张怡华[1]2006年在《信息安全系统中用户身份认证技术的研究》文中进行了进一步梳理随着全球信息化进程的不断加速,国内外信息产业领域对信息安全的关注与日俱增,尤其在信息网络化如此普及的年代,网络安全与信息产业息息相关。基于网络环境中的信息安全系统,身份认证成为了网络安全中的一个重要研究课题。身份认证技术是计算机及网络系统确认操作者身份的过程,主要是解决验证网络通讯双方真实身份的问题,为了在通信双方之间建立相互信任可靠的关系。在信息安全中,身份认证技术占有极其重要的地位,是信息安全系统的第一个关卡。由此,身份认证是最基本的安全服务,其他安全服务都要依赖于它。身份认证系统的特殊地位,使得其早已成为黑客的众矢之的。本文所研究的双因素身份认证技术基于C/S+B/S复合架构,避免了用户名/密码方式的单一的静态口令匹配,继承了动态口令的认证模式,提出其时间同步与否带来的弊端,同时拓展了认证渠道,增加了物理认证匹配因素,从而极大保证了信息化企业内部的高级管理人员对本企业应用系统的管理权限认证的安全性,多因素身份认证技术有效地增强了信息安全。依据动态口令机制实现身份认证,使用户可以用随机的口令进行登录,能够彻底解决现存的信息安全系统中身份识别与认证方面的问题,以确保各类资源的安全。动态口令身份认证系统属于信息安全领域中的身份识别软件,是基于密钥和时间双(?)因素的身份认证系统。该系统动态口令的有效使用期限和有效使用次数可以进行严格的控制,这就很好的解决了静态口令机制固有的口令容易被截获和攻击的弱点,为用户提供了一种安全性较高的身份认证机制。本文将按照如下顺序进行论述:第一章介绍身份认证技术的发展及现状分析;第二章是网络安全技术的发展与现状;第叁章主要是身份认证密码学基础;第四章是介绍认证协议和认证机制;第五章主要介绍了多因素身份认证系统的设计;第六章介绍了产生随机序列的算法分析;第七章主要是介绍信息安全系统中构建的身份认证系统的设计与实现;
李雄[2]2012年在《多种环境下身份认证协议的研究与设计》文中指出身份认证协议是确保参与者在开放的网络环境中实现安全通信的一种重要手段,是各类应用系统安全的第一道关口,对网络与信息系统安全具有举足轻重的作用。通过身份认证协议,可以防止非法人员进入系统,并防止非法人员通过违法操作获取不正当利益、访问受控信息、恶意破坏系统数据的完整性等。目前身份认证技术已经广泛应用于网络信息安全中的数据保护、银行网络管理以及各种各样信息系统的安全保护等研究领域。但是随着应用场景的不断扩展,特定的身份认证协议不可能对所有的应用场景都适用,需要针对不同的应用环境设计相应的身份认证协议。同时,身份认证的目的是在不可靠的通信环境下实现参与者的安全通信,由于网络环境的不可靠性,存在着多种多样的攻击方式,从而导致了分析与设计身份认证协议的复杂性。本文分析了身份认证协议的研究背景和发展现状,说明了身份认证协议的设计原则,并指出了身份认证协议需满足的安全需求和功能需求。本文围绕身份认证协议中存在的问题展开研究,分别研究了单服务器身份认证协议、多服务器身份认证协议、叁因素远程身份认证协议以及无线与移动环境下的身份认证协议,得到了若干有意义的结论:1.当前,大多数基于ElGamal密码体制的单服务器身份认证协议都不具有良好的用户友好性,如用户不能自由地选择和变更自己的口令。同时,这些协议都不能保护用户身份的匿名,且都不支持会话密钥协商。针对现有的基于ElGamal的单服务器认证协议存在的问题,本文综合考虑身份认证的安全需求和功能需求,设计了一个具有高安全特性的基于智能卡和ElGamal密码体制的单服务器身份认证协议,同时使其具有相对较低的计算复杂度。2.研究了Lee等人提出的基于动态身份的多服务器认证协议。