图形密码身份认证方案设计及其安全性分析

为了解决身份认证方案中口令的安全性和易记忆性的矛盾,针对传统的字符式口令的诸多缺点,提出了结合新型图形密码的身份认证参考方案.在图形密码设计原则下,依据基于识别型和基于记忆型的设计思想,提出图形密码身份认证参照方案,并将图形密码的安全性与文本密码进行比较,分析了图形密码的密钥空间和抵抗常见口令攻击的能力.经分析多数图形密码在易记忆性和安全性方面优于传统密码.     

一种多笔画图形加数字的图形密码方案

安卓解锁模式(简称AUP)是目前在手机、pad等手持设备上应用最广泛的图形密码解锁方案。但是,在实际中能够使用到的密码只是图形密码空间中的一小部分,并且由于用户的使用习惯使得密码的分布不均匀,导致AUP的实际安全性远低于其理论上的安全性,更容易被攻击者破解。提出一种多笔画图形加数字的图形密码方案MSDGP,系统会根据用户的选择推荐相应难度级别的密码。该方案类似于AUP,根据数字及其位置的不同,很大程度上增加了图形密码空间,图形密码由系统推荐生成,避免了因用户的使用习惯而造成的分布不均问题,从而有效防止了暴力破解和字典攻击,因而具有更高的安全性。     

防御摄像攻击的图形位置密码认证方案

现在,基于文本密码的身份认证方式被广泛应用,但如果在认证系统输入密码时被人窥探的话,密码就有被泄露的危险.虽然已经提出了对窥探攻击拥有一定防御强度的密码认证方案,但是在用摄像设备进行摄像攻击的情况下,安全性急剧下降,可以说对摄像攻击没有防御强度.在本文中,我们提出对于摄像攻击具有高防御强度的图形位置密码认证方案.详细地陈述了该方案的设计原则及验证流程,并对其安全性和可用性进行了探讨.     

密码API安全性分析

密码API因提供通用的密码操作接口而被广泛使用；设计的复杂性，导致了安全漏洞的产生，分析和研究了目前主流的分析密码API安全的形式化方法。     

漫谈密码安全性

密码,这是个百说不厌的话题。因为每台计算机都或多或少会用到各种密码。如果不重视安全问题,必然会导致严重后果。诸如系统被破坏、数据丢失、机密被盗,以及直接、间接的经济损失等。说到密码安全,我们经常提到要使用防火墙等辅助软件。这些固然很重要,但是人们往往忽视了最为重要的,那就是我们人的思想意识——人本身的行为。因为人类固有的惰性(喜欢省事),给网络、计算机带来了非常严重的安全隐患。据不完全统计,全世界每年因密码安全问题而造成的损失超过500亿美元,其中绝大多数是由于掌握密码的内部人员的疏忽所至。     

对密码破解说不——你能做到的10件事

你的密码足够安全吗？你应该选择何种身份验证协议？攻击者会使用哪些技术和工具来破解你的密码？怎样才能最大限度地保证密码的安全性？本文将为你奉献10条行之有效的建议。[编者按]     

密码杂凑函数及其安全性分析

文章提出了针对密码杂凑函数及其安全性进行研究的重要意义,列举了单向杂凑函数、MD5、SHA-1等技术原理进行了技术分析,并从攻击手段入手,分析了密码杂凑函数的安全性,提出对SHA-1与MD-5的＂破解＂应客观看待的观点。     

提高密码安全性的策略

本文主要探讨了默认密码、弱密码、系统保存密码的缺陷、密码取回等等问题,以及简单介绍了在线破解、离线破解、非技术破解等等破解手段。同时,本文还提出一些加强我们的密码的方法,如密码字符随机化、字符多元化、加长密码的长度和其他一些设置密码的技巧。最后,给出了评估密码强度的方法并展望了下一代密码技术。     

基于多分辨离散模型的图形密码

为了增强点击型图形密码在触摸屏移动智能终端应用中的易用性和安全性,离散化过程中引入多分辨思想,提出了一种用于图形密码的多分辨离散模型。对比分析数据表明,多分辨离散模型可以在相同的图像尺寸和容错距离情况下,获得比已有离散化方法更大的密码空间,增加攻击难度,提高安全性。同时多分辨离散模型可调整安全强度,可通过扩大容错距离来提高易用性。     

椭圆曲线密码体制安全性分析

椭圆曲线密码体制已成为当前最流行的公钥加密体制.为明确椭圆曲线密码的当前总体安全形势,首先研究椭圆曲线的定义及椭圆曲线离散对数问题,然后分别从安全椭圆曲线的选择方法、椭圆曲线密码的应用和针对椭圆曲线密码的攻击等几个方面,着重分析了椭圆曲线密码的安全性问题.根据与其它公钥密码体制的安全强度分析比较表明:椭圆曲线密码体制具有许多优点,主要包括密钥短、安全强度高、加密快、运算量小、占用存储空间少等.因此椭圆曲线密码体制的研究具有重要的理论价值和广阔的应用前景     

