一种高效安全的动态口令认证方案

动态口令身份认证技术相对于传统的静态口令身份认证技术有更高的安全性.基于ElGamal公钥密码体制和挑战-应答机制,提出了一种新型的结合智能卡和指纹特征的动态口令身份认证方案,实现了服务器和用户之间的双向认证,该方案能够有效地防止重放攻击,并且可以抵御假冒服务器攻击.     

Ku-Chien远程身份认证方案的安全性分析

Ku－Chien远程身份认证方案是一种使用智能卡、低开销、实用的口令认证方案。本文分析了Ku－Chien方案的安全性,指出了Ku－Chien方案的安全缺陷：不能抵御并行会话攻击和伪造主机攻击。分析了产生安全缺陷的原因：登陆阶段用户计算出的秘密信息和认证阶段远程主机计算出的秘密信息具有类似的结构。最后,利用口令更改计数器,给出了一种改进的口令认证方案。该方案允许用户自主选择并更改口令,实现了双向认证;能够抵御重放攻击、内部攻击,具备强安全修复性;能够抵御并行会话攻击和伪造远程主机攻击。     

基于双线性对的智能卡口令认证改进方案

通过对一种使用双线性对构造的智能卡口令认证方案的分析,发现该方案不能抵抗冒充攻击和服务器伪装攻击。针对该问题,提出一种改进的基于双线性对的智能卡口令认证方案,即利用服务器公钥进行加解密操作,通过引入序列号使用户与系统间进行了双向认证,不仅保持了原有方案的安全性,而且能有效地抵御冒充攻击和服务器伪装攻击,安全性更高。     

使用智能卡的动态口令认证机制

动态口令身份认证机制是目前身份认证技术发展的一个重要方向。但是在很多动态口令机制中,用户的认证数据通常利用在服务器储存的验证因子进行掩码传输,如果验证因子被盗,攻击者就可以伪造验证数据,因此动态口令认证机制易遭受盗窃攻击。最近提出了一种新的抗盗窃攻击的动态口令认证方案2GR,但是2GR不能抵抗拒绝服务攻击,也没有提供用户和服务器的双向认证。将在2GR方案的基础上提出一个基于智能卡的改进方案,该方案能解决上述问题。     

基于动态ID的远程用户身份认证方案

用户身份认证作为网络安全和信息安全的第一道屏障,有着非常重要的作用.口令与智能卡相结合的认证方式可以克服传统口令认证方式的诸多弊端,能够提高网络和信息系统整体的安全性.对基于动态ID的远程用户身份认证方案进行了分析,指出了该方案在入侵者持有用户智能卡的情况下,即使不知道用户口令也能够伪装成合法用户通过远程系统的身份验证,获取系统的网络资源.提出了一种改进方案,能有效抵御重放攻击、伪造攻击、口令猜测攻击、内部攻击和伪装攻击.     

一种可证安全的两方口令认证密钥交换协议

口令认证的两方密钥交换协议无法抵御口令字典攻击和服务器泄漏伪装攻击。为此,提出一种改进的PAKA-X协议,用户保存自己的口令明文,服务器存储用户口令明文的验证值,由此弥补原协议的安全漏洞。理论分析结果表明,改进协议具有完美前向安全性,能抵抗Denning-Sacco攻击、服务器泄漏攻击、在线和离线字典攻击以及中间人攻击,并且仅需9次指数运算、6次哈希运算和6次异或运算,运行效率较高。     

RFID分布式密钥阵列认证协议的安全性分析

RFID技术已广泛地应用在诸如访问控制、支付系统、票务系统以及供应链管理等领域,但同时安全和隐私问题变得越来越严重。安全认证协议的设计与完善对于保护信息安全和用户隐私变得更加重要。2011年H.Ning等人提出分布式可扩展密钥阵列认证协议（KAAP）,该协议采用分布式密钥阵列架构、访问列表机制和动态随机数机制来抵御系统外部攻击和内部假冒攻击。针对KAAP建立两种有效的攻击模型,在此基础上分析得出该认证协议不能有效地抵御来自外部的重放攻击和拒绝服务攻击。KAAP安全性存在漏洞,不能达到设计的预期目标。     