在本协议中,注册中心负责系统参数的选取,用户和服务器的注册,而不直接参与到用户的认证过程中。我们发现Lee等人的协议不能提供正确的认证,不能抵抗伪造攻击和服务器模仿攻击,且用户和注册中心必须建立安全的信道以完成用户口令的变更。为解决Lee等人协议存在的安全问题,我们提出一个新的基于动态身份的多服务器认证协议,本协议满足多服务器环境下身份认证协议的实际功能需求和安全需求。3.研究了Sood等人提出的基于动态身份的多服务器认证协议,在该协议中,注册中心直接参与用户的认证过程。分析了Sood等人协议存在的安全性缺陷,指出Sood等人协议易遭受匹配泄露攻击、智能卡丢失攻击,且由于设计上的缺陷导致注册中心无法在认证的过程中获取用户真实的身份标识,从而无法进行正确的认证和密钥协商。在此基础上,提出了一个新的注册中心直接参与用户认证的基于动态身份的多服务器认证协议,该协议改进了Sood等人协议存在的安全问题,且仅用极小的计算复杂度增量换取了更高的安全性和更多的功能特性。4.研究了基于口令、智能卡和Biometric的叁因素身份认证协议。对我国台湾学者Li和Hwang提出的叁因素远程身份认证协议进行研究,发现Li-Hwang的协议不能提供恰当的认证,不能抵抗中间人攻击,此外,Li-Hwang协议通过比较Biometric的Hash函数值来进行Biometric的验证,由于每次提取Biometric存在一定的扰动,而Hash函数对数据的扰动十分敏感,Li-Hwang协议的Biometric认证不能有效的执行。我们详细描述了这些问题,并针对Li-Hwang协议存在的这些安全缺陷,提出一个新的基于Biometric的叁因素远程身份认证协议。5.研究了移动漫游网络的匿名身份认证协议。当前多数的移动漫游网络身份认证协议都不能真正确保用户身份的匿名性。为确保移动网络安全认证和漫游,基于椭圆曲线离散对数问题(ECDLP)和椭圆曲线计算Diffie-Hellman问题(ECDHP),提出了一个新的移动漫游网络匿名认证协议。本协议能真正确保用户的匿名,且能确保会话密钥的公平性。同时,本协议保持了无缝接入无线网络认证和漫游的计算有效性6.研究了RFID相互认证协议。基于Periaswamy等人提出的RFID标签电子指纹检测方法,提出了一个适用于EPC Class1Generation2被动标签的RFID相互认证协议,本协议能防止非法阅读器读取标签信息,能抵抗重放攻击、DoS攻击等恶意攻击。同时,本协议可通过电子指纹方法检测克隆标签。
李晓伟[3]2013年在《可证明安全的认证与密钥协商协议研究》文中研究说明认证与密钥协商协议(Authenticated Key Agreement, AKA)是密码学的一个重要领域,它允许两个或者多个用户在不安全的网络信道上进行身份/消息认证并协商出一个共享密钥,从而建立一个安全的信道进行通信。由于AKA协议在各个现实网络中都具有着非常广泛的应用,因此它也受到了学者和工业界的高度关注。可证明安全理论是一种公理化的研究方法,它将密码协议的安全性规约到复杂的数学难题或者一些密码学基础理论。如果该数学问题被公认是难解的或者该基础理论是正确,那么基于这些困难问题或者理论所构造的密码协议就被认为是计算上安全的。目前使用可证明安全理论对AKA协议进行研究已成为国际上公认的较为有效的方法。本文以可证明安全理论为基础从理论和实际应用两个方面对AKA协议及其安全模型进行了分析和设计。理论研究方面包括对两方、叁方以及群组口令AKA协议及安全模型的研究、一轮强前向安全AKA协议及其安全模型的研究。实际应用方面包括对会话初始化协议(SIP)的研究以及无线漫游认证协议的研究。取得的成果如下:(1)对一个基于口令和智能卡的两方匿名AKA协议进行了分析,指出该协议会遭受离线字典攻击以及密钥泄露伪装(KCI)攻击。