基于双线性对和Nonce的智能卡远程用户认证方案*

远程用户认证方案是远程服务器通过不安全的网络认证远程用户身份的一种机制。根据椭圆曲线上的双线性对的优良性质,2006年,Das等人提出了基于双线性对的远程用户认证方案。2009年, Goriparthi等人指出该方案易遭受伪造攻击和重放攻击并给出了一个改进方案。然而发现Goriparthi等人的改进方案易遭受内部人员攻击、拒绝服务攻击和服务器哄骗攻击以及存在时钟同步问题。为了克服这些缺点,提出了基于双线性对和Nonce的智能卡远程用户认证方案。安全分析表明,该方案不但增强了认证系统的安全性,而且可安全地完     

基于动态ID的远程用户身份认证方案

用户身份认证作为网络安全和信息安全的第一道屏障,有着非常重要的作用.口令与智能卡相结合的认证方式可以克服传统口令认证方式的诸多弊端,能够提高网络和信息系统整体的安全性.对基于动态ID的远程用户身份认证方案进行了分析,指出了该方案在入侵者持有用户智能卡的情况下,即使不知道用户口令也能够伪装成合法用户通过远程系统的身份验证,获取系统的网络资源.提出了一种改进方案,能有效抵御重放攻击、伪造攻击、口令猜测攻击、内部攻击和伪装攻击.     

Hash函数结合相互认证的智能卡远程双向安全认证方案

摘　要 针对现有基于智能卡的远程安全认证方案的不足,提出一种基于Hash函数的智能卡远程双向安全认证方案。在注册阶段中,用户设定他的身份和密码,同时系统产生一个随机数与提交的身份、密码进行运算,获得安全参数。在登陆和相互认证阶段,根据用户输入的身份、密码和系统的安全参数,智能卡和服务器通过Hash运算实现双向认证,避免非法登陆。在密码修改阶段,在智能卡确认用户合法性后,用户可以随意改变密码通过安全性能分析表明,该方案提供了前向保密性和用户匿名性,能够抵御拒绝服务攻击、伪造攻击、重放攻击、智能卡丢失攻击、密码猜测攻击和服务器欺骗攻击。与现有方案相比,该方案在保持较低计算复杂度的同时提供了很高的安全性能。     

一种基于双线性映射密码体制的双向身份认证方案

本文设计了一种基于双线性映射密码技术并利用USB Key完成的双向身份认证方案.为增强认证系统的安全性,采用双私钥方法将注册和认证服务分开实现.方案集成了双线性映射密码技术和基于安全芯片的USB Key技术的优点,能很好地抵御重放攻击、冒充攻击、中间人攻击和内部攻击.     

基于无证书密码体制的机卡绑定算法

智能卡具有可以存储用户个人信息、进行低能耗计算的特点,经常被应用于对移动用户的远程认证场景中.针对移动用户和服务器交互的信息在公开信道上传递可能会泄露用户隐私的问题,提出一个不带有双线性对的无证书认证方案.该方案在智能卡与移动设备之间建立绑定关系,避免了智能卡被盗用的危险,同时能抵御伪造和重放等常见攻击.与同类方案比较,在保持安全性的前提下需要更少的计算量和通信消耗.     

基于智能卡的X.509身份认证

身份认证中的关键技术是身份信息的安全存储、处理和传递,本文提出了一种基于智能卡的X.509身份认证方案,设计了一套基于X.509的身份认证协议,将智能卡作为存储身份信息的载体,密码运算都在智能卡内部进行,认证过程安全性好.在开放的网络环境中,此方案可较好地防止中间人攻击,验证用户身份.     

一种基于智能卡的安全认证模型

智能卡技术是近年来兴起的一种新的安全技术,在身份认证中得到了越来越广泛的应用。本文提出了一种对Lin-Shen-Hwang方案改进的智能卡远程认证方案。该方案把关于密钥的信息全存放在智能卡中,是一种基于ID的远程双向身份认证方案。它可以避免Lin-Shen-Hwang方案可能遭受的拒绝服务攻击和重放攻击,而且只在客户端就能自由更改密码,增加了用户使用的便利性,并且该方案能够抵抗一些常见的攻击,安全地进行用户身份认证。     

