改进的跨域口令认证密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.对C2C-PAKE协议的安全性进行了全面的分析,发现该协议易遭受诸如假冒发起者、假冒响应者等假冒攻击.同时基于口令验证子提出了一个改进的跨域口令认证密钥交换协议,该协议能够提供双向认证、会话密钥机密性和前向安全性,能够有效地抵抗多种攻击,包括服务器遭侵害的假冒攻击、口令泄露伪造攻击、离线字典攻击和不可检测的在线字典攻击.     

关于S-3PAKE协议的漏洞分析

通过分析一种基于CCDH假设的简单三方密钥交换协议(S-3PAKE协议),指出了该协议未对攻击者可能的身份进行全面考虑,缺乏完备认证机制的缺陷,阐明了当攻击者本身就是与服务器共享一对认证口令的合法用户时,该协议不能有效地抵抗在线口令猜测攻击,并提出了一种对S-3PAKE协议进行在线口令猜测攻击的具体方法。使用该方法,攻击者只需与服务器进行通信,即可对其他用户的口令进行猜测分析。     

基于智能卡的双向身份鉴别方案分析与改进

2003年,Shen、Lin和Hwang提出利用一种基于时间戳的智能卡远程身份鉴别方案,此方案允许用户更改口令,远程服务器不需要存储用户的口令或验证表,可提供基于时间戳的双向身份鉴别以对抗假冒登录攻击及假冒服务器攻击。但已有研究表明该方案不能有效对抗假冒登录攻击,攻击者至少可以通过两种方式伪装成一个合法用户成功地登录到远程服务器。为此,通过改进鉴别方案的安全策略和身份鉴别信息,提出可有效对抗假冒登录攻击的改进方案,安全性分析表明,改进后的方案保持了非存储数据型鉴别方案特点,且没有增加智能卡计算代价,具有更好的安全性和实用性。     

一种改进的基于USB存储设备的用户口令认证协议

在对Jiang等人的协议进行安全性分析的基础上,针对其不能抵抗DoS攻击和内部人员攻击的缺陷,提出了改进方案.此改进方案加入了Cookie机制,并结合了哈希函数和加密方法,使得改进后的口令认证协议不仅能抵抗DoS和内部人员的攻击,而且实现了用户的匿名性,从而保护了用户的隐私,具有更高的安全性.     

可信的智能卡口令双向认证方案

提出一种基于智能卡的可信双向认证方案,使用散列函数认证身份,采用远程证明方法验证平台可信性.该方案支持安全会话密钥协商,支持用户身份匿名及口令自由更换,服务器平台证书可更新.分析表明,该方案可以抵抗针对智能卡口令认证方案的常见攻击,安全高效,满足安全设计目标.     

基于身份的远程相互认证改进方案

通过对一种基于椭圆曲线密码和身份的远程相互认证方案进行分析,发现该方案不能够抵抗假冒攻击.针对该问题,提出了一种改进的基于身份的远程相互认证方案.利用服务器的公钥对登录信息进行加解密操作,并增加一个时间间隔,不仅保持了原方案的安全性,还能够有效地抵抗假冒攻击.     

基于可信计算的口令管理方案

针对现有口令管理方案抗攻击能力和易用性方面的不足,提出了基于可信计算的口令管理方案. 该方案借助可信平台模块的密钥管理、安全存储和授权访问控制等关键技术实现了口令管理中敏感数据的安全保护,增强了口令计算过程的安全性. 通过与现有方案的对比,分析了该方案的安全性和易用性. 分析结果表明,本文的方案提高了口令的强度和易用性,并且能够抵抗网络钓鱼攻击.     