给出了一个改进协议,改进协议增加了用户的不可追踪安全属性。在椭圆曲线间隙Diffie-Hellman假设(ECGDH假设)下证明了所提出协议的安全性。同已有的基于口令和智能卡的两方匿名协议相比较,所提出协议在安全性、计算消耗以及存储消耗上具有一定优势。(2)将AKA协议所需的一种强安全属性——抗临时密钥泄露攻击引入到基于口令和智能卡的AKA协议中,分别提出了基于智能卡的两方强安全AKA协议和叁方强安全AKA协议。同时,给出了包含临时密钥泄露攻击的基于口令和智能卡的AKA协议的安全模型,并在该模型下给出所提协议的安全性证明。此外,文中还分析了抗临时密钥泄露攻击不能在仅使用口令的AKA协议中实现的原因。(3)对标准模型下基于口令的群组密钥协商协议进行了研究,基于平滑投影哈希函数提出了一个使用不同口令的群组AKA协议。由于不同用户使用不同口令,避免了一旦群组内的一个用户被攻陷,那么整个系统都将崩溃的危险。在平滑投影哈希函数、非交互不可展承诺方案以及DDH假设下,新的协议在标准模型下是可证明安全的。(4)对基于公钥的一轮强前向安全的AKA协议进行了研究,将密钥泄露伪装攻击进一步区分为强密钥泄露伪装攻击和弱密钥泄露伪装攻击。同时给出了一个包含该攻击的具有强前向安全属性的安全模型。在着名的mOT(MinimalOkamoto-Tanaka)协议的基础上使用NAXOS方法给出了mOT+协议并基于一个弱的假设给出了mOT++协议,在所提出模型下给出了两个协议的安全性证明。(5)从实际应用出发,对跨域SIP协议进行了研究,基于无证书公钥密码学提出了一个适用于SIP协议的跨域无证书AKA协议。新的协议允许不在同一个密钥产生中心的两个用户安全的运行SIP协议。基于间隙双线性Diffie-Hellman(GBDH)假设在随机预言模型下证明了协议的安全性。该协议中所使用的方法适用于其他跨域间用户认证,可以使得点到点通信得以实现。(6)对无线漫游认证协议进行了研究,提出了一个具有隐私保护属性的漫游协议认证框架。该框架中包含了用户和外地服务器之间的认证协议以及跨域间的用户认证协议。使用AVISPA工具对协议进行了安全性分析。结果表明所提出的认证协议具有AKA协议所应具有的安全属性。文中所用的方法可以看做是一种通用的方法,可用于无线Mesh网络以及车载网络等分布式网络。
崔振山[4]2013年在《一类基于口令的远程认证协议的分析与改进》文中研究表明随着社会经济与科学技术的迅速发展,计算机网络以及网络应用也得到了迅猛发展。然而由于计算机网络的开放性,导致了在网络环境中存在着诸多安全漏洞和安全威胁。因此,提供一种有效的机制,对通过计算机网络访问资源的用户进行合法身份认证已经变得越来越重要。身份认证技术已经成为网络系统安全中最重要的技术之一。目前,静态口令认证技术是一种比较常用的身份认证技术。然而随着网络应用的复杂化和攻击手段的多样化,由于静态口令认证技术本身存在的安全缺陷,已经不能满足对安全性有高要求的网络系统和应用的安全需求。针对静态口令认证技术存在的安全缺陷,业界提出了动态口令认证技术。本文首先对动态口令认证技术的基本原理、实现方式进行了详细介绍。然后对一类基于口令的认证方案,即S/KEY口令序列认证方案和SAS-2认证方案进行了深入研究。通过分析研究此类认证方案的工作过程、执行性能和安全性能,分析其存在的安全缺陷,并提出一种改进的基于口令的认证方案SAS-3(New Simple And SecurePassword Authentication),提高了系统的安全性。本文在分析了一类动态口令认证方案的基础上,详细分析Islam等方案的认证和密钥协商过程,分析其存在的安全缺陷,并针对此详细设计攻击方案,最后提出一种新的基于口令的远程认证协议。
