基于口令的跨服务器认证密钥交换协议研究

为了满足某些特殊通信服务在跨服务器认证密钥交换时必须由客户直接协商产生会话密钥的要求,该文提出一种新的基于口令的跨服务器认证密钥交换协议。该协议对在线字典攻击的反应灵敏度及发现此类攻击的计算代价和通信代价低;分析结果表明,新协议满足基于口令的认证密钥交换协议的安全性要求。     

一个高效的匿名口令认证密钥协商协议

匿名口令密钥协商(APAKE)协议在保持用户匿名性的同时,可以为网络上共享口令的通信双方建立会话密钥.分析了一个高效APAKE协议存在的安全问题,进而提出了新的高效匿名口令认证密钥协商协议,并对所提协议的安全性、匿名性和抗字典攻击等安全需求进行了分析.服务器和用户完成协议需要2次模幂运算,运算效率较高.     

一种改进的跨域口令密钥交换协议

跨域的端到端的口令认证密钥交换(C2C-PAKE)协议,可实现不同区域的两个客户通过不同的口令协商出共享的会话密钥.首先对Byun2007的C2C-PAKE协议进行了描述,并针对其安全性进行了分析,发现该协议易遭受口令泄露伪造攻击的安全漏洞,提出了一种高效的改进的跨域口令认证密钥交换协议.该协议引入公钥密码体制能够有效抵抗口令泄露伪造攻击和不可检测在线字典攻击,且只需要6步通信.安全性分析表明该协议是安全有效的.     

可证明的基于扩展混沌映射的匿名多服务器身份认证协议

现有多服务器环境下的身份认证方案大多存在无法抵御各种安全攻击,不能实现匿名性等问题,基于扩展的混沌映射和生物特征方法提出了一种多服务器环境下的身份认证协议,实现用户与多服务器之间的身份认证,并在认证过程中协商了会话密钥。利用BAN逻辑对提出的协议进行了安全证明。安全性分析结果表明,本文的协议可抵御假冒攻击、离线口令猜测攻击、偷取智能卡攻击等,并具有强匿名性。最后,与现有的相关协议比较,本文的协议更安全高效,适合在实际中应用。     

基于身份的多服务器认证密钥协商方案

将基于身份的密码体制与远程多服务器密钥协商相结合,提出一种基于身份的远程多服务器密钥协商方案.用户注册时由私钥生成中心颁发私钥并安全存放于智能卡中.用户登录服务器前,双方采用基于身份的双线性配对计算进行双向身份认证,并协商生成会话密钥.服务器端无须保存口令表,用户端无须建立数据表存储相关登录信息,无须在终端能离线更改登录口令.该方案减少了密钥协商的通信开销、计算开销以及存储开销,在标准BR安全模型下该方案被证明是安全的.     

一种面向SIP通信的域间认证与密钥协商机制

现有SIP安全机制在通信实体间的相互认证与密钥协商方面存在不足,针对此问题,设计了一种新的基于身份密码系统的域间密钥协商协议,然后基于该协议提出了一种面向SIP通信的认证与密钥协商机制.该机制解决了HTTP摘要认证下的单向认证以及预共享密钥问题,消除了S/MIME基于证书认证和不提供密钥协商的不足,且不同域的通信实体具有不同的系统参数.安全性分析及其实现表明,该机制在实现跨域SIP通信实体间的双向认证以及为后续媒体流机密传输提供密钥协商功能的同时可以满足SIP通信的性能要求.     

采用阈下信道的两方口令认证密钥交换协议

提出一种基于阈下信道的两方口令认证密钥交换协议.协议中,服务器存储用户口令的验证值抵御服务器泄漏伪装攻击,用户的口令明文采用阈下信道生成签名信息传送给服务器,服务器计算出用户的口令明文恢复出阈下信息,再计算口令验证值以实现对用户身份的认证,从而建立起会话密钥.对所提协议的安全性和效率进行分析,结果表明:所提出的协议安全可行且有效.     

一个具有完备前向安全性的基于口令认证密钥协商方案

在基于网络的分布式环境中,基于口令的认证密钥协商方案是一项基本的安全防护机制.对一个已有的基于口令的认证密钥协商方案[Chen T H,Hsiang H C,Shih W K.Securityenhancement on an improvement on two remote user authentication schemes using smart cards.Future Generation Computer Systems,2011,27(4):337-380]做了安全分析,指出其易受离线口令猜测攻击,并且不具备完备的前向安全性.在此基础上,提出了一个安全性增强的远程口令认证密钥协商方案.所提出的方案继承了已有方案的优良性质,能够抵抗离线口令猜测攻击,并且具有完备的前向安全性.经过安全分析,论证了所提出的方案具有强安全性,适合于在分布式环境中对用户和服务器提供双向认证和密钥协商.     

