基于口令的抵抗字典攻击的密钥交换协议

口令是INTERNET常用的用户身份验证方式，字典攻击方式是攻击者进行口令猜测的常用方法．本文提出了一种基于口令的抵抗字典攻击的密钥交换协议，首先对协议双方的身份进行认证，然后在两者之间生成一个随机密钥用于对后续的会话进行加密．     

改进的认证密钥交换协议

Harn对Diffie—Hellman密钥交换协议安全性提出一种数字签名方案，但其安全性较低，本文分析了Harn数字签名方案的不安全性，提出了两种改进的Harn签名方案。     

一个高效的匿名口令认证密钥协商协议

匿名口令密钥协商(APAKE)协议在保持用户匿名性的同时,可以为网络上共享口令的通信双方建立会话密钥.分析了一个高效APAKE协议存在的安全问题,进而提出了新的高效匿名口令认证密钥协商协议,并对所提协议的安全性、匿名性和抗字典攻击等安全需求进行了分析.服务器和用户完成协议需要2次模幂运算,运算效率较高.     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

一种高效的匿名口令认证密钥交换协议

针对云计算等网络新应用中用户隐私保护问题,提出了基于椭圆曲线CDH假设的匿名口令认证密钥交换APAKE协议,通过它用户既能与服务器建立共享会话密钥,又不会暴露其真实身份信息.通过系统模型、安全模型定义及严格的形式化证明,验证了此APAKE协议满足正确性、PAKE安全性及用户匿名性.通过与现有协议对比分析表明:所提APAKE协议既能抵抗身份冒充攻击及离线口令猜测攻击,也提供双向认证;协议效率得到很大提高,客户端及服务器端计算复杂度均有大幅降低.     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

一个具有完备前向安全性的基于口令认证密钥协商方案

在基于网络的分布式环境中,基于口令的认证密钥协商方案是一项基本的安全防护机制.对一个已有的基于口令的认证密钥协商方案[Chen T H,Hsiang H C,Shih W K.Securityenhancement on an improvement on two remote user authentication schemes using smart cards.Future Generation Computer Systems,2011,27(4):337-380]做了安全分析,指出其易受离线口令猜测攻击,并且不具备完备的前向安全性.在此基础上,提出了一个安全性增强的远程口令认证密钥协商方案.所提出的方案继承了已有方案的优良性质,能够抵抗离线口令猜测攻击,并且具有完备的前向安全性.经过安全分析,论证了所提出的方案具有强安全性,适合于在分布式环境中对用户和服务器提供双向认证和密钥协商.     

采用阈下信道的两方口令认证密钥交换协议

提出一种基于阈下信道的两方口令认证密钥交换协议.协议中,服务器存储用户口令的验证值抵御服务器泄漏伪装攻击,用户的口令明文采用阈下信道生成签名信息传送给服务器,服务器计算出用户的口令明文恢复出阈下信息,再计算口令验证值以实现对用户身份的认证,从而建立起会话密钥.对所提协议的安全性和效率进行分析,结果表明:所提出的协议安全可行且有效.     

密钥交换协议的安全性分析

通过对两种攻击的分析,指出缺少认证性的密钥交换协议是不安全的．从认证性入手,在以下两个方面探讨了密钥交换协议的安全性：一方面讨论该协议应采用的消息元素和密码体制,为规范此类协议的设计指出了一个可行方向;另一方面通过两个密码学游戏给出了安全密钥交换协议的定义,该定义量化了协议的认证性,与以往的定义相比,可更准确和直观地分析这种协议的安全性．     

无线网中基于ECC的认证和密钥交换协议

为适应密码技术在无线通信中的应用要求,Aydos、Mangipudi等人以椭圆曲线密码为基础,分别提出了适用于无线通信网络的身份认证和密钥交换协议.而研究发现,这些协议中仍存在中间人攻击、服务后否认、假冒攻击等安全隐患,且不能提供前向保密性.为此,本文提出一个安全的身份认证和密钥交换协议,经验证说明该协议不仅能防止上述安全隐患,而且执行效率更好,适于为无线通信环境中用户端与服务器间进行相互认证,建立一个双方共享的会话密钥.     