苑卫国[5]2003年在《网络身份认证技术研究和VIKEY身份认证系统的实现》文中进行了进一步梳理随着计算机网络的发展和网络应用的迅速普及,网络安全受到人们的日益重视。网络环境中的身份认证技术是网络安全中的一个重要课题,对于网络应用的安全起着非常重要的作用。身份认证技术解决的是验证网络通讯双方真实身份的问题,目的是为了在通信双方之间建立相互信任的关系。通过对身份认证技术的理论分析和系统设计等方面的研究,可以增强现有认证系统的安全性、可用性和易管理性,提高系统的效率,为网络安全系统应用提供高效实用的解决方案。本文以身份认证机制和认证协议为研究重点,围绕网络中身份认证系统的特点和应用环境以及作者参与开发的VIKEY在线动态口令双因子身份认证系统等方面进行了研究。论文的主要工作包括以下几个方面: 1)身份认证的密码学理论基础分析。密码学是身份认证技术的基础,密码机制实现了身份认证的认证信息安全传输、完整性保证和不可否认性保证。本文对对称加密和非对称加密的体制工作原理、典型算法和优缺点,单向散列函数的原理,不可否认机制原理等进行了介绍;分析了与身份认证相联系的信息认证,并讨论了与公钥认证机制密切联系的数字签名和数字证书。 2)身份认证协议和认证机制分析。安全可靠的身份认证协议和认证机制是身份认证技术的核心。本文从当前身份认证的主要方式开始论述,介绍了认证协议的设计、分析方法和安全性,并对一些典型身份认证协议进行了说明;然后论述了已有的身份认证系统的主要认证机制。本文还针对当前网络环境中,一些使用认证机制的典型应用认证协议的过程和原理进行了讨论。 3)Kerberos系统分析和改进。Kerberos系统是MIT开发的分布式网络环境下的认证系统。本文分析了Kerberos认证系统的组成、域内认证方案的协议过程和多领域认证服务方案,并对Kerberos协议模型的功能特性和局限性进行了研究。本文提出了使用公钥体制加密会话密钥,客户端与认证服务器的会话密钥由客户端使用随机数产生,并用现时取代时间戳的方法对原协议进行了改进,使整个协议的安全性得到进一步提高。 4)公钥基础设施PKI认证体系的分析。PKI是一种遵循标准的利用公钥加密技术为网上通信的开展提供一套安全的基础平台,在国内外得到广泛的应用。本文分析了现有的PKI的体系组成、功能、标准和协议,并对其核心认证机构CA系统进行了分析;对X.509认证服务,包括X.509数字证书的内容及其认证过程进行了讨论;对PKI认证体系的实施和发展也进行了分析。 5)VIKEY身份认证系统的设计与实现。VIKEY身份认证系统是作者参与设计和实现的基于网络环境的客户机/服务器访问的动态双因子身份认证系统。该系统采用了动态口令认证机制,实现了用户在网络环境中对WWW、Telnet、FTP等流行的应用访问中的透明的身份认证服务。本文论述了系统的认证原理,包括*SB小钥匙原理、认证算法设计、系统结构和认证流程,并对系统实现的上要软件模块,包括认证客J腕、认证服务器端、系统管理程序和数据库设计进行了研究。观过对该系统的优点和缺陷的分析,说明了它是一个简练、安全、高效的身份认证方案,具有很好的应用前景。
唐宏斌[6]2012年在《基于口令认证密钥协商协议设计》文中认为分布式系统和普通网络一样需要得到保护,当客户和远程服务器进行通信时,需要保护双方通信的安全性。而远程通信中最重要的属性之一是认证性,客户通过认证可以确认远程通信服务器的身份合法性,反之亦然。现实当中得到广泛应用的认证系统是基于口令的认证系统,它是是密码学领域一个重要的研究方向。基于口令的认证及密钥协商系统是指存在主动攻击者的情况下,持有低熵口令或高熵密钥的通信双方或多方通过一定的方式对对方的身份进行合法性认证,并在认证之后产生会话密钥,从而实现安全通信。衡量口令基认证协议性能有两个重要参数:效率和安全性。