无证书隐式认证改进的Kerberos单点登录协议

针对Kerberos单点登录协议存在的口令攻击、重放攻击、密钥需要托管和效率不高等问题,引入一种无对数运算的无证书隐式认证与密钥协商协议对其进行了改进。在随机预言机模型下证明了新协议的强安全性,分析了改进后Kerberos单点登录协议的优势。引入的密钥协商协议仅需3次点乘运算和2次哈希运算,计算开销较低。采用隐式认证方式,避免了原Kerberos中第三方对信息的无举证窃听,有效克服了中间人攻击。     

一种使用扩展混沌映射的基于生物特征密钥协商协议

认证密钥协商协议是两个或多个用户产生一个共享的安全会话密钥.在开放的网络中,用户可以使用共享的会话密钥加密/解密消息达到安全通信.近来,基于生物特征和口令的远程认证方案得到研究者的广泛关注.受到切比雪夫映射的半群特性和基于混沌映射的密钥协商协议启发,本文提出一种使用扩展混沌映射的基于生物特征密钥协商协议.新协议没有采用模指数运算或者椭圆曲线的点乘运算.安全性分析表明,新协议具有显著特征并且能抵抗各类攻击,包括特权用户攻击,重放攻击,口令猜测攻击等.性能分析表明,与其它相关协议比较,新协议的计算复杂度较低.     

增强的基于智能卡的远程用户认证协议

基于智能卡的远程用户认证协议比基于口令的安全协议能提供更好的安全性。2011年Chen等提出一种对Hsiang-Shih方案改进的基于智能卡的远程认证协议,并称解决了相关方案中存在的各种攻击问题。指出Chen等方案仍然存在着内部攻击、丢失智能卡攻击、重放攻击和身份冒充攻击,并针对基于口令和智能卡的远程认证协议类存在的离线口令猜测攻击提出一种基于智能卡和椭圆曲线离散对数问题的认证协议。该协议能抵抗提到的所有攻击,在登陆和认证阶段只需要一个点乘运算。     

一种利用Diffie-Hellman密钥协商改进的Kerberos协议

身份认证是成功实现安全的基础.Kerberos协议提供了一种通过可信第三方来实现身份认证的可靠方案,但是Kerberos协议不能很好地防范口令猜测攻击.提出了一种利用DiffieHellman密钥协商对Kerberos协议进行改进的身份认证协议-KDH协议.性能分析与实验结果表明,此协议能有效地防范口令猜测攻击.     

对TAKASIP协议的分析和改进

会话初始化协议(SIP)提供了认证和协商会话密钥,能保证后续会话的安全。2010年,Yoon等(YOON E-J,YOO K-Y.A three-factor authenticated key agreement scheme for SIP on elliptic curves.NSS'10:4th International Conference on Network and System Security.Piscataway:IEEE,2010:334-339)提出一种新的三要素SIP认证密钥协商协议TAKASIP。但TAKASIP协议不能抵抗内部攻击、服务器伪装攻击、离线口令猜测攻击、身份冒充攻击和丢失标记攻击,并且没有提供双向认证。在TAKASIP协议基础上提出一种基于椭圆曲线密码三要素SIP认证协议ETAKASIP以解决上述问题。ETAKASIP基于椭圆曲线离散对数难题和椭圆曲线密码系统,提供了高安全性。该协议只需7次椭圆曲线点乘运算、1次椭圆曲线加法运算和最高6次哈希运算,有较高的运算效率。     

Kerberos身份认证协议分析与改进

对Kerberos协议及安全性进行了较详细地分析,针对该协议存在的缺陷,提出了一种改进的认证模型。该模型引入轻量级票据,采用混合密码体制和USBKey双因素认证,较好地解决了口令猜测攻击、重放攻击、密钥存储困难等问题,具有较好的安全性与易实现性。     

安全消息中间件的设计

为提高消息中间件的安全性,分析了消息中间件的特点和Kerberos协议的认证过程,考虑到Kerberos认证模型的安全缺陷,采用公钥密码体制和椭圆曲线的Diffie-Hellman算法改进Kerberos认证模型。该模型引入了可信的第三方CA,有效地防止了口令猜测攻击和重放攻击。采用椭圆曲线的Diffie-Hellman算法,密钥由通信双方共同决定,防止了Kerberos本身进行攻击。将改进后的Kerberos认证模型运用到消息中间件当中,在一定程度上增强了消息中间件的安全性。     

基于视觉密码的Kerberos改进协议

介绍Kerberos协议认证系统,分析Kerberos协议存在的局限性。提出一种基于视觉密码的新的认证方案。该方案将视觉密码技术融入Kerberos协议中,对改进前后协议的安全性进行比较分析,结果表明,该方案能有效地解决口令猜测攻击和重放攻击。     