基于几何方法的远程登录认证方案的密码分析

Wu提出的基于几何方法的程登录认证方案无法抵制假冒攻击．为此，Chien等人给出了一个改进方案，但这种改进方案存在安全缺陷，极易受到猜测攻击．一旦用户的口令被猜测到，攻击者就可利用该口令在任意时间成功地进行远程登录认证．为了克服这个缺陷，在智能卡中存储了一个随机数，从而得到一种新的改进方案．在新的改进方案中，攻击者无法离线检验所猜测的口令是否正确，因而可以避免猜测攻击、     

使用双线性对构造的智能卡口令认证方案

研究了双线性对在智能卡口令认证方案中的应用;针对Giri et al方案在敌手能够获取存储在智能卡中信息的情况下不能抵抗冒充攻击的安全缺陷,提出了一种使用双线性对构造的智能卡口令认证方案。在该方案的登录阶段中只是执行群上的加法运算,没有使用杂凑函数和公钥加解密操作,因而计算代价更低,但却提供了更好的安全性,能够抵抗重放攻击、离线攻击和冒充攻击。     

一种基于轻量级口令攻击模型的honeywords生成方法

在身份认证系统中使用honeywords是及时检测口令数据库是否被盗的有效方法。针对现有方法生成的honeywords与真实口令差距大、能够被攻击者轻易识别的问题,提出一种基于轻量级口令攻击模型的honeywords生成方法(Generating Honeywords Using Lightweight Pass-word Attack Models,GHLA),该方法将基于规则的攻击模型和基于概率上下文无关(Probabilis-tic Context-Free Grammars,PCFG)的攻击模型这两种轻量级攻击模型结合起来,用于生成hon-eywords。通过理论分析证明其具有较好的平滑度以及抵抗Dos攻击的能力,并进一步利用人人网泄露的口令数据进行测试。相比其他方法,使用所提出的方法生成honeywords,真实口令被攻击者一次识别成功的概率下降了约7.83%,在触发系统报警前攻击成功的账户数量最多减少48.54%,实验结果表明所提方法具有更高的安全性。     

不需加密的三方口令认证密钥交换协议

现有三方口令认证密钥交换协议都需要某种加密方案。本文应用扩充口令的思想给出了一种新的三方口令认证密钥交换协议，省去了加密的环节；每个用户分别与可信任的服务器共享一个口令，任意两个用户可以依靠服务器进行身份认证和密钥交换。     

应对密钥攻击的低成本RFID改进安全协议

针对低成本RFID协议中攻击者仅需要对截获信息进行特定的异或运算,并采用穷举运算即可分析出标签密码信息的漏洞,提出了一种应对密钥攻击的改进型安全协议.在发送端将协议中标签的随机数与标签识别码的随机函数值进行异或运算来加密传输,以免被攻击者窃取,在服务器端通过相关反运算,与服务器保存的标签EPC随机函数值进行异或运算,获取本次通信的随机数,并与服务器密钥进行数值运算,判断认证是否成功.结果表明:该协议切实可行,同时能抵御窃听、重放、跟踪、阻断、模拟等多种攻击,并且该协议对存储空间和计算能力等方面的要求更低,适合低成本标签使用.     

一种适用于HOTP的一次口令生成算法

采用HMAC SHA-1杂凑函数和动态截短函数设计了一次性口令算法HOTPC．该算法具有计算速度快、安全性高的特点，易于采用令牌或IC卡硬件实现．因此．该算法适用于HTOP认证架构．此外．提出了基于令牌的认证协议应具备的3个基本条件．并设计了一种基于计数器同步的认证协议．该协议通过在服务器端设置最大认证尝试次数来防止蛮力攻击．并设置前顾参数来实现计数器重同步．分析表明．谈协议能够有效抵抗蛮力攻击和截获／重放消息等常见攻击．具有很高的安全性．     