效率是指运行协议的计算开销和通信开销;而其安全性需要所设计协议能满足基于口令认证密钥协商协议的安全目标。由于口令的低熵性导致了基于口令的认证协议极易受到攻击,因此有必要设计安全性和效率更高的口令基认证协议。本文对客户服务器认证模式的口令基认证协议进行了深入研究,并取得如下一些成果:1.对单因子类口令基认证协议进行了研究并取得如下成果:对Arshad等和Islam等两种不同环境的单因子类口令基认证协议进行分析,指出这两种单因子类口令基认证协议的弱点,同时针对不同的环境设计了两种新的口令基认证协议,解决了离线字典攻击问题,经证明新协议具有更高的安全性,且协议执行效率更高。2.对双因子类口令基认证协议进行了研究并取得如下成果:首先对Chen等和Wen等的基于口令和智能卡的认证协议进行分析,指出这两种协议存在的问题,并提出自己的双因子认证协议,新协议解决了丢失智能卡攻击问题,协议被证明是安全的,而且协议保持高效性。其次对GLOMONET环境下的匿名认证协议进行分析,指出现存的匿名认证协议均不足以抵抗丢失智能卡攻击,同时目前也不存在为GLOMONET设计的用于无需智能卡的移动设备的认证协议,我们提出一种基于口令和移动设备的双因子口令基匿名认证密钥协商协议,分析表明新协议能抵抗丢失移动设备攻击、提供匿名性和提供完美前向安全性。本协议和相关的GLOMONET双因子认证协议比较具有更高的效率。3.对叁因子类口令基认证协议进行了研究并取得如下成果:叁因子认证协议比单因子和双因子提供更高的安全性,然而Yoon等的叁因子SIP认证密钥协商协议TAKASIP和Das等的叁因子认证协议均存在安全缺陷。针对TAKASIP协议设计了一种基于椭圆曲线密码学认证协议ETAKASIP,安全性分析表明ETAKASIP比TAKASIP更安全,效率更高。针对Das等协议设计一种新的叁因子认证协议,该协议能抵抗丢失智能卡攻击,因而也适用于拥有口令、移动设备和生物特征的叁因子认证协议中。
王德松[7]2012年在《基于生物特征信息隐藏与身份认证及其应用研究》文中指出随着计算机网络的蓬勃发展,越来越多的资源和应用都是利用网络远程获取和得到授权的服务,如何确保特定的资源只能被合法、授权的用户访问和使用,即如何正确地鉴别用户的身份是保证通信网和系统数据安全的首要条件。而且,在网络环境下,如何验证生物特征图像的完整性、如何安全可靠地实现远程身份认证、如何确保生物特征的隐私性和秘密数据的安全性、如何确保数字媒体数据的版权等成为开放网络环境下的研究热点。本论文主要研究基于生物特征信息隐藏与身份认证方案,该方案是充分利用生物特征识别技术、密码技术和信息隐藏技术来实现远程身份认证,并获得服务器提供的授权服务,而且还能有效地提高秘密数据的安全性和生物特征数据的隐私性。本文所做的主要贡献如下:1、提出了基于SVD和脆弱水印的生物特征图像的完整性认证算法。针对奇异值分解理论与脆弱水印的特性,提出了如何在网络环境下对远程用户传输的生物特征图像完整性的认证方法。实验结果表明:基于SVD和脆弱水印的生物特征图像完整性认证方法是行之有效的,可用于生物特征图像完整性认证系统。该认证算法可用于远程身份认证系统中的用户端的用户只负责生物特征图像采集和认证的水印嵌入,而在具有较大运算处理能力的服务器端进行认证水印的提取与认证、特征的提取与匹配,从而确认远端用户的身份。2、提出了基于Radon变换和奇异值分解的手指静脉识别算法。该识别算法首先利用Radon变换来提取手指静脉图像的方向信息,并构成投影矩阵;其次,利用奇异值分解来提取投影矩阵的奇异值作为手指静脉模式的特征向量;最后,利用归一化距离来计算其相似度。实验结果表明:提出的识别算法对手指静脉具有不错的识别效果。3、提出了基于指纹的远程身份认证与密钥协商。