基于动态口令的远程双向认证方案

针对基于口令的远程用户鉴别方案在时间戳和用户ID以及挑战/应答机制中的单相认证的上存在的脆弱性,该方案能进行双向认证,可抵抗重放攻击和假冒攻击,也体现了认证的公平性,比较发现该方案是一种更安全、实用、简单、便捷的基于动态口令的远程双向认证方案。     

基于TePA视频监控身份认证技术的研究与实现

视频监控安全问题一直备受关注,如何保障信息传输安全是人们研究的重点。传统基于口令的身份认证协议存在弱口令隐患,导致攻击者利用口令猜测攻击获取非法信息。然而使用Kerberos协议要求用户设置强口令以增强认证安全,用户的体验方式差。设计了一种基于三元对等身份鉴别的视频监控管理方案,引入可信第三方鉴别机制,实现对等实体之间的双向认证,有效地解决了设备认证的安全问题。     

一种新的基于动态口令的远程双向认证

针对基于口令的远程用户鉴别方案在时间戳和用户ID以及挑战/应答机制中的单相认证的上存在的脆弱性,采用指纹和智能卡双重认证技术,提出了挑战/应答机制的改进方案,该方案能进行双向认证,可抵抗重放攻击和假冒攻击,且由示证和认证双方共同生成随机因子,也体现了认证的公平性,认证过程不需要传递用户指纹信息,保护了用户的隐私,比较发现该方案是一种更安全、实用、简单、便捷的基于动态口令的远程双向认证方案。     

一种防口令猜测的认证机制

计算机安全保密中的认证是用于鉴别用户身份的。常规的基于口令的认证机制不具备防口令猜测性，为此，本文提出了带惩罚因子的认证方案，通过对输入错误的分析，区分真正用户与入侵者进而对可能入侵者施行惩罚性的输入。此外，为了防止窃密者通过观察操作者的动作来获取口令，提出了动态口令输入法。     

带惩罚因子的动态口令认证机制

计算机安全保密中的认证是用于鉴别用户身份的。常规的基于口令的认证机制不具备防口令猜测性，为此，本文提出了带惩罚因子的认证方案，通过对输入错误的分析，区分真正用户与入侵者进而对可能入侵者施行罚性的输入。此外，为了防止窃密者通过观察操作者的动作来获取口令，提出了动态口令输入法。     

基于智能卡和指纹的动态口令鉴别方案

针对Lin和Lai提出的基于口令的远程用户鉴别方案在时间戳和用户ID上存在的脆弱性,提出基于挑战 应答机制的改进方案。该方案采用指纹和智能卡双重认证技术,能进行双向认证,可抵抗重放攻击和假冒攻击,且由示证和认证双方共同生成随机因子,也体现了认证的公平性,认证过程不需要传递用户指纹信息,保护了用户的隐私。     

基于模糊逻辑的击键特征用户认证系统

为了增强用户身份认证机制的安全性,在传统的口令认证方式的基础上,提出了一种基于模糊逻辑的击键特征用户认证方法。该方法利用模糊逻辑对用户输入口令的键盘特征进行分析鉴别,并结合用户口令进行用户身份认证。该方法有效弥补了传统的口令机制易被攻击的缺点,有一定的实用性。     

基于混沌映射的用户匿名三方口令认证密钥协商协议

在基于混沌的三方口令认证密钥协商协议中,用户通过低熵的口令实现相互认证和共享会话密钥,以避免在身份认证过程中公钥基础设施或存储用户长期密钥的安全威胁。通过分析Lee提出的基于混沌映射的口令认证密钥协商协议,发现其协议不能进行口令变更,而且仅适用于用户和服务器之间的两方通信。为了改进此方案,提出两个基于切比雪夫混沌映射的用户匿名三方口令认证密钥协商协议,包括基于时钟同步的密钥协商方案和基于随机数的密钥协商方案。其中基于时钟同步的用户匿名三方口令认证密钥协商协议通信量少,基于随机数的用户匿名三方口令认证密钥协商协议更容易实现。两个方案的优点是用户仅选择一个简单的口令进行相互认证和密钥协商,服务器不需要再保护用户口令表,避免了口令相关的攻击,而且在相互认证过程中用户使用临时身份和哈希函数,实现用户匿名性,在增强协议安全性的同时,减少了通信过程中消息的数量,提高了协议的执行效率,具有完美前向安全,并用BAN逻辑证明了其安全性。     