RSA公钥密码体制的安全性分析及其算法实现

本文系统介绍了公开密钥密码体制和RSA公钥密码体制的工作原理,并对其进行了安全性分析。在此基础上,给出了RSA算法实现的具体策略。     

GTRBAC模型的安全性分析及其改进

Bertino等人提出了带有时间约束的RBAC模型 TRBAC(TemporalRole-basedAccessControl),该模型支持角色有效状态的周期性控制,也可通过实时请求角色事件改变角色的状态.Joshi等人在TRBAC模型基础上扩展并提出了一个新的时间RBAC模型———GTRBAC(GeneralizedTemporalRole-basedAccessControl).该模型增加了用户 角色和角色 权限分配周期性时间约束和持续时间约束,以及角色激活持续时间约束和基数约束.首先对GTRBAC模型的安全性进行分析,指出Joshi给出的GTRBAC模型安全的充分条件是不全面的,分析原因并提出了保证该模型安全的充分条件的完整定义.     

移动支付系统安全合规性检测与分析方法研究

介绍移动支付业务的发展现状和移动支付系统安全合规性检测的重要性,研究相关安全标准对信息系统安全合规性检测的要求,重点从基于系统日志信息、基于网络通信信息和基于系统配置三个方面描述合规性检测分析方法.在此基础上设计移动支付系统安全合规性分析与自动化检测模型,提高检查结果的准确性和合规性,有利于移动支付系统的持续安全运维.     

聚合签名方案的安全性分析与改进

聚合签名可以降低签名的验证开销和签名的长度。分析三个无证书聚合签名方案的安全性,指出它们不能抵抗无证书公钥密码系统的一般用户公钥替换攻击和恶意密钥生成中心KGC伪造攻击。其中,Chen方案和喻方案既不能抵抗公钥替换攻击,也不能抵抗KGC被动攻击;张方案不能抵抗KGC主动攻击。通过具体的攻击算法和原因分析,证明该类方案不安全。对张方案进行改进,改进的方案增强了原方案的安全性。     

超椭圆曲线代理签名方案的安全性分析和改进

对原有的基于超椭圆曲线的代理数字签名方案进行仔细分析,提出两种伪造攻击,发现原方案不能抵抗两种伪造攻击。对原方案加以改进,提出一个新的代理签名方案,并对其安全性进行分析。新方案能够有效抵抗两种伪造攻击,还具有原方案的所有优点。     

基于虚拟机技术的密码系统的研究与实现

密码系统安全性必须建立在密钥安全的基础上,存储在计算机系统中的密钥容易被计算机病毒等恶意程序盗取而破坏计算机系统的安全性.提出了利用虚拟机和多核技术解决这一问题的方法,并给出基于虚拟机和多核技术的密码系统方案模型及实现.     

基于灵敏度分析和综合权衡的信息安全管理系统评估

采用灵敏度分析和综合权衡分析方法,研究信息安全管理系统的评估问题.构建一个包括整体评估、性能指标灵敏度分析和系统优化三个层面的信息安全管理系统评估框架,提出了包含综合权衡方法和灵敏度分析方法的用于信息安全管理系统的评估方法.     

移动智能终端的SSL实现安全性分析

SSL协议已经成为保护通信安全的重要手段。在移动互联网环境下,移动智能终端应用软件也大量使用SSL协议对网络数据进行安全保护。为了评估移动智能终端应用软件的安全性,对国内6万个Android应用软件的SSL实现安全性进行分析,发现这些应用软件SSL实现方面的四类安全缺陷:可信证书链认证不完整、域名认证不完整、Web View错误忽略和证书绑定不完整。提出相应的检测方法,进而实现了分析和检测工具SSLGuard。对150个银行、金融类样本进行深入分析,实验结果表明:目前国内市场的Android应用软件存在较严重的SSL实现安全缺陷,亟需对手机银行等重要应用软件进行全面测评和认证。     

网络安全事件关联分析及主动响应机制的研究

如何从IDS等安全设备每天产生的海量安全事件中挖掘出有价值的信息,帮助管理员找到那些真正具有威胁的攻击并且及时主动的进行响应,有效地保护系统安全,这是目前网络安全管理亟待解决的问题。安全运维中心SOC(Security Operations Centre)是近几年在国内外迅速发展的一种网络安全管理技术,深入研究了SOC实现过程中涉及的安全事件关联分析、基于策略的主动响应等关键技术。     

证券网络的安全分析与防范措施

本文针对计算机网络在证券营业部的应用特点，分析了目前证券网络存在的安全威胁，提出了解决办法。经实践证明是行之有效的。