改进的具有PFS特性的口令认证密钥协商方案

讨论了具有完备前向安全性(perfect forward secrecy, PFS)的基于智能卡的远程用户口令认证密钥协商方案,指出该方案无法实现所声称的在非抗窜扰智能卡假设下抗离线口令猜测攻击,对密钥泄露仿冒攻击是脆弱的,并且存在时钟同步问题,不适于分布式网络应用。给出了一个改进方案,用随机数代替时间戳来实现消息的新鲜性,对其进行了安全性和效率分析。分析结果表明,改进方案弥补了原方案的安全缺陷,保持了较高的效率,适于分布式网络应用环境。     

Off-line dictionary attack on password-based authenticated key exchange protocols

In 2010,Lee et al proposed two simple and efficient three-party password-authenticated key exchange protocols that had been proven secure in the random oracle model.They argued that the two protocols could resist offline dictionary attacks.Indeed,the provable approach did not provide protection against off-line dictionary attacks.This paper shows that the two protocols are vulnerable to off-line dictionary attacks in the presence of an inside attacker because of an authentication flaw.This study conducts a detailed analysis on the flaw in the protocols and also shows how to eliminate the security flaw.     

Escrow-Free Certificate-Based Authenticated Key Agreement Protocol from Pairings

Key agreement protocols are essential for secure communications. In this paper, to solve the inherent key escrow problem of identity-based cryptography, an escrow-free certificate-based authenticated key agreement （CB-AK） protocol with perfect forward secrecy is proposed. Our protocol makes use of pairings on elliptic curves. The protocol is described and its properties are discussed though comparison with Smart＇s protocol.     

A deniable authenticated key agreement protocol

This paper presents a deniable authenticated key agreement protocol. This protocol can provide an authenticated session key while the sender and the receiver can deny their involvement in such a protocol if the protocol is executed successfully. Then both can deny their transmitted messages protected by the authenticated session key. If this protocol fails, no authenticated session key can be established and no protected messages can be transmitted. The protocol can be proved secure against key compromise impersonation attack. The protocol employs a new method to isolate a session key from confirmation keys.     

Analysis and improvement of cross-realm client-to-client password authenticated key exchange protocols

Because cross-realm C2C-PAKE （client-to-client password authenticated key exchange） protocols can not resist some attacks, this paper writes up new attacks on two representative protocols, then designs a new cross-realm C2C-PAKE protocol with signature and optimal number of rounds for a client （only 2-rounds between a client and a server）. Finally, it is proved that the new protocol can be resistant to all known attacks through heuristic analysis and that it brings more security through the comparisons of security properties with other protocols.     

基于格的两方口令认证密钥交换协议

口令认证密钥交换协议能使共享低熵的通信方在开放的网络中建立安全的会话密钥,基于Gorce-Katz框架提出了基于格的两方口令认证密钥交换(password-based authenticated key exchange,2PAKE)协议,协议采用具有近似平滑投射哈希函数(approximate smooth projective Hash,ASPH)性质的选择明文攻击(chosen plaintext attack, CPA)安全的和带有标签的选择密文攻击(chosen ciphertext attack, CCA)安全的密码体制,利用平滑投射函数的纠错性生成随机参数,通过伪随机函数计算会话密钥;与同类协议相比,该方案降低客户端密钥长度,减少服务器端投射密钥的生成次数,具有较高的效率以及完美前向安全性,在抵抗量子攻击的同时可实现显式双向认证。     

安全高效的空间信息网中群组密钥交换协议

为实现空间信息网中保密通信,提出一个适用于空间信息网的群组密钥交换协议。协议充分考虑了空间信息网中结点的通信特点,所有的卫星结点根据其所在的轨道划分为不同的簇。协议由簇内阶段、簇间阶段和密钥分发阶段组成,每个结点均生成密钥贡献值并汇总至地面中心结点,中心结点生成密钥并秘密发送给每个结点。证明了协议具有语义安全性,进行了通信复杂度分析并利用NS2软件进行了仿真验证。结果表明:相比其他协议,本文协议在空间信息网中应用时具有较高的通信效率。