该研究主要采用现有的指纹识别算法与密码技术相结合的方式,实现基于指纹的自认证后释放对存有秘密信息的智能卡的控制权,通过密码协议实现与远端服务器之间的相互认证,克服了集中存放用户指纹特征信息的安全风险。同时,为了对用户指纹特征数据的安全性与隐私性保护,用户的指纹特征数据都是通过密钥加密传输,克服了传统的身份认证和生物特征识别系统的安全问题,提升了在安全威胁的情况下的整个认证体系的安全性和隐私性。4、提出了基于双线性对和手指静脉的远程双向认证与密钥协商。该研究主要利用超椭圆曲线上的双线性对性质(计算速度快和安全效率高、密钥大小和带宽要求低)与手指静脉识别算法,构建了在分布式网络环境下的身份认证与密钥协商协议。通过安全分析表明,提出的身份认证协议是合理的、安全的,提升了在安全威胁的情况下的整个认证系统的安全性和隐私性。5、提出了基于生物特征信息隐藏与识别的多因子身份认证与密钥协商。首先构造了生物特征信息隐藏的基本模型;然后提出了基于双正交样条小波(bior4.4)的生物特征信息隐藏算法,并用实验验证提出的基于小波域的双正交样条小波对生物特征信息隐藏算法对攻击的有效性和鲁棒性;接着我们还构造了基于生物特征信息隐藏与识别的远程身份认证系统,该系统相比于传统的生物特征认证系统具有更高的安全性,即使攻击者窃取了该隐密的载体图像,也很难判断是否存在隐密特征与提取得到生物特征,体现了对用户生物特征数据的隐私保护;最后给出了基于生物特征信息隐藏与识别的多因子身份认证与密钥协商,该协议充分利用生物特征识别技术、信息隐藏技术、密码技术及智能卡技术来安全实现远程身份认证,并通过安全性分析与功能分析表明,提出的认证协议不但具有高度安全性,而且保护了用户的隐私。6、提出了基于人脸图像与虹膜特征的双重水印技术在版权保护中的应用。首先介绍了可见人脸图像水印和不可见虹膜特征水印的产生;接着介绍了双重生物特征水印的算法;最后通过实验验证了提出的双重生物特征水印算法的稳健性与有效性,其中以人脸图像为可见水印起到明显地标示数字媒体图像的所有者,以虹膜特征为不可见水印可以在版权纠纷时起到提供法律依据和确保对数字媒体图像的版权,这对数字媒体数据提供双重保护,从而更加有效地遏制非法复制和篡改。
李小标[8]2011年在《跨域认证关键技术研究》文中研究表明随着电子商务、电子政务应用的不断深入,信息安全显得越来越重要。身份认证和访问控制技术是信息安全领域的一个重要分支。跨域认证的实现使不同信任域之间的互联、互通、互操作成为可能。本文在认证和访问控制理论方面进行深入研究并取得了如下成果:(1)对跨域通用模型进行了研究,基于该模型提出了支持多模式应用的跨域认证方案。该方案基于PKI和PMI,服务端以中间件的方式实现认证、鉴权、审计功能,引进了SAML交换认证和鉴权信息。客户端则采用安全cookie、共享内存与ticket技术实现跨域单点登录。该方案解决了以往的单点登录方案仅支持C/S模式或B/S模式,不能很好的支持多模式混合应用的情况。该方案具有更高的安全性,更为全面的解决多模式应用的单点登录问题,因而具有广泛的应用前景。(2)为了满足撤销频繁、因网络环境而动态变化的认证需求,提出了认证系统通用的撤销方案。该方案基于公钥密码体制和安全动态累积函数有效的实现节点加入、撤销,并支持跨域认证。该方案可实现身份认证、密钥协商和密钥更新,具有实体认证、前向安全性等安全属性。与以往的方案相比,本解决方案更为通用的解决了撤销方面的性能、安全性、实用性等问题。(3)提出了一个跨域端到端的口令认证密钥交换协议(Client-to-Client Password-Authenticated Key Exchange, C2C-PAKE),可实现不同域的两个客户端通过不同的口令协商出共享的会话密钥。