基于中文句法的口令助记策略

助记策略用于帮助用户生成安全性较高且易于记忆的口令,近年来受到中外学者的广泛关注。现有助记策略多存在安全性低、不便记忆等问题。现提出一种基于中文句法的口令助记策略,用户选择一个易于记忆的句子作助记句,利用预定义规则或基于用户的选择,将其转换为口令,通过对照实验评估了其性能。采用马尔可夫链模型等性能评估工具,将实验中收集的口令与大量真实口令进行对比、分析,评估该助记策略的安全性和易用性。在易用性方面,NASA-TLX量表结果显示,虽然使用助记策略在生成口令阶段的负荷量偏高,但在短期可记忆性和长期可记忆性方面,是否使用助记策略没有明显的差别。此外,在安全性方面,所有口令强度评估结果均表明,该助记策略生成的口令强度远高于真实口令。在将助记句转化为口令的同时,本策略隐藏了个人敏感信息,降低了因个人信息泄露而导致口令泄露的风险,提高了方案的安全性。     

一种基于HASH函数的密钥管理方案

分析了现在常用的两种密钥管理方法,并在此二者的基础上给出了一种简单实用的密钥管理方法,该方法利用HASH函数对用户的较短口令进行处理,把计算出真正密钥的信息分成两部分,用户只有拥有两部分信息才能计算出真正的密钥,从而可避免由于用户口令的丢失造成的数据泄密,在最大程度上保证了用户数据的安全.     

OMECNN:一种基于有序马尔可夫枚举器和判别神经网络的口令生成模型

基于口令的身份鉴别是目前最流行的鉴别方式之一,利用口令生成技术进行大规模口令集的生成,进而检测现有用户口令保护机制的缺陷、评估口令猜测算法效率等,是研究口令安全性的重要手段.本文提出一种基于有序马尔可夫枚举器和判别神经网络的口令生成模型OMECNN,使用有序马尔可夫口令枚举器按照口令组合概率的高低生成组合口令,同时基于判别神经网络进行打分筛选口令,选出得分高于阈值的口令组成最终口令集.采用本文提出方法生成的口令集具有按照口令组合概率高低排序的特点,以及符合真实训练口令集的口令分布的特点.实验结果表明,在生成10~7条口令时,OMECNN模型生成的口令集在Rockyou测试集上的匹配条目比OMEN模型高出16.60%,比PassGAN模型高出220.02%.     

SecureWeb: Protecting Sensitive Information Through the Web Browser Extension with a Security Token

The leakage of sensitive data occurs on a large scale and with increasingly serious impact. It may cause privacy disclosure or even property damage. Password leakage is one of the fundamental reasons for information leakage, and its importance is must be emphasized because users are likely to use the same passwords for different Web application accounts. Existing approaches use a password manager and encrypted Web application to protect passwords and other sensitive data; however, they may be compromised or lack accessibility. The paper presents Secure Web, which is a secure, practical, and user-controllable framework for mitigating the leakage of sensitive data. Secure Web protects users' passwords and aims to provide a unified protection solution to diverse sensitive data. The efficiency of the developed schemes is demonstrated and the results indicate that it has a low overhead and are of practical use.     

用启发式策略检测口令安全

针对现有口令安全措施中存在的问题进行了分析, 提出一种利用启发式策略检测口令安全的方法, 该方法模拟社交工程破解口令的逻辑推理过程, 利用启发式策略指导口令核的检测过程, 从而有针对性的选择口令核字典, 缩小搜索空间, 再利用计算机的强计算能力完成变形重组工作, 提高效率. 以攻击者的思维、 角度来考虑安全问题, 假定攻击者在了解用户有关信息的情况下, 模拟攻击者破解口令的智能推导过程来检验口令的安全性. 同时, 还描述了利用此方法实现的一个原型系统, 实验表明, 它可以改进口令检测的效果和效率.     

通过多信道传送多密码来提高系统的信息安全性

随着计算机技术和信息技术的飞速发展,信息安全不仅是军事外交领域独有的东西,更变成与我们日常生活紧密相关的一个组成部分。在我们现在的日常生活中,时时刻刻都在和密码以及信息安全打交道,而密码作为信息安全保护的一把钥匙,在其中扮演着＂守护神＂的角色。所以,密码的安全使用或者说不被窃取就显得至关重要了,像诸如各种银行卡、网上银行、门禁卡以及各种购物卡会员卡等的密码保障都在其中。本文着重就密码传输方面的安全性来讨论其对系统信息安全性的影响。     

数据库加密算法的设计

本文主要介绍一种可变的数据库的加密方法。密码经加密运算，存入文件，取密码时再进行逆运算。安全性强，不易被破解。     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

基于单向散列函数的智能卡鉴别方案

提出了一种在智能卡中实现的基于单向散列函数的远程身份鉴别方案，用户能自己选择口令并且系统不需要维护任何与用户口令相关的信息，系统中用户不受限制，用户利用智能卡以及口令便可成功地登录到远程系统，攻击者不能从公开或传送的信息中获得用户秘密信息，也不能冒充别的合法用户，此外，本方案还能抵抗登录请求的重播。     

击键特征加强口令身份认证安全性的研究

目前 ,绝大多数计算机系统的安全性都是通过口令保护机制实现的 ,但口令易被盗用 ,存在着安全隐患。为此本文提出了将传统的口令认证机制同用户输入口令时生成的击键特征相结合进行身份认证 ,以此来加强传统的口令认证方式的安全性。同时建立了 BP神经网络对此进行实验 ,并给出了实验结果。     

一种带有盐度值的安全哈希加密算法的设计与实现

当直接采用安全哈希算法对用户的密码进行加密时,虽然对密码执行了哈希运算,解决了在数据库中以明文的形式存储用户密码的潜在安全隐患问题,但是这种加密策略在面对字典、彩虹表攻击时就显得有些脆弱了,并没有达到更高的安全性.为了解决上述问题,本文设计并实现了一种带有盐度值的安全哈希加密算法.通过带有盐度值的哈希运算,可以使得生成的密文进一步随机化,进而使得攻击者需要为每个盐度值创建一条字典记录,这将使得攻击变得非常复杂,最终使攻击者利用字典,彩虹表进行攻击的成功率降低.     

