一种多服务器环境下基于生物特征身份认证的安全性分析

远程身份认证是网络环境下用户和网络服务提供商之间如何准确、安全、高效的确认彼此合法身份的过程,也是网络安全必须解决的首要问题。目前身份认证普遍采用基于口令的认证形式,而且大部分都针对单服务器环境进行研究。为了解决单服务器环境不足,研究者们提出了一些针对多服务器环境下的身份认证方案。2014年Chuang-Chen就提出了基于智能卡和生物特征的匿名多服务器身份认证方案,该方案能够实现多服务环境下用户的身份认证,但是仍然存在一些问题:生物特征处理不当,不能抗智能卡丢失攻击,用户伪装攻击,服务器伪装攻击,中间人攻击,前向安全,应用服务器密钥存在特权攻击危险等,对这些问题进行了仔细分析,并总结出了一个合理的基于生物特征多服务身份认证方案应该满足的条件。     

一种高效的匿名口令认证密钥交换协议

针对云计算等网络新应用中用户隐私保护问题,提出了基于椭圆曲线CDH假设的匿名口令认证密钥交换APAKE协议,通过它用户既能与服务器建立共享会话密钥,又不会暴露其真实身份信息.通过系统模型、安全模型定义及严格的形式化证明,验证了此APAKE协议满足正确性、PAKE安全性及用户匿名性.通过与现有协议对比分析表明:所提APAKE协议既能抵抗身份冒充攻击及离线口令猜测攻击,也提供双向认证;协议效率得到很大提高,客户端及服务器端计算复杂度均有大幅降低.     

基于硬件加密设备的身份认证协议的设计及安全性分析

本文首先对CHAP身份认证协议进行了概述,指出了CHAP协议的安全缺陷,然后将CHAP协议进行了改进,结合密码学技术、身份认证技术以及硬件加密设备技术,设计了一种基于硬件加密设备的身份认证协议,即UBAP（USB Key-based Authentication Protocol）协议,它采用软硬件相结合一次一密的强双因子认证模式,实现了服务器端和用户端双方可靠的双向身份认证,并对该协议进行非形式化的分析,证明其能够抵御重放攻击、服务器欺骗、网络监听、插入信道攻击、中间人攻击以及暴力攻击。     

可信网络连接双向认证协议的设计与分析

针对可信网络连接认证协议的现有方案存在单向认证、平台身份和配置信息泄露、无法抵御伪装及重放攻击等安全问题,提出了一种新的认证协议。该协议通过引入可信第三方实现了双向用户身份和平台身份的认证,防止了伪装攻击。直接匿名证明方法和时间戳的应用,保护了平台身份和配置信息的安全,防止了重放攻击。采用BAN逻辑对协议进行形式化描述及分析,验证了本协议可以提高认证的安全性,具有较高的应用价值。     

采用阈下信道的两方口令认证密钥交换协议

提出一种基于阈下信道的两方口令认证密钥交换协议.协议中,服务器存储用户口令的验证值抵御服务器泄漏伪装攻击,用户的口令明文采用阈下信道生成签名信息传送给服务器,服务器计算出用户的口令明文恢复出阈下信息,再计算口令验证值以实现对用户身份的认证,从而建立起会话密钥.对所提协议的安全性和效率进行分析,结果表明:所提出的协议安全可行且有效.     

多媒体社交网络中无注册中心的三因子多服务器认证方案（英文）

由于越来越多的人们使用多媒体社交网络来共享多媒体信息或从多媒体社交网络中获取多媒体信息.因此,多服务器认证在多媒体社交网络中扮演着重要的角色,它可以防止用户在单服务器认证机制中需要注册到每个服务器并记住每个密码.最近,Chaudhry指出Lu等人提出的两个多媒体社交网络三因子多服务器认证协议存在假冒攻击和没有保护用户匿名性的问题.为了解决这些问题,Chaudhry提出了一个安全性增强的改进方案,并声称他的方案是安全的.然而,在本文中,我们发现他的改进方案缺乏完美的前向安全性和会话密钥安全,并且容易受到内部假冒攻击和中间人相遇攻击.因此,提出了一种新的无注册中心的三因子多服务器认证协议.利用基于应用pi演算的形式化验证工具ProVerif进一步证明了该方案的安全性,并通过与相关方案的比较,证明了该方案具有较高的计算效率.     

