Shoulder-surfing-proof graphical password authentication scheme

The graphical password authentication scheme uses icons instead of text-based passwords to authenticate users. Icons might be somehow more familiar to human beings than text-based passwords, since it is hard to remember the latter with sufficient security strength. No matter what kind of password is used, there are always shoulder-surfing problems. An attacker can easily get text-based password or graphical password by observation, capturing a video or recording the login process. In this paper, we propose a shoulder-surfing-proof graphical password authentication scheme using the convex-hull graphical algorithm. We give evaluation and comparisons to demonstrate the security strength and the functionality advantages of our scheme.     

移动Web服务图形密码认证方案设计

研究了图形密码的身份认证方式。在详细分析移动Web服务特点的基础上,设计了面向移动Web服务的图形密码认证方案。经分析可得:该方案可有效抵御针对移动终端的肩窥攻击和木马攻击,也可有效抵御网络传输信息的拦截攻击,同时,该方案不要求移动终端在每次认证时进行复杂的运算。     

一种基于令牌的单点登录认证服务

在企业计算网格中,单点登录能较大地提升企业应用的整体效能.通过分析基5-4"-牌的单点登录认证协议,结合Kerberos、JGSS、JASS及SPNEGO等相关技术,提出单点登录模型HSSO.在此基础上,着重讨论了HSSO应用Java技术解析SPNEGO令牌,通过Java Filter的方式实现与应用服务器的集成等关键技术.企业实际应用表明,HSSO是一种轻量级的,适用于Intranet环境下跨平台、跨应用服务器的单点登录解决方案.     

Single password authentication

Users frequently reuse their passwords when authenticating to various online services. Combined with the use of weak passwords or honeypot/phishing attacks, this brings high risks to the security of the user’s account information. In this paper, we propose several protocols that can allow a user to use a single password to authenticate to multiple services securely. All our constructions provably protect the user from dictionary attacks on the password, and cross-site impersonation or honeypot attacks by the online service providers.     

图形密码身份认证方案设计及其安全性分析

为了解决身份认证方案中口令的安全性和易记忆性的矛盾,针对传统的字符式口令的诸多缺点,提出了结合新型图形密码的身份认证参考方案.在图形密码设计原则下,依据基于识别型和基于记忆型的设计思想,提出图形密码身份认证参照方案,并将图形密码的安全性与文本密码进行比较,分析了图形密码的密钥空间和抵抗常见口令攻击的能力.经分析多数图形密码在易记忆性和安全性方面优于传统密码.     

基于AES的远程访问的认证协议

本文提出了一种基于AES实现的口令认证方法。该算法不使用公开密钥算法,仅采用AES进行远程用户的身份认证。该方法具有速度快,安全性高的特点,易于采用令牌(Token)或IC卡硬件实现。在本文的最后,还对认证协议的安全性进行了讨论。     

一个新的动态口令认证方案

介绍并分析了S／KEY口令认证方案和非对称口令认证方案,针对它们无法抵御劫取连接攻击等安全缺陷,在充分吸收它们设计思想的基础上,提出了一个新的动态口令认证方案,给出了具体注册过程、认证过程及参数选择,并进行了安全性分析。分析可得,新方案可抵御劫取连接等攻击。     

可分发密钥的双向口令认证方案

研究在认证服务器拥有公私钥对和客户端有容易记忆的弱口令条件下,实现强认证和密钥交换的安全协议.对Wangr的方案进行了安全性分析,发现该协议不能抵抗许多种攻击方式.提出一种在不安全网络上集口令认证、口令更改和密钥建立的方案,通过对新方案与Hwang-Yeh方案、Peyravian-Zunic方案、Peyravian-Jeffries方案和Wang方案进行的安全性对比分析,分析结果表明新口令认证方案具有更高的安全性和实用性.     

A password authentication scheme over insecure networks

Authentication ensures that system's resources are not obtained fraudulently by illegal users. Password authentication is one of the simplest and the most convenient authentication mechanisms over insecure networks. The problem of password authentication in an insecure networks is present in many application areas. Since computing resources have grown tremendously, password authentication is more frequently required in areas such as computer networks, wireless networks, remote login, operation systems, and database management systems. Many schemes based on cryptography have been proposed to solve the problem. However, previous schemes are vulnerable to various attacks and are neither efficient, nor user friendly. Users cannot choose and change their passwords at will. In this paper, we propose a new password authentication scheme to achieve the all proposed requirements. Furthermore, our scheme can support the Diffie–Hellman key agreement protocol over insecure networks. Users and the system can use the agreed session key to encrypt/decrypt their communicated messages using the symmetric cryptosystem.     

