抗凭证泄露攻击的图形口令认证方案

图形口令既可以减轻用户记忆传统文本口令的负担, 又可以简化用户输入口令的步骤, 近年来, 广泛应用于移动设备的用户认证. 现有的图形口令认证方案面临严峻的安全问题. 首先, 图形口令容易遭受肩窥攻击: 用户的登录过程被攻击者通过眼睛或者摄像头等方式偷窥导致图形口令泄露. 更为严重的是, 这类认证方案不能抵抗凭证泄露攻击: 服务器存储与用户图形口令有关的认证凭证并利用其验证用户身份, 攻击者如果得到服务器保存的凭证就可以通过离线口令猜测攻击恢复用户图形口令. 为了解决上述问题, 提出了一个安全的图形口令认证方案(GADL). GADL方案通过将随机的挑战值嵌入到用户的图形口令来抵御肩窥攻击, 因此攻击者即使捕获了用户的登录信息也无法得到用户图形口令. 为了解决服务器凭证数据库泄露问题, GADL方案采用了一种确定性的门限盲签名技术来保护用户图形口令. 该技术利用多个密钥服务器来协助用户生成凭证, 使得攻击者即使获得凭证也无法实施离线猜测攻击来获得用户口令. 给出的安全性分析证明了GADL方案可以抵抗上述攻击. 此外, 给出了全面的性能分析表明GADL方案在计算、存储和通信开销这3个方面性能较高, 且在移动设备上易于部署.     

对一个口令认证协议的可攻击性分析及改进

Rhee H S等人(Computer Standards &; Interfaces, 2009, No.1)提出的协议使用移动设备代替智能卡记忆数据降低风险和成本,但该协议仍存在一些不足。针对该问题,基于Chan-Cheng攻击案例,指出该协议难以抵抗假冒攻击和离线口令猜测攻击,为克服这些缺陷,给出一种改进方案,通过实验证明了该方案可以有效抵抗上述2种攻击,并能保证其口令的秘密性及身份认证的安全性。     

抗肩窥攻击的安全口令输入方法

针对手机移动端设备输入口令容易遭受肩窥攻击的问题,提出一种抗肩窥攻击的移动端安全口令输入方法。该方法改变标准的口令输入界面,将设备的振动信道作为辅助信道向用户传递隐蔽信息,用户通过简单的选择输入口令。通过分析表明,该方法能有效抵御肩窥攻击。     

基于动态ID的远程认证方案的分析和改进

分析了段晓毅等人提出的动态ID的远程认证方案,发现该方案不能抵御离线密码字猜测攻击,重放攻击,冒充服务器攻击,且在相互认证后不能提供会话密钥。提出了一个改进方案,改进后的方案克服了以上的安全缺陷,且用户可自由选择登录系统的密码,相互认证后用户和服务器共享一个会话密钥。     

BlindLock:一种有效防范污迹攻击的图案锁系统

现阶段,越来越多的智能手机使用图案锁作为身份认证机制。为解锁智能手机,用户需要将解锁图案绘制在屏幕上,这样就不可避免地留下油性残留物,又称污迹。敌手可以利用污迹重现解锁图案,使用户的隐私受到威胁。通过对现有图案锁的研究,提出了一种能在衣服口袋中进行解锁的系统:BlindLock图案锁系统。BlindLock图案锁利用覆盖原理抵抗污迹攻击,同时利用视觉闭塞原理抵抗肩窥攻击。用户研究表明:BlindLock可在不改变原有图形记忆方式和增加最少解锁时间的情况下显著提升系统安全性、可用性和密码空间。     

移动Web服务图形密码认证方案设计

研究了图形密码的身份认证方式。在详细分析移动Web服务特点的基础上,设计了面向移动Web服务的图形密码认证方案。经分析可得:该方案可有效抵御针对移动终端的肩窥攻击和木马攻击,也可有效抵御网络传输信息的拦截攻击,同时,该方案不要求移动终端在每次认证时进行复杂的运算。     

对两个基于智能卡的口令认证协议的安全性分析

身份认证是确保信息系统安全的重要手段,基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术,对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出“对Liao等身份鉴别方案的分析与改进”(潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进.计算机工程与应用,2010,46(4):110-112)中提出的认证协议无法实现所声称的抗离线口令猜测攻击;指出“基于双线性对的智能卡口令认证改进方案”(邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案.计算机工程,2010,36(18):150-152)中提出的认证协议无法抗拒绝服务(DoS)攻击和内部人员攻击,且口令更新阶段存在设计缺陷。分析结果表明,这两个口令认证协议都存在严重安全缺陷,不适合安全需求较高的应用环境。     

基于累加方法的防肩窥图形密码系统的设计与实现

本文首先对文本口令认证方式和图形密码方式进行了调研,指出了目前常规身份认证方式在现实应用中存在无法防肩窥的问题。然后阐述了当前的几种防肩窥密码系统的设计思想,分析各个系统的特性。在此基础上提出了基于累加方法的防肩窥图形密码系统,详细地陈述了该系统的设计原则及验证流程,并对其安全性和可用性进行了详细论述,并指出了该系统可能的应用场景。     

一种改进的远程用户身份认证方法

本文针对Yoon-Yoo远程用户身份认证方法隐藏的伪装用户攻击、伪装服务器攻击和窃取校验机攻击的安全缺陷,利用随机数多次哈希运算提出一种改进的远程用户身份认证方法.本算法能够解决Yoon-Yoo方法的安全缺陷,同时又能保持其优点.因此,该方法具有更稳定的安全性,为电子商务等领域提供了远程用户身份认证的有效解决方案.     