基于DAA和TLS的匿名远程证明协议

为了解决使用直接匿名证明方法进行远程证明易受伪装攻击的问题,提出了一种基于直接匿名证明和安全传输层协议(TLS)的匿名远程证明协议.使用可信平台模块,完成平台配置和匿名身份的度量并生成签名信息;改进身份认证和证书校验机制,并使用TLS协议的扩展消息传输远程证明内容;结合匿名证明、完整性报告和密钥协商机制设计总体协议,从而在交互双方构建出匿名认证的可信信道.分析表明:改进方案满足身份认证的不可伪造性、匿名性、可控的可链接性和不可克隆性,能够抵御重放攻击和伪装攻击,且设计的协议兼容扩展的TLS协议架构,便于部署.     

无线网中基于ECC的认证和密钥交换协议

为适应密码技术在无线通信中的应用要求,Aydos、Mangipudi等人以椭圆曲线密码为基础,分别提出了适用于无线通信网络的身份认证和密钥交换协议.而研究发现,这些协议中仍存在中间人攻击、服务后否认、假冒攻击等安全隐患,且不能提供前向保密性.为此,本文提出一个安全的身份认证和密钥交换协议,经验证说明该协议不仅能防止上述安全隐患,而且执行效率更好,适于为无线通信环境中用户端与服务器间进行相互认证,建立一个双方共享的会话密钥.     

新的三方密钥交换协议

针对基于口令认证机制的密钥交换协议容易遭受口令猜测和服务器假冒等多种攻击的缺点,提出了基于验证值认证机制的新的三方密钥交换协议.新协议中的验证值是基于口令的变换,并代替口令被保存在服务器端.服务器不仅以验证值来认证用户的身份,并且要通过验证值协助用户之间协商出会话密钥.而口令则作为私钥由用户自己保存.对新协议的安全进行分析,表明该协议可以抵御多种攻击,说明协议是安全的,同时对协议的效率评估还表明该协议具有较高的效率.     

一个高效的匿名口令认证密钥协商协议

匿名口令密钥协商(APAKE)协议在保持用户匿名性的同时,可以为网络上共享口令的通信双方建立会话密钥.分析了一个高效APAKE协议存在的安全问题,进而提出了新的高效匿名口令认证密钥协商协议,并对所提协议的安全性、匿名性和抗字典攻击等安全需求进行了分析.服务器和用户完成协议需要2次模幂运算,运算效率较高.     

对一个多服务器环境下三因子认证协议的分析与改进

对Lwamo等提出的一个多服务环境下具有匿名性的认证协议进行了安全性分析,发现该协议无法抵抗拒绝服务攻击、智能卡被盗攻击和用户伪造攻击等.并且,针对这些安全漏洞分别给出相应改进措施.     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

一种新的基于智能卡的双向用户认证方案

身份认证问题是网络安全中的重要研究课题.Wu和Chieu提出了一种对用户友好的基于智能卡的远程用户认证方案,但Khan指出该方案存在安全缺陷,容易遭受假冒攻击、服务器欺骗攻击以及智能卡偷窃攻击.该文针对Khan提出的安全缺陷,提出了一种新的认证方案,该方案能有效抵御Khan指出的各种攻击,同时实现了双向认证并设计了口令更改方法.     