基于无证书签名的云端跨域身份认证方案

针对基于无证书的身份认证方案无法满足跨域匿名认证需求的不足,利用双线性映射提出一种云环境下的跨域身份认证方案。基于无证书签名的合法性和消息的有效性,实现用户与云服务提供商的身份真实性鉴别,并在双向跨域认证过程中完成会话密钥的协商。引入分层ID树结构确保身份的唯一性,"口令+密钥"的双因子认证过程增强跨域身份认证方案的安全性。利用临时身份实现用户身份的匿名性,对用户的恶意匿名行为具有可控性。分析结果表明,该认证方案在CK模型中是安全的,并能抵抗伪造、重放与替换攻击,具有较高的安全性。     

基于双线性对的智能卡口令认证改进方案

通过对一种使用双线性对构造的智能卡口令认证方案的分析,发现该方案不能抵抗冒充攻击和服务器伪装攻击。针对该问题,提出一种改进的基于双线性对的智能卡口令认证方案,即利用服务器公钥进行加解密操作,通过引入序列号使用户与系统间进行了双向认证,不仅保持了原有方案的安全性,而且能有效地抵御冒充攻击和服务器伪装攻击,安全性更高。     

基于身份的远程用户认证方案

研究近期提出的2个远程用户认证方案,对其进行伪造攻击。利用基于身份的签名思想提出一个基于身份的远程用户认证方案,在实现动态认证的同时无须用户与远程服务器端交互,通信量小,远端服务器无须保存或维护任何口令或验证表,存储代价低,可以避免口令攻击、重放攻击、伪造攻击、中间人攻击等,安全性高。     

基于非齐次线性方程组的一次性口令认证协议

刘丽等提出的基于非齐次线性方程组的身份认证协议和消息认证协议(装甲兵工程学院学报,2005年第2期)是一类单向认证协议,不能抵御伪服务器攻击,只能针对已固定终端的计算机网络通信系统。在保留其对用户认证便利性及安全性等优点的前提下,利用RSA算法对原方案进行改进,使其成为安全的双向认证协议。改进方案能够克服原方案的安全漏洞,保证更高的安全性和可操作性。     

Schnorr 协议的一次一密双重身份认证研究

针对当前B/S 模式下公共网络中进行身份认证的安全问题,设计了使用静态口令和动态口令结合进行一次一密身份认证的方案,它将认证服务器与应用程序服务器分离,使静态口令认证在安全通道内进行,有效保障口令的安全。动态口令认证采用著名的Schnorr 身份认证协议,其私钥采用复杂的混沌序列生成以确保密钥敏感安全性,结合Java Applet 技术对公共网络上传输的信息采用对称DES 算法加密,提升了整个系统的可靠性。研究方案最后通过实例验证了系统的可行性和安全保障性。     

一种改进的 CHAP 方案

电子计算机的普及和互联网技术日新月异的发展使得计算机网络已经渗透到社会生活的各个方面。但网络的全球化、开放化的特点使得网络环境充满着复杂性和不确定性,各种网络攻击与假冒手段等不安全因素充斥着整个网络。因此,如何保证网上业务开展的安全性是当前面临的主要问题,计算机网络安全已经成为当今世界各国共同关注的焦点。身份认证技术是构筑现代网络信息系统安全基石的不可或缺的组成部分,是信息安全的基础。目前,常用的身份认证方法有：基于证书的数字签名认证方式和口令方式。基于证书的数字签名认证的安全性较高,但需要一个完善的证书系统作为基础。而基于口令的身份认证技术作为最早出现的身份认证技术之一,以其简洁性和实用性得到了广泛的应用和发展,成为了网络安全中重要的分支。但是传统的静态口令身份认证技术存在着明显的安全漏洞,动态口令身份认证技术就是针对静态口令身份认证技术的安全隐患而提出的。动态口令是随机变化的一种口令,在口令中加入不确定因子作为动态因子,以提高登录过程中的安全性。文章在深入分析了传统的 CHAP 动态口令身份认证方案及其一系列衍生方案的优点与不足的基础上,结合安全的散列函数和异或运算,同时引入了保护认证信息的干扰因子,设计并实现了一种改进的 CHAP 一次性口令双向身份认证协议。本方案分为用户注册、登录认证和密码修改三个阶段。只需要通信双方的三次信息握手就实现了客户端与服务器端的双向身份认证。与其它几种典型的 CHAP 改进方案相比,本方案不但实现了通信双方的双向身份认证,而且具有通信量小、灵活性高、安全性强、成本低等特点。通过对整个方案的安全性测试和性能测试可以看出,本方案能够?     