改进的基于RTT口令认证协议

传统的口令认证方案面临自动程序实施的在线字典攻击威胁,为了解决这个问题,Pinkas和Sander提出了一个基于RTT的口令认证协议,虽然该协议有很高的安全性,但是该协议存在已知函数攻击和缺少对恶意用户的惩罚措施的不足,针对以上不足,提出了一种新的改进方案。改进后的协议不公避免了原有协议的不足,且能更好地防止在线字典攻击。在.NET平台下编程实现了改进后的协议,实验结果表明,该协议有很好的可用性和可扩展性。     

动态口令认证方案的研究与改进

研究了动态口令技术,分析了文献[1]中的一个可抵御劫取连接攻击的新的动态口令认证方案,原方案中由于对关键信息gPINIIPW的保护不够,尽管方案中的口令是动态的,但实际上原方案不能抵抗冒充服务器攻击.利用Diffie-Hellman密钥交换算法对原方案进行了修改,修改后的方案克服了原方案存在的安全漏洞,保留了原方案的所有安全特性,具有更高的安全性,并且降低了计算量.     

基于智能卡的远程口令认证方案

提出了一个基于RSA系统和智能卡的远程口令认证系统方案。相对于其他方案,本方案的客户端用户可以自由选择口令,并根据需要自己及时更新口令,服务器端不用保存用户的任何认证信息。方案基于成熟的RSA密码系统和单向安全的hash函数,操作简单,切实可行。     

无线自组网中基于身份的口令认证方案

利用数字签名将口令与节点身份绑定,防止了恶意节点假冒合法节点的攻击,以及内部节点的抵赖行为的发生。该方案采用前向哈希链的思想进行口令更新,减轻了节点的计算开销和存储开销。利用Diffie-Hellman密钥交换方法产生会话密钥,减小了因长时间存储密钥而遭受攻击的机率。     

无须重注册的单向通信动态口令认证

动态口令是在系统中或设备上仅对一次会话有效的口令。目前存在的无须重注册的动态口令方案虽然不受认证次数的限制,但仅支持在线认证,不能离线认证。针对以上问题,提出一种无须重注册的单向通信动态口令认证方案。该方案基于无须重注册的方式结合基于时间动态口令方案,在实现离线认证的同时满足认证次数无限和口令有时效,最后证明该方案的安全性。     

基于IC卡的改进型对称密码认证方法

根据目前IC卡对称加密认证方式,通过加入单向散列的PIN码以加强对称密码交互认证的安全性.方法的核心是首先得到PIN码与认证设备交互验证时的密钥,然后将此密钥与射频卡ID号进行组合加密计算得到真正用于认证的密钥.使用该方法可以不在卡中存储PIN码或PIN码的等价信息,防止卡被破解后PIN码的泄漏,并降低卡内2个扇区的占用.     

DoS-resistant ID-based password authentication scheme using smart cards

In this paper, we provide a defense mechanism to Kim-Lee-Yoo’s ID-based password authentication scheme, which is vulnerable to impersonation attacks and resource exhaustion attacks. Mutual authentication and communication privacy are regarded as essential requirements in today’s client/server-based architecture; therefore, a lightweight but secure mutual authentication method is introduced in the proposed scheme. Once the mutual authentication is successful, the session key will be established without any further computation. The proposed defense mechanism not only accomplishes the mutual authentication and the session key establishment, but also inherits the security advantages of Kim-Lee-Yoo’s scheme, e.g. it is secure against password guessing attacks and message replay attacks.     

基于表情图像变形的动态口令认证系统

为解决当前身份认证系统存在的安全性问题,分析和比较了传统身份认证和一次性口令的相关技术,指出其在开发式网间进行传输时,容易受到截取和重放攻击以及伪造服务器的恶意欺骗.在分析了人脸表情变形技术特点的基础上,针对现有OTP系统对智能硬件过于依赖以及无法有效防伪服务器恶意欺骗等不安全因素,结合人脸表情变形的特点,提出将变形图像及其隐含的变形参数序列作为可变因子,取代现有OTP口令系统中的传统可变因子,以解决现有OTP系统在传输安全及服务器恶意欺骗防伪等方面的不足.最后设计完成了一个可实用化的基于人脸表情图像变形技术的一次性口令认证系统原型.     

基于生物特征和口令放大的远程认证协议

基于口令的认证协议具有简单、方便、强适应性及移动性等优点,它广泛应用于网上银行、ATM等远程登录环境中。但是一般用户的口令具有低熵、安全性低、口令数据难以保护等缺点,从而使系统存在许多安全隐患。口令放大是这样的一种算法,它输入用户的低熵的口令和一个高熵的随机数,然后输出一个高熵的新口令,从而提高了系统的安全性,也不增加用户的负担。人体生物特征是人体所固有的生理和行为特征,而模糊提取器可以从人体的生物特征中提取出高熵的随机串。生物特征和口令放大的结合,恰好可以克服基于口令的认证协议的缺点,提高其安全性。提出了一种结合人体生物特征和口令放大的单向认证协议,充分发挥了基于口令的认证协议所具有的简单易用和生物特征高熵、安全性高等优点,并且具有一定的容错能力。