基于秘密共享的AES的S盒实现与优化

针对构建新的密码结构抵抗DPA攻击尤其是glitch攻击的问题,通过将输入变换到复合域GF（（（2²）²）²）求逆,再变换回有限域GF（2⁸）输出的方法构造了一个低消耗的AES的S盒;并基于秘密共享的思想分仿射变换、求逆变换、逆仿射变换3步对S盒进行分组,得到一个新的S盒。新的S盒在求逆变换中采用4×4的正确项分组法,相比于Nikova提出的经典方案,减少了实现所占用的空间,降低了消耗。通过分析验证,本文方案具有较为优良的消耗特性,且对1阶DPA攻击及glitch攻击具有与Nikova方案同等级的抵抗能力。     

Web服务器应用层慢速DDoS攻击防御研究

DDoS攻击会导致Web服务器无法向用户提供正常的服务.应用层DDoS攻击不同于网络层DDoS攻击,所有应用层DDoS请求都是合法的.慢速DDoS攻击主要利用的是thread-based架构的服务器的特性,这种服务器会为每个新连接打开一个线程.攻击者和Web服务器建立正常的HTTP连接以后,通过各种方法保持这个连接,从而占用服务器大量的资源.对应用层慢速DDoS的原理进行分析,并提出了相应的防御方法,能提高服务器抗DDoS攻击的能力,从而有效地提升服务器的安全性能.     

一种简单的远程动态口令认证方案

口令认证是身份认证的关键因素.分析传统远程口令认证系统的缺点，提出了采用动态口令来实现认证，并设计一种简单的、有效的远程动态口令认证方案.它利用了Hash函数(SHA函数)的单一性和唯一性产生数字摘要作为验证因子来进行认证，实现用户登录口令的动态变化，解决了远程登录的安全问题.该方案克服了一次性口令认证系统(S/KEY)的弱点，能抵御重传攻，安全性好，计算量小，简单有效，具有较好的实用性.     

激进模式下对IKEv1的中间人攻击分析

分析了对IKEv1的一种中间人攻击方法,该方法基于IKEv1密钥交换在预共享密钥认证机制下的激进模式。实施中间人攻击的步骤是首先利用IKEv1的离线口令穷举获取预共享密钥,获得预共享密钥后,把Diffie-Hellman (DH)中间人攻击原理应用于IKEv1的激进模式,实现对IKEv1的中间人攻击。通过分析该模式的中间人攻击原理,得出了对IKEv1的激进模式进行中间人攻击的条件、实施方法并评估了其对IPsec的危害性。由于该模式存在用户名枚举漏洞,攻击者可以离线穷尽预共享密钥,在现实中IKE中间人攻击的威胁是存在的,建议在使用IPsec VPN时不使用激进模式的密钥协商,并加强中间路由器的安全防护。     

基于Tropical代数的三方密钥交换协议

三方密钥交换协议允许3个用户在不安全信道上进行平等的密钥协商,以生成共享的安全对话密钥,从而保证公开信道上的三方保密通信。文章在D.Grigoriev等研究(Grigoriev D, Shpilrain V. Tropical Cryptography. Communications in Algebra, 2014, 42(6): 2624-2632)的基础上,提出一种基于Tropical代数构造的三方密钥交换协议。该协议使用新的Tropical代数结构作为构造工具, 将加法运算定义为取最小值运算,将乘法运算定义为一般的整数加法运算。有别于一方服务器两方用户参与的三方密钥交换协议,该协议对参与密钥交换的三方的密钥生成作用是平等的;可以抵抗线性代数攻击,提高安全性;其构造方法实施简单, 可有效降低协议的计算复杂度。       

DDoS攻击防御模型的仿真研究

针对DDoS攻击的特点,提出一个基于协议类型判断和流量控制以及拥塞控制的DDoS攻击防御模型,并给出了模型中相关统计值的表达式,以及检测和防御的算法流程．在OPNET中针对典型的TCP SYN flood攻击防御给出了详细的节点建模过程．运用二组不同强度的攻击流进行试验,分析在启用防御机制和未启用防御机制时服务器对攻击流的处理效果．仿真实验表明,此模型对于不同强度的攻击流都有较好的抑制作用,证明了此模型的有效性．