基于分离机制网络的可信域内快速认证协议

分离机制网络明确地分离了主机身份与位置信息,将互联网体系划分为接入网与核心网两大类,很好地解决了互联网的扩展性和移动性等问题.基于分离机制网络,结合可信计算技术,提出一种终端域内切换时的快速认证方案,在对终端用户身份进行认证的同时,对终端平台进行身份认证和完整性校验.在本方案中,终端进行域内切换时不需要本域的认证中心再次参与,仅由接入交换路由器通过Token即可完成认证.认证过程可以保持用户身份和平台信息的匿名性,减轻了认证中心的负担.与其他方案相比,本方案在认证开销、认证延迟以及安全性等方面均有明显优势.安全性分析结果表明本方案是安全高效的.     

用户身份认证技术在计算机信息安全中的应用

用户身份认证是安全的第一道大门,是各种安全措施可以发挥作用的前提。在计算机信息安全领域中,身份认证是一门重要课程。通过概述信息用户身份认证技术在学校数字校园网络中的应用,阐述了身份认证系统的设计目标,提出了身份认证系统要能以多种方式加以运用,然后对基于PHP的互联网身份认证系统的原理及实现进行了分析,对动态口令用户身份验证流程进行了研究。最后,对依托图片动态验证码实现身份认证和应用MD5算法实现身份验证方法进行了举例分析。     

一种新的网站用户登录验证方案

由于计算机网络的开放性导致其中存在许多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和下载。因此对网络资源访问者的合法身份进行验证就显得非常重要。对目前互联网上各种网站采用的“用户名＋用户密码＋图片验证”登录验证方式进行了分析,针对其存在的缺陷,提出了一种“用户名＋用户密码＋用户私钥＋图片验证”登录验证方案,并对其每一个子模块及特点进行了详细的论述。该方案增强了网站用户登录系统的安全性。     

采用PKI增强VPN安全的研究

VPN技术改进了通信协议的安全机制，但因其身份鉴别不完善而影响到在复杂环境下的网络安全。PKI是由公开密钥密码技术、数字证书、证书认证机构和安全策略等基本成分共同组成的安全基础设施。PKI技术能够提供身份鉴别和角色控制服务。文章分析了PKI和VPN技术的各自安全特点，采用PKI技术与VPN技术相结合的方法，增强了系统的身份鉴别和访问控制能力。     

基于CFL的空间网络认证策略研究

卫星网络作为一种新兴的网络,具有覆盖范围广、传输环节少等优点,但拓扑结构复杂、链路频繁切换,因而面临诸多网络安全威胁。为解决卫星网络中身份认证等安全性问题,结合CFL认证体制,提出了一种适用于卫星网络的安全认证策略研究。在注册阶段,用户和卫星分别向地面控制中心申请证书,地面控制中心验证用户和卫星的身份后为用户和卫星签署证书;在认证阶段,用户与卫星互相交换证书,自主生成验证密钥并验证证书,实现用户与卫星的双向快速认证。分析结果表明,所提方案能够满足卫星网络的安全需求,抵御各种常见的网络安全攻击;与其他相关方案的相比,该方案无须地面中心参与认证过程,通信开销与计算开销较小,在保证安全性的基础上,与最低计算开销方法相比,将通信效率提升了33%,有效提高了认证效率。因此,本方案不仅适合星载资源有限的卫星网络,且能够增强卫星网络的安全性。     

服务链中可认证的组密钥管理方案*

针对不依赖于专用的硬件设施、网络拓扑结构易变化的服务链进行了研究,提出一种适用于服务链的可认证组密钥管理方案。该方案基于双线性映射的密码体制并结合 门限的思想,采用身份认证的方法,提高了协议的效率和安全性。该方案在实现组密钥更新的同时也实现了服务链中虚拟网络功能间的连接安全,并对其正确性和安全性进行证明。分析结果表明该方案在保证服务链中各实例一定安全的同时,具有轮数少、通信和计算开销小的优点,适合用于服务链的动态密钥管理。     

电力企业内部RSA双因素身份认证建设

针对目前电力系统网络设备与主机系统在身份认证过程中采用静态口令存在安全风险因素,介绍了RSA双因素身份认证体系,网络与信息管理员根据管理规范向用户发放单独的认证设备,初次使用设备时设定个人码(PIN码),使用时将用户的个人码与令牌码组合,形成双因素认证,通过统一时间同步服务器保证在相同的时间内令牌和认证服务器产生具有相同的令牌码,确保合法用户访问网络设备与主机资源。