抗凭证泄露攻击的图形口令认证方案

图形口令既可以减轻用户记忆传统文本口令的负担, 又可以简化用户输入口令的步骤, 近年来, 广泛应用于移动设备的用户认证. 现有的图形口令认证方案面临严峻的安全问题. 首先, 图形口令容易遭受肩窥攻击: 用户的登录过程被攻击者通过眼睛或者摄像头等方式偷窥导致图形口令泄露. 更为严重的是, 这类认证方案不能抵抗凭证泄露攻击: 服务器存储与用户图形口令有关的认证凭证并利用其验证用户身份, 攻击者如果得到服务器保存的凭证就可以通过离线口令猜测攻击恢复用户图形口令. 为了解决上述问题, 提出了一个安全的图形口令认证方案(GADL). GADL方案通过将随机的挑战值嵌入到用户的图形口令来抵御肩窥攻击, 因此攻击者即使捕获了用户的登录信息也无法得到用户图形口令. 为了解决服务器凭证数据库泄露问题, GADL方案采用了一种确定性的门限盲签名技术来保护用户图形口令. 该技术利用多个密钥服务器来协助用户生成凭证, 使得攻击者即使获得凭证也无法实施离线猜测攻击来获得用户口令. 给出的安全性分析证明了GADL方案可以抵抗上述攻击. 此外, 给出了全面的性能分析表明GADL方案在计算、存储和通信开销这3个方面性能较高, 且在移动设备上易于部署.     

基于动态ID的远程用户身份认证方案

用户身份认证作为网络安全和信息安全的第一道屏障,有着非常重要的作用.口令与智能卡相结合的认证方式可以克服传统口令认证方式的诸多弊端,能够提高网络和信息系统整体的安全性.对基于动态ID的远程用户身份认证方案进行了分析,指出了该方案在入侵者持有用户智能卡的情况下,即使不知道用户口令也能够伪装成合法用户通过远程系统的身份验证,获取系统的网络资源.提出了一种改进方案,能有效抵御重放攻击、伪造攻击、口令猜测攻击、内部攻击和伪装攻击.     

基于用户社会关系的移动终端认证方案

针对现有用户间社会关系身份认证方案存在用户信任度计算不合理、身份票据缺少认证权重、认证阈值无法随着用户间熟悉程度改变而改变的问题,提出了一种云计算环境下基于用户社会关系的移动终端认证方案。该方案从通信产生的信任度与属性产生的信任度两个方面综合计算用户间的信任度,并根据用户间的熟悉程度为身份票据设置动态权重和动态认证阈值,最后改进了身份票据的生成、认证过程。实验结果表明,所提方案改进了已有的用户间社会关系身份认证方案存在的不足,对于移动终端的资源消耗仅为已有方法的三分之一,更加适合在移动云计算环境中使用。     

增强的基于生物密钥智能卡远程身份认证方案

基于生物特征的智能卡身份认证提供智能卡硬件、口令验证、生物特征识别三重保护,给身份认证技术带来新的突破点.回顾了具有较高安全性能的Khan-Kumari方案工作原理,指出该方案存在身份密值封装不当、密值使用方式不合理、新鲜性检测功能缺失、认证双方交互不够充分等缺陷,可导致身份认证安全性受损.提出一个增强的基于生物密钥智能卡远程身份认证方案,用可相互验证的双要素对用户身份密值实施联合保护,基于新鲜性检测、识别重放消息,以融入时标的动态散列值密钥加密传输受保护参数,增加确认消息完善认证流程,增强了用户身份密值的保护强度,提高了对智能卡破解、消息重放、身份冒充、拒绝服务等攻击的抗击能力.安全性分析表明,增强方案以较低的计算与通信开销,有效修复了Khan-Kumari方案中的缺陷,安全性能获得显著增强,即使在两重保护失效条件下,发生身份冒充、认证失败的概率可控制在至10\\+{-38}以下.     