Formal analysis of TPM2.0 key management APIs

The trusted platform module （TPM）, a system component implemented on physical resources, is designed to enable computers to achieve a higher level of security than the security level that it is possible to achieve by software alone. For this reason, the TPM provides a way to store cryptographic keys and other sensitive data in its memory, which is shielded from access by any entity other than the TPM. Users who want to use those keys and data to achieve some security goals are restricted to interact with the TPM through its APIs defined in the TPM speci- fication. Therefore, whether the TPM can provide Pro- tected Capabilities it claimed depends to a large extent on the security of its APIs. In this paper, we devise a formal model, which is accessible to a fully mechanized analysis, for the key management APIs in the TPM2.0 specification. We identify and formalize security properties of these APIs in our model and then successfully use the automated prover Tamarin to obtain the first mechanized analysis of them. The analysis shows that the key management subset of TPM APIs preserves the secrecy of non-duplicable keys for unbounded numbers of fresh keys and handles. The analysis also reports that the key duplication mechanism, used to duplicate a key between two hierarchies, is vul- nerable to impersonation attacks, which enable an adver- sary to recover the duplicated key of the originating hierarchy or import his own key into the destination hier- archy. Aiming at avoiding these vulnerabilities, we proposean approach, which restricts the originating and destination TPMs to authenticate each other＇ s identity during duplication. Then we formally demonstrate that our approach maintains the secrecy of duplicable keys when they are duplicated.     

可证明安全的基于口令的动态认证方案

在挑战/响应方案的基础上,结合安全单向Hash函数提出了一种基于口令的、安全的动态认证方案,用户不需改变使用口令认证的习惯,而认证方案比传统的基于口令的方案更为安全。通过Random Oracle模型分析,证明了只要选取安全的单向Hash函数,现提出的基于口令的动态认证方案是安全的。     

基于表单及角色认证在Web中的应用

应用程序要将访问局限于特定的用户．必须能够标识他们。以此来把每个用户区别开来,识别出哪些用户有访问权限,哪些用户没有访问权限。在验证时要让用户证明他们所声明的身份的正确性,通常是通过用户登陆时所提供的用户名及相应的密码,如果这些细节是合法的,用户的身份就得到识别,即通过了验证。     

清华大学信息系统实现方案研究

目前中国大学校园网的发展不平衡 ,存在 3种信息系统的模式。清华大学校园网建成以后 ,要在校园网上建设一个全校范围的、开放的、分布的、多媒体的信息系统。论文介绍了在清华大学信息系统规划设计中采用的几种技术方案 ,用互联网技术 ( WWW)解决校内外用户的信息查询 ,用Notes技术为办公人员提供办公环境 ,用数据库技术开发行政管理信息系统。在体系结构方面 ,采取了 Browser/ Web-Server,Browser/ Web Server/ RDBMS和 Client/ Server三种体系结构。利用这些技术开发了几个重要的应用系统 ,并在校园网上运行成功。     

一种基于用户导向的多数据库例外模式挖掘方法

例外模式挖掘是数据挖掘的一项重要内容.该文针对用户的兴趣提出一种多数据库中例外模式的挖掘方法,先由用户给定他感兴趣的数据对象,选择与用户兴趣相关的数据,局部分析每一个数据库得到局部模式,再将局部模式综合得到全局模式,最终得到例外模式;并用实验验证了该方法的正确性和有效性.     

动态身份认证方案及应用

新颖、安全的动态身份认证系统主要由电子令牌、安全认证服务器、管理工作站、认证服务接口函数等组成.通过同步、非同步认证算法,生成"动态口令".由于生成的口令间无相关性,无法预测、跟踪、截取、破译,能有效提高身份认证可靠性.简要介绍基于时间、基于事件同步、非同步认证原理,分析了动态认证技术安全性.针对目前证券业中身份认证问题,以事件同步认证为例,详细介绍动态身份认证技术在证券交易中认证流程、以及认证系统与客户系统的集成.     

A New Approach of TPM Construction Based on J2810

Trusted platform model （TPM） is special-purpose integrated circuits （ICs） built into a variety of platforms to enable strong user authentication and machine attestation-essential to prevent inappropriate access to confidential and sensitive information and to protect against compromised networks. Existing TPM products have some limitations. This paper adopts J2810TPM Single Chip cryptogram MCU produced by Jetway Company to construct typical TPM after comparing existing TPM products. Finally, an improved construction approach of TPM based on J2810 is proposed.     

Lamport一次性口令认证方案的改进

Lamport一次性口令认证方案是一种著名的口令认证方案,但存在如下不足之处如果用户想为原远程系统重新生成口令链,或为新的远程系统生成口令链,则必须再次到特定的系统注册,这是很不方便的,也是很不灵活的.为解决这些问题,文中提出了一种新的一次性口令认证方案.分析表明,该方案与Lamport方案同样安全、有效,但却比Lamport方案灵活、方便.     

浅析密码设置心理与破解方法

随着网络技术的发展,我们经常要设置各种密码,在使用密码的过程中,会遇到密码被人盗取,或者丢失密码的问题,以至给人们带来损失。本文就这些问题,分析了人们设置密码的心理,揭示黑客破解密码的方法及防范方法。