面向分布式量子网络的匿名盲量子计算协议

量子网络安全旨在研究分布式量子网络中通信和计算的安全性.本文研究了量子计算任务中的两个安全问题,即隐私性和匿名性.为此,本文提出了一种新的单服务器多用户匿名盲量子计算协议,利用在服务器和用户之间生成的匿名纠缠作为量子资源用于实现盲量子计算任务.匿名性、盲性和安全性分析表明所提出的协议在实现盲量子计算的同时保证了用户身份的保密.和现有的盲量子计算协议相比,本协议为盲量子计算增加额外的安全保障,也为其他匿名量子密码协议的设计提供了新思路.     

改进的Neuman-Stubblebine协议及其PCL证明

针对THNS协议属性不满足PCL认证性缺陷问题,提出RNS协议。该协议将发起者产生的随机数、身份和预期接收者的身份用相关密钥进行加密。在PCL证明体系中,该协议满足机密性和认证性。通过消息数、加解密次数等安全性能分析表明:RNS协议比THNS和NS协议更具安全性,同时能够抵御平行攻击和悖论攻击。     

基于Hash函数与状态锁定的RFID认证协议研究

针对射频识别(RFID)系统中存在的标签数据机密、安全等问题,研究Hash函数相关协议与对称密钥机制的优缺点,提出一种基于Hash函数与状态锁定的安全认证协议.该协议采用单向Hash函数与对称加密方法,结合后台数据库与标签状态的锁定设置,并在认证结束后及时更新ID和密钥值,有效处理RFID认证阶段的安全风险问题.通过安全性分析表明,该协议既保证了标签的匿名性、完整性、机密性,又抵御了攻击者假冒、重传、去同步攻击,能较好地完成RFID系统中阅读器与标签的相互认证.     

异构无线网络混合认证模型

在分析现有异构无线网络认证方法的优点和不足的基础上,提出一种结合证书公钥和身份公钥的混合认证模型.在该认证模型中,用户与本地认证服务器及外地认证服务器之间的认证采用身份公钥体制,本地认证服务器与外地认证服务器之间采用证书公钥体制.该混合认证模型具有匿名性,可扩展性好,降低了资源消耗,符合异构无线网络的应用需求.安全性分析表明该模型在C-K模型下是安全的.     

基于实体认证的安全DHCPv6系统实现

随着IPv6的不断发展,DHCPv6协议为IPv6环境下地址分配提供了极大的便利,但由于DHCPv6协议是基于DHCP协议进行扩展设计与实现,依然面临着许多安全威胁.本文提出并实现了一个具有实体认证功能的安全DHCPv6系统,在不改变现有协议的情况下对DHCP6消息进行认证,保证传输安全.同时,DHCPv6服务器为每个...     

基于ECC的轻量级射频识别安全认证协议

针对基于椭圆曲线密码体制(ECC)的射频识别安全认证协议无法抵制服务器假冒攻击的的问题,对认证过程进行改进,设置用于实现标签对服务器认证的环节,提出基于ECC的轻量级射频识别安全认证协议.改进后的方案满足抗服务器假冒攻击、抗标签假冒攻击等各项射频识别认证协议的安全特性.计算及通信开销分析表明:该协议在提供更高的安全性的同时能很好地应用于资源受限的射频识别认证.     

一种高效的移动IP注册协议

提出了一种安全、高效的具有匿名性的无证书公钥移动IP注册协议.新协议由于在签名过程中只使用了一个标量乘,验证过程中只使用了两个标量乘,并且没有对运算和模拟运算,因此比以前的方案效率更高.通过在新协议中重复使用初始值实现了MN与HA之间的重新同步;通过构造一个不断变化的临时账户TID来替代真实身份,真正实现了用户的匿名性;通过在通信实体的注册消息中附加随机数,抵御了重放攻击.性能分析和数值计算结果证明在提供相同级别安全性的基础上,该协议在注册时延和计算负载方面都优于现有的协议.尤其是本协议的注册延迟时间比WS Yap的减少了41.68 ms,比马华的减少了0.83 ms.