基于移动端协助的硬口令认证密钥交换协议

针对现有口令认证密钥交换协议易受各种网络攻击,影响用户私密信息安全的问题,提出一种基于移动端协助的硬口令认证密钥交换协议,在移动端的辅助下,允许用户使用单一口令建立与服务器之间的安全会话。协议中,用户无须记忆任何复杂的私钥信息,即使移动设备丢失、被盗或遭受恶意软件侵袭,也不会损害用户信息。安全性和性能分析表明,协议明显降低了服务器的计算消耗,大大提高了用户私密信息的安全性,可以抵御字典攻击、中间人攻击等的影响,减轻用户记忆负担,缓解存储压力,易于部署。     

改进的抵抗离线字典攻击的口令更新协议

口令认证是最简单,方便和应用最广泛的一种用户认证方式。最近,Tsaur等人指出了Chang等人的口令更新协议存在拒绝服务攻击并且不能提供口令的后向安全。随后,他们给出了一种改进的口令更新协议,并声称该协议是安全的。文中,分析了Tsaur等人的口令更新协议,指出了其方案是易受离线字典攻击的,且不能提供口令的前向和后向安全性。最后,提出一种改进的口令更新协议,并分析其安全性。     

一种适合远程访问场景的认证和密钥交换方案

提出了一种基于基本ECMQV协议的非对称式认证和密钥交换方案AEAS,可实现对客户端的口令认证和对服务端的公钥认证;AEAS中的客户端口令认证具有零知识安拿属性,允许用户使用弱口令,并能抵御各种字典攻击和重放攻击;与同类非对称认证和密钥交换方案相比,AEAS具有最少的公钥计算开销。AEAS协议能集成到现有WTLS协议框架中,从而实现一种高安全性和低计算开销的WTLS扩展,它完全可满足无线终端在企业远程访问场景下的高安全性要求。     

对两个基于智能卡的口令认证协议的安全性分析

身份认证是确保信息系统安全的重要手段,基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术,对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出“对Liao等身份鉴别方案的分析与改进”(潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进.计算机工程与应用,2010,46(4):110-112)中提出的认证协议无法实现所声称的抗离线口令猜测攻击;指出“基于双线性对的智能卡口令认证改进方案”(邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案.计算机工程,2010,36(18):150-152)中提出的认证协议无法抗拒绝服务(DoS)攻击和内部人员攻击,且口令更新阶段存在设计缺陷。分析结果表明,这两个口令认证协议都存在严重安全缺陷,不适合安全需求较高的应用环境。     

基于D-H密钥交换协议的用户认证方案

分析指出Liaw等人的远程用户认证方案(Mathematical and Computer Modelling,2006,No.1/2)容易受到重放攻击和中间人攻击,并且密码修改阶段和注册阶段存在安全漏洞,在此基础上提出一个基于D-H密钥交换协议的远程用户认证方案.理论分析结果表明,该方案可以抵抗假冒攻击、重放攻击、中间人攻击,安全地实现相互认证及会话密钥生成.     

基于USB-Key的强口令认证方案设计与分析

针对OSPA强口令认证方案无法抵抗重放攻击、拒绝服务攻击的不足,提出了一种基于USB-Key的口令认证方案。该方案使用USB-Key进行用户口令的验证并存储认证的安全参数,能够有效地保护安全参数不被窃取。认证方案在认证过程中对用户的身份信息进行了保护,使用Hash运算计算认证参数,通过用户端和服务器端之间的认证参数的传递实现双向认证。方案的安全性分析表明,它能够防止口令猜测攻击、重放攻击、假冒攻击、拒绝服务攻击,方案系统开销小,适用于运算能力有限的终端用户。     