一种基于Smart Card的远程用户身份验证方案的安全性讨论

身份验证是计算机通信的一个重要方面。由于密码验证协议的简单性,它已经被广泛地用于身份验证。最近,Lee氏等利用Smart Card,提出了一个基于随机数的远程用户验证方案。指出了这个方案并不像其提出者所声称的那样安全,同时提出了两种攻击方法以破解其验证方案。     

基于Hash函数的远程口令认证方案的改进

指出了Xue-Kong的基于单向哈希函数的远程口令认证方案易遭受不可检测在线口令猜测攻击,针对上述安全漏洞,构造了一个基于随机数和Hash函数、使用智能卡的远程口令认证和密钥协商协议。技术分析表明提出的改进方案是安全的。     

基于口令的客户端/服务器认证协议

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全：无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。     

对两个无线传感器网络中匿名身份认证协议的安全性分析

针对设计安全高效的无线传感器网络环境下匿名认证协议的问题,基于广泛接受的攻击者能力假设,采用基于场景的攻击技术,对新近提出的两个无线传感器网络环境下的双因子匿名身份认证协议进行了安全性分析。指出刘聪等提出的协议(刘聪,高峰修,马传贵,等.无线传感器网络中具有匿名性的用户认证协议.计算机工程,2012,38(22):99-103)无法实现所声称的抗离线口令猜测攻击,且在协议可用性方面存在根本性设计缺陷;指出闫丽丽等提出的协议(闫丽丽,张仕斌,昌燕.一种传感器网络用户认证与密钥协商协议.小型微型计算机系统,2013,34(10):2342-2344)不能抵抗用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性。结果表明,这两个匿名身份认证协议都存在严重安全缺陷,不适于在实际无线传感器网络环境中应用。     

一种改进的智能卡远程用户匿名认证方案

针对Sonwanshi提出的远程用户认证方案存在会话密钥安全性差、不能抵御扮演攻击和离线口令猜测攻击的缺陷,提出了一种改进方案,主要在注册和登录阶段增加了安全性能。在注册阶段,用户口令直接在智能卡内进行相应运算,不再提交给服务器。这不仅降低了服务器对口令存储、维护的开销,而且避免了服务器对用户的攻击,提高了安全性能。在登录阶段,采用随机数的挑战应答方式取代原方案的时间戳方式,消除了时钟不同步导致的认证失败。对原方案、改进方案和其他同类方案进行安全性和效率分析的结果表明,改进方案不仅弥补了原方案的缺陷,而且相对同类方案,降低了时间复杂度,适用于安全需求高、处理能力低的设备。     

改进的马氏距离动态时间规整手势认证方法

针对现有动态手势认证方法普遍采用的动态时间规整(DTW)算法在计算欧氏距离(ED)时各维特征向量被同等对待且各维特征间的相关性被忽视等问题,提出一种改进的马氏距离动态时间规整手势认证方法.通过手机内置三轴加速度传感器实时获取动态手势信号,经数据预处理后由改进动态时间规整算法进行加速度信号相似性度量,在计算过程中根据协方差矩阵特点进行时间复杂度优化,最后根据模板匹配法得出认证结论.实验结果表明,经改进后等错率(EER)由3.02%降至1.39%,经优化后认证响应时间平均降低87.84%.该方法进一步提高了动态手势认证精确度,同时实时性良好.     

一种改进的远程用户身份认证方案

物联网的快速发展给人们的生产生活带来了极大的便利,但是如何保证用户的信息安全是物联网发展中必须解决的一个重要问题。为了解决该问题,必须在增加较低计算量的前提下,提出安全性更高的身份认证协议。对Nikooghadam等人提出的保护用户身份的协议进行了分析,并在此基础上提出了一种改进的远程用户身份认证协议。采用BAN逻辑进行验证,也进行了性能比较与计算效率分析,结果表明,提出的协议在增加较低计算量的前提下具有更高的安全性。     

高效的基于口令多服务器认证方案

随着计算机网络的快速发展,传统的单服务器认证方案存在明显的不足。如果一个远程用户想要从不同的服务器获得网络服务,则必须分别向这些服务器提交注册信息。为解决这个问题,研究者提出了多服务器认证方案。然而,大部分多服务器认证方案不能抵抗某些密码攻击或者计算复杂度太高。本文提出一种高效、安全的多服务器认证与密钥协商协议。由于智能卡和读卡器使得实现这类方案的成本较高,新方案没有使用智能卡。与相关的多服务器认证方案相比,新方案同时具有高效性和安全性,因而更适合在实际环境中应用。     

基于改进Das协议的无线传感器网络用户认证协议UAPL

针对在无线传感器网络中采用用户认证的方式获取节点数据时,容易出现密码被破译,以及容易遭受多种网络攻击等安全性问题,在改进Das协议的双因素身份验证的基础上,引入了用户与网关、网关与传感器节点之间的互相验证机制以及用户密码变更机制,提出了UAPL协议。UAPL协议具有防止网关节点旁路攻击、伪装攻击等网络攻击的安全验证机制,提供的密码变更防护能防止由于密码泄露而引发的安全问题。实验结果表明,UAPL协议与其他改进Das协议相比具有较高的安全性。