国防军事、环境监测、智能家居、健康护理等领域发挥着重要作用.身份认证是保障无线传感器网络实时访问的关键安全技术.基于增强的攻击者模型,提出一种被长期忽略的内部攻击威胁,对无线传感器网络环境下的两个代表性认证协议进行了安全性分析.指出Mir等人的协议无法抵抗内部攻击和智能卡丢失攻击,且未实现前向安全性;指出Fang等人的协议同样无法实现所声称的前向安全性特性,且对内部攻击和智能卡丢失攻击是脆弱的.针对协议具体失误之处,提出相应的解决方案.总结了7类应对内部攻击的解决方案.指出了现有方法的不足,提出了合理的解决方案.