辫群上密钥协商协议的改进与安全性分析

对辫群上密钥协商协议进行安全性分析,指出该协议无法抵抗中间人攻击,在密钥协商协议基础上,提出一种改进的密钥协商协议。该协议在密钥协商的过程中,采用辫群上的数字签名进行认证,有效防止中间人攻击和重放反射攻击。分析结果验证了该协议的安 全性。     

基于PKI体系的跨域密钥协商协议

基于口令的跨域密钥协商协议和Kerberos协议无法抵抗口令猜测攻击,在金融、航天等通信安全需求高的场所,需要一种更有效的协议来保证通信安全。给出一种新的基于PKI体系的跨域密钥协商协议,采用公钥算法保证数据传输的安全,结合使用Diffie-Hellman协议生成会话密钥。协议有效地解决了利用预置共享密钥参与加/解密实施中间人攻击,以及Kerberos弱口令导致的攻击者可以实施口令猜测攻击的问题。跨域通信的公钥信息仅存储在各自域认证服务器,域内用户不需要配置跨域服务器的公钥信息,降低了配置复杂度、域内用户和域认证服务器之间密钥管理的复杂性,同时提高了域服务器鉴别身份的能力和信息机密性,使其免疫多种攻击,具有良好的前向安全性和扩展性。     

一种单点登录协议的设计

Kerberos单点登录协议存在口令猜测、重放攻击、缺乏认证等安全问题,该文以Kerberos协议为基础,设计一种新的单点登录协议,该协议修改了Kerberos协议的框架,引入一次性口令和授权服务机制,解决了Kerberos协议存在的问题,提供一种更安全、且扩展性强的单点登录协议。     

基于D-H密钥交换协议的用户认证方案

分析指出Liaw等人的远程用户认证方案(Mathematical and Computer Modelling,2006,No.1/2)容易受到重放攻击和中间人攻击,并且密码修改阶段和注册阶段存在安全漏洞,在此基础上提出一个基于D-H密钥交换协议的远程用户认证方案.理论分析结果表明,该方案可以抵抗假冒攻击、重放攻击、中间人攻击,安全地实现相互认证及会话密钥生成.     

网络和分布式系统中的认证

文中在Ｋｅｒｂｅｒｏｓ认证协议的基础上，采用Ｙａｋｓｈｅ体制，提出了一个公钥密码交互式认证体制。     

一种新的改进口令认证协议

口令认证作为一种简单易用的认证方式,被广泛应用于各种认证场合。最近几年,很多口令认证协议被提出来。2004年Kim和Choi提出一种经典的PAP口令认证协议,这种协议被引入802.11标准之中。随后这种协议被证明不能够抵抗离线字典攻击和重放攻击。2006年Ma等人提出这种协议的改进,随后Yoon等人证明Ma等人提出的协议仍然不能够抵抗离线字典攻击,并提出了改进。对Yoon等人提出的协议进行了分析,指出Yoon等人提出的协议仍然不能够抵抗离线字典攻击,提出了攻击模式。并对Yoon等人提出的协议进行了改进,提出一种T-PAP协议,能够抵抗离线字典和重放攻击。     

UBAP认证协议的逻辑设计与研究

该文对CHAP认证协议进行了阐述,并对其安全缺陷进行了分析。针对CHAP协议的安全缺陷,将它进行了改进,结合密码学、身份认证技术以及USB Key技术,设计了一种基于USBKey网络环境下的身份认证协议,即UBAP(USB Key-based Authentication Protocol)协议,它采用软硬件相结合的一次一密的强双因子认证模式,实现了服务器和用户双方可靠的双向身份验证,并对该协议进行非形式化的分析,证明其能够抵御重放攻击、服务器欺骗、网络监听、插入信道攻击、中间人攻击以及暴力攻击。     

基于ECDLP的SIP认证密钥协商协议

SIP协议是应用层控制协议,为了提高SIP协议的安全性,文中基于椭圆曲线离散对数问题的难解性,结合用户身份、用户口令及单向陷门函数F(),提出了一种基于ECDLP的SIP认证密钥协商协议.协议过程主要由初始化、注册、登录认证、口令修改四部分组成.安全分析表明,该协议实现了双向认证、提供了安全会话密钥,能抵抗口令猜测攻击、中间人攻击、重放攻击、冒充攻击、Denning-Sacco攻击等.与相关协议比较,本文所提出的基于ECDLP的SIP认证密钥协议具有更高的安全性,能更好的满足应用需求.     

基于口令的远程身份认证及密钥协商协议

基于口令的身份认证协议是研究的热点。分析了一个低开销的基于随机数的远程身份认证协议的安全性,指出了该协议的安全缺陷。构造了一个基于随机数和Hash函数、使用智能卡的远程身份认证和密钥协商协议：PUAKP协议。该协议使用随机数,避免了使用时戳带来的重放攻击的潜在风险。该协议允许用户自主选择和更改口令,实现了双向认证,有较小的计算开销;能够抵御中间人攻击;具有口令错误敏感性、口令的主机非透明性和强安全修复性;生成的会话密钥具有新鲜性、机密性、已知密钥安全性和前向安全性。