对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-WoonLee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee—Kim—Yoo协议,首先分析了此协议中所存在的安全性缺陷。随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

基于二次剩余的低功耗蓝牙用户认证方案

针对低功耗蓝牙协议栈安全机制中缺乏用户身份合法性认证的问题,首先分析并指出了已有蓝牙用户认证协议无法抵抗假冒和窃听攻击,且无法适用于低功耗蓝牙协议;其次结合低功耗蓝牙协议层次设计了用户认证模型,构建了基于二次剩余的低功耗蓝牙用户认证方案。通过中国剩余定理求解二次剩余,完成用户身份双向认证,同时满足用户匿名要求。安全性分析表明方案可以有效地抵御用户口令泄露、从设备丢失、假冒及窃取用户隐私等攻击方式。理论分析及实验结果表明具有较高的计算效率和较小的存储开销,适用于资源受限的低功耗蓝牙可穿戴设备应用场景。     

对一种身份认证协议的改进及其形式化分析①

基于口令的远程身份认证协议是目前认证协议研究的热点。2005年,Sung-Woon Lee等人提出了一个低开销的基于随机数的远程身份认证协议即Lee-Kim-Yoo协议,首先分析了此协议中所存在的安全性缺陷,随后构造了一个基于随机数和Hash函数,并使用智能卡的远程身份认证协议,最后用BAN逻辑对修改后的协议进行了形式化的分析,结果表明修改后的协议能够达到协议的安全目标。     

Efficient and secure two-factor dynamic ID-based password authentication scheme with provable security

Password-based remote user authentication schemes using smart cards are designed to ensure that only a user who possesses both the smart card and the corresponding password can gain access to the remote servers. Despite many research efforts, it remains a challenging task to design a secure password-based authentication scheme with user anonymity. The author uses Kumari et al.’s scheme as the case study. Their scheme uses non-public key primitives. The author first presents the cryptanalysis of Kumari et al.’s scheme in which he shows that their scheme is vulnerable to user impersonation attack, and does not provide forward secrecy and user anonymity. Using the case study, he has identified that public-key techniques are indispensable to construct a two-factor authentication scheme with security attributes, such as user anonymity, unlinkability and forward secrecy under the nontamper resistance assumption of the smart card. The author proposes a password-based authentication scheme using elliptic curve cryptography. Through the informal and formal security analysis, he shows that proposed scheme is secure against various known attacks, including the attacks found in Kumari’s scheme. Furthermore, he verifies the correctness of mutual authentication using the BAN logic.     

无线医疗传感网的匿名双向身份认证研究

针对无线医疗传感网系统中通信实体身份问题,提出了一种双向身份认证方案,包括初始化 、用户注册 、身份认证和机密信息及口令更新4个阶段.该方案实现了用户 、医疗传感节点和个人服务器三者之间的双向身份认证,保证用户匿名性的同时能够抵御多种攻击.与现有的两种认证方案相比,降低了时间复杂度,同时具有更高的安全性,适用于无线医疗传感网.     

云环境下基于PTPM和无证书公钥的身份认证方案

为了解决目前云环境下用户与云端之间进行身份认证时所存在的安全问题和不足,本文首次将PTPM(Portable TPM)和无证书公钥密码体制应用到云环境中,提出一种用于实现用户与云端之间双向身份认证的方案.和现有方案相比,新方案具有以下特点:在通过建立身份管理机制实现用户和云端身份唯一性的基础上,首先利用PTPM不仅确保了终端平台的安全可信和云端与用户之间认证结果的真实正确,而且支持用户利用任意终端设备来完成与云端的身份认证过程;其次,新方案基于无证书公钥签名算法实现了“口令+密钥”的双因子认证过程;最后,通过安全性理论证明和性能分析,证明本文提出的方案在保证EUF-CMA安全性的同时,显著提高了用户和云端之间身份认证的计算效率.     

Cryptanalysis and security enhancement of a ‘more efficient & secure dynamic ID-based remote user authentication scheme’

Remote user authentication is a method, in which remote server verifies the legitimacy of a user over an insecure communication channel. Currently, smart card-based remote user authentication schemes have been widely adopted due to their low computational cost and convenient portability for the authentication purpose. Recently, Wang et al. proposed a dynamic ID-based remote user authentication scheme using smart cards. They claimed that their scheme preserves anonymity of user, has the features of strong password chosen by the server, and protected from several attacks. However, in this paper, we point out that Wang et al.’s scheme has practical pitfalls and is not feasible for real-life implementation. We identify that their scheme: does not provide anonymity of a user during authentication, user has no choice in choosing his password, vulnerable to insider attack, no provision for revocation of lost or stolen smart card, and does provide session key agreement. To remedy these security flaws, we propose an enhanced authentication scheme, which covers all the identified weaknesses of Wang et al.’s scheme and is more secure and efficient for practical application environment.