以往的方案大多数在Byun2007的C2C-PAKE协议基础上做的分析改进。最近,Feng等和刘等分别提出了基于公钥的C2C-PAKE协议的改进方案。通过协议分析,本文发现以上方案均存在未知密钥共享攻击、服务器恶意攻击等漏洞,并对此作了改进。(4)提出了统一资源访问控制系统的实现方案。本系统采用灵活的分级体系结构设计,理论上支持不限制级别的体系架构。系统由不同层级的认证系统、授权系统和访问控制系统的模块和关键子系统组成。该系统使用属性证书实现了基于角色的访问控制,对用户的登录采用集中的身份认证和单点登录技术,能兼容不同的认证方式和认证设备。针对不同应用,采用相应的访问控制技术。为方便使用,提出了透明代理网关的访问控制方式。采用透明代理网关的访问控制的方式无需在受保护的服务器(或应用系统)和用户客户端上安装相应的代理/插件,即可实现对资源的访问控制。系统采用分级的授权管理,提供分布式、集中式等灵活的授权管理模式,对外提供标准的认证、授权与审计接口,实现对认证硬件产品的选择无关性。本系统的设计方案能很好的满足资源访问控制的需求,并得到了广泛的应用。
汪定[9]2012年在《基于智能卡的远程用户口令认证协议研究》文中提出随着电子商务、电子医务和电子政务的快速发展,在远程用户和服务器之间进行身份认证,是确保分布式网络环境中信息系统安全的基本手段。基于智能卡的远程用户口令认证协议由于安全性高,便携性好,简单易用,在业界获得了广泛的应用。经过近二十年的研究和发展,这种认证协议在安全性和功能特性方面逐渐趋于完善,但它们都基于一个共同假设——智能卡内秘密信息无法为攻击者获取。近年来边信道攻击技术研究结果表明,攻击者可通过逆向工程、能耗分析、计时攻击等手段分析出普通智能卡内秘密参数,使传统协议所基于的安全假设不再成立。相应地,设计基于非抗窜扰智能卡的远程用户口令认证协议自2006年来成为轻量级安全协议领域的一个研究热点。设计安全高效的基于非抗窜扰智能卡的远程用户口令认证协议是一个巨大的挑战:一方面需要综合考虑众多的安全目标和理想特性,另一方面智能卡本身又是一种资源受限设备。近几年来虽然有一些基于非抗窜扰智能卡的增强型协议被提出,但都随后被指出存在这样或那样的安全漏洞和性能缺陷。存在这一问题的根本原因在于,以往研究要么关注于某个安全目标或理想特性的实现,要么在对先前协议进行攻击分析后只给出简单的漏洞修补,缺乏系统性和原理性的研究。针对这一现状,本文以基于非抗窜扰智能卡的远程用户口令认证协议为主线,从协议的评价指标、分析和设计原则,以及新协议的设计方面展开了研究,主要完成了以下四方面工作:1)分析了近期叁个较为典型的基于智能卡的远程用户口令认证协议。分析了Xie等学者在2010年设计的基于RSA的口令认证协议,指出其无法实现所声称的抗重放攻击,并且对密钥泄露仿冒攻击是脆弱的;分析了Hao等学者于2011年提出的具有前向安全性的口令认证密钥协商方案,指出其无法实现所声称的抗离线口令猜测攻击,对密钥泄露仿冒攻击是脆弱的,并且存在时钟同步问题;分析了Hsieh等学者在2012年设计的仅使用Hash函数的高效口令认证协议,指出其无法实现所声称的抗离线口令猜测攻击,对内部人员攻击是脆弱的,并且存在用户友好性差、不适于移动应用等问题。2)梳理了基于智能卡的远程用户口令认证协议评价指标间的相互关系,提出了叁个协议设计原则。首次证明了在非窜扰智能卡假设下,采用公钥技术是实现协议可抗离线口令猜测攻击的必要条件;首次证明了在服务器端无敏感验证表项情形下,服务器(至少)进行两次模幂运算(或点乘运算)是实现前向安全性的必要条件;首次深入分析了“抗智能卡丢失攻击”这一安全目标和“口令本地自由更新”这一理想属性间存在的矛盾,提出“模糊验证因子”技术来较好地平衡这一对矛盾。