基于口令的远程身份认证及密钥协商协议

基于口令的身份认证协议是研究的热点。分析了一个低开销的基于随机数的远程身份认证协议的安全性,指出了该协议的安全缺陷。构造了一个基于随机数和Hash函数、使用智能卡的远程身份认证和密钥协商协议：PUAKP协议。该协议使用随机数,避免了使用时戳带来的重放攻击的潜在风险。该协议允许用户自主选择和更改口令,实现了双向认证,有较小的计算开销;能够抵御中间人攻击;具有口令错误敏感性、口令的主机非透明性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。     

基于二次剩余的低功耗蓝牙用户认证方案

针对低功耗蓝牙协议栈安全机制中缺乏用户身份合法性认证的问题,首先分析并指出了已有蓝牙用户认证协议无法抵抗假冒和窃听攻击,且无法适用于低功耗蓝牙协议;其次结合低功耗蓝牙协议层次设计了用户认证模型,构建了基于二次剩余的低功耗蓝牙用户认证方案。通过中国剩余定理求解二次剩余,完成用户身份双向认证,同时满足用户匿名要求。安全性分析表明方案可以有效地抵御用户口令泄露、从设备丢失、假冒及窃取用户隐私等攻击方式。理论分析及实验结果表明具有较高的计算效率和较小的存储开销,适用于资源受限的低功耗蓝牙可穿戴设备应用场景。     

适用于无线体域网的动态口令认证协议

无线体域网中传输的是与生命高度相关的敏感数据，身份认证是信息安全保护的第一道防线。现有的基于人体生物信息的身份认证方案存在信息难提取、偶然性大和误差性大的问题，基于传统密码学的认证方案需较大计算资源和能量消耗，并不适用于无线体域网环境。为此，在动态口令和非对称加密机制基础上，提出一种适用于无线体域网的动态口令双向认证轻量协议，并对其进行形式化分析。通过理论证明、SVO逻辑推理及SPIN模型检测得出：该协议满足双向认证，且能够抵御重放攻击、伪装攻击、拒绝服务器攻击和口令离线攻击，具有较高安全性。     

Web网站统一口令认证系统的设计与实现

分析了现有Web网站认证系统由于管理分散导致用户认证烦琐以及采用的后续认证方法存在安全隐患等问题。针对这些问题,设计了一个Web网站统一口令认证系统,具体给出了系统体系结构以及协议的设计,并对系统的关键实现技术进行了探讨。系统中,用户通过一次动态口令认证,即可访问网站权限范围内所有的应用服务,同时系统也实现了对用户的安全后续认证。     

对三个多服务器环境下匿名认证协议的分析

设计安全高效的多服务器环境下匿名身份认证协议是当前安全协议领域的研究热点。基于广泛接受的攻击者模型,对多服务器环境下的三个代表性匿名认证协议进行了安全性分析.指出Wan等协议无法实现所声称的离线口令猜测攻击,且未实现用户匿名性和前向安全性;指出Amin等协议同样不能抵抗离线口令猜测攻击,且不能提供匿名性,对两种破坏前向安全性的攻击是脆弱的;指出Reedy等协议不能抵抗所声称的用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性.突出强调这些协议失败的根本原因在于,违反协议设计的三个基本原则：公钥原则、用户匿名性原则和前向安全性原则.明确协议的具体失误之处,并提出相应修正方法.     

对两个无线传感器网络中匿名身份认证协议的安全性分析

针对设计安全高效的无线传感器网络环境下匿名认证协议的问题,基于广泛接受的攻击者能力假设,采用基于场景的攻击技术,对新近提出的两个无线传感器网络环境下的双因子匿名身份认证协议进行了安全性分析。指出刘聪等提出的协议(刘聪,高峰修,马传贵,等.无线传感器网络中具有匿名性的用户认证协议.计算机工程,2012,38(22):99-103)无法实现所声称的抗离线口令猜测攻击,且在协议可用性方面存在根本性设计缺陷;指出闫丽丽等提出的协议(闫丽丽,张仕斌,昌燕.一种传感器网络用户认证与密钥协商协议.小型微型计算机系统,2013,34(10):2342-2344)不能抵抗用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性。结果表明,这两个匿名身份认证协议都存在严重安全缺陷,不适于在实际无线传感器网络环境中应用。