3)设计了一个基于RSA适于资源受限环境的远程用户口令认证协议。Fang等方案为了克服资源受限这一难题,仅采用了对称密码操作(Hash函数),这一策略违反了本文给出的“公钥技术原则”,无法抵抗离线口令猜测攻击;利用RSA加密和解密操作运算量的非对称性,设计了一个安全高效的方案,并且完成了启发式安全性分析,与已有协议相比,新方案在客户端性能方面具有显着优势,适于移动应用环境。4)设计了一个随机预言机模型(ROM)下可证明安全的“理想协议”。基于计算Diffie-Hellman (CDH)困难性假设,设计了一个能够满足所有安全目标和实现所有相关理想属性的协议,并且在ROM下完成了紧归约的形式化安全证明,进而回答了Madhusudhan和Mittal2012年初在Journal of Network and Computer Applications上提出的公开问题。此外,协议中首次提出“模糊验证因子”的概念,较好地解决了以往此类协议无法同时实现抗智能卡丢失攻击和支持口令本地自由更新这一难题。
温慧君[10]2015年在《基于位置的用户认证协议和智能交通系统的研究与实现》文中提出随着通信技术、计算机处理技术、传感技术、控制技术等现代信息技术的发展,出现了众多满足现代化管理需求的智能交通系统。然而目前许多计算机网络正在遭受严重的安全威胁,尤其交通局内部网络的安全成为管理隐患。用户认证作为保障内网安全的第一道关卡,起着至关重要的作用。传统的用户认证普遍基于用户账号和口令的方式认证,这已经不满足智能交通系统的安全用户认证需求,新的需求是要求系统可以同时验证用户的口令和位置信息。本文针对不同的应用场景和攻击类型提出四个基于位置的用户认证协议。首先设计了可验证用户位置范围的基于网络标识的ULNI协议,随后利用距离约束技术设计ULDB协议考虑了位置验证的安全性,然后利用多点定位技术提出ULVM协议使得验证用户的精确位置成为可能,最后找到一种可以抵御共谋攻击的BRM模型,并利用此模型设计了ULBRM协议。这些协议的研究与提出,为智能交通系统的用户认证提供了具体的理论支持,解决目前没有同时验证用户口令和位置信息的问题。同时,本文通过智能交通系统登录模块的需求分析,选择合适的基于位置的认证协议ULNI协议应用于系统的登录模块。测试表明,协议可以满足登录模块同时验证用户口令和位置的需求,并且用户登录时间不超过1s。具有较好的安全性和应用价值。
参考文献:
[1]. 信息安全系统中用户身份认证技术的研究[D]. 张怡华. 四川大学. 2006
[2]. 多种环境下身份认证协议的研究与设计[D]. 李雄. 北京邮电大学. 2012
[3]. 可证明安全的认证与密钥协商协议研究[D]. 李晓伟. 西安电子科技大学. 2013
[4]. 一类基于口令的远程认证协议的分析与改进[D]. 崔振山. 哈尔滨工程大学. 2013
[5]. 网络身份认证技术研究和VIKEY身份认证系统的实现[D]. 苑卫国. 西北工业大学. 2003
[6]. 基于口令认证密钥协商协议设计[D]. 唐宏斌. 电子科技大学. 2012
[7]. 基于生物特征信息隐藏与身份认证及其应用研究[D]. 王德松. 电子科技大学. 2012
[8]. 跨域认证关键技术研究[D]. 李小标. 北京邮电大学. 2011
[9]. 基于智能卡的远程用户口令认证协议研究[D]. 汪定. 哈尔滨工程大学. 2012
[10]. 基于位置的用户认证协议和智能交通系统的研究与实现[D]. 温慧君. 西安电子科技大学. 2015
标签:互联网技术论文; 身份认证技术论文; 网络攻击论文; 信息安全论文; 用户研究论文; 密钥管理论文; 网络模型论文; 技术协议论文; 网络验证论文; 用户分析论文; 对称密钥论文; 网络安全论文;