一种安全的两方口令认证的密钥交换协议

对于口令认证密钥交换协议的服务器泄漏伪装攻击,提出一个针对该攻击的两方口令认证的密钥交换协议,并分析了该协议的安全性。所提出的协议中,用户保存自己的口令明文,服务器存储用户口令明文的验证值,用户和服务器之间通过身份标识和含有口令验证值的信息来认证对方。分析表明,所提出的协议是安全的。     

新的三方密钥交换协议

针对基于口令认证机制的密钥交换协议容易遭受口令猜测和服务器假冒等多种攻击的缺点,提出了基于验证值认证机制的新的三方密钥交换协议.新协议中的验证值是基于口令的变换,并代替口令被保存在服务器端.服务器不仅以验证值来认证用户的身份,并且要通过验证值协助用户之间协商出会话密钥.而口令则作为私钥由用户自己保存.对新协议的安全进行分析,表明该协议可以抵御多种攻击,说明协议是安全的,同时对协议的效率评估还表明该协议具有较高的效率.     

基于身份的两方跨域认证密钥协商协议

两方跨域认证密钥协商协议是指来自不同私钥生成中心的两个参与方完成互相认证和协商出相同的会话密钥。基于身份的密码体制能避免公钥基础结构的公钥证书存储问题。双线性对运算复杂度较高,计算成本较大。我们提出了一个新的无双线性对基于身份的两方跨域认证密钥协商协议,并在随机预言模式下证明了协议的安全性。     

可证明安全的多信任域认证密钥协商协议

为解决采用基于证书认证方式的网络用户与采用基于身份认证方式的网络用户之间相互认证的问题,利用对称加密、数字签名和消息认证码等技术,首先构造一个认证链路模型下会话密钥安全的认证协议,然后设计消息认证器把该协议转换成非认证链路模型下的会话密钥安全的认证协议,并对该协议的安全性进行了分析.分析表明,该协议实现了不同认证方式的信任域中用户间的认证、密钥协商以及密钥更新,并在Canetti-Krawczyk(CK)模型下满足安全属性需求.此外,该协议仅需4次通信即可完成,且扩展性好,为不同认证机制的网络用户间认证提供了一种较为实用的解决方案.     

基于验证元的多密钥跨域交换协议

摘要:跨域的口令密钥交换协议(C2C-PAKE),可以使处于不同区域的用户通过不同的口令协商出共享会话密钥。本文针对大多数现存的跨域交换协议均需要依赖公钥密码算法效率较低的情况,在一个高效的三方密钥交换协议的基础上,提出了一个基于验证元的跨域密钥交换协议,该协议执行一次就能生成四把会话密钥,且无需使用公钥密码算法,与同类协议相比具有很高的效率。通过安全性分析证明,本文提出的协议能够抵御已知的各种攻击。     

一种基于生物特征密钥保护技术的身份认证方案

传统的基于生物特征的身份认证的安全性严重依赖于生物模板的安全性,而在现有的认证系统下生物模板的安全性已得不到保障.将生物特征技术和密码认证技术相结合,不仅可以解决口令记忆问题,也解决了用户生物模板安全性的问题.因此研究将密码协议和生物特征进行融合设计身份认证方案.首先,对Hess签名算法进行修改使其支持多公钥参数;然后,结合Feng提出的基于生物特征的密钥保护技术,在基于签名的认证协议基础上设计一个基于生物特征和数字签名的身份认证方案,并对方案进行分析.     

一种高效的匿名口令认证密钥交换协议

针对云计算等网络新应用中用户隐私保护问题,提出了基于椭圆曲线CDH假设的匿名口令认证密钥交换APAKE协议,通过它用户既能与服务器建立共享会话密钥,又不会暴露其真实身份信息.通过系统模型、安全模型定义及严格的形式化证明,验证了此APAKE协议满足正确性、PAKE安全性及用户匿名性.通过与现有协议对比分析表明:所提APAKE协议既能抵抗身份冒充攻击及离线口令猜测攻击,也提供双向认证;协议效率得到很大提高,客户端及服务器端计算复杂度均有大幅降低.     

基于圆特性的身份认证与密钥协商

有的几何认证方案采用"欧氏空间直线"等简单几何结构,使方案的安全性较低;有的虽然采用了复杂的"n维空间圆"结构,但由于登录消息太简单,也降低了安全性.本文设计了一个几何认证与密钥协商方案,它基于"n维空间圆上(n＋1)个点可以唯一重构该圆"的n维空间圆构造原理,还采用了多变量的单向散列函数来计算登录消息,加强了用户登录消息的安全性,使方案能抵抗口令猜测、重放、窃听与离线消息分析攻击;并且采用基于计算观点的正确认证协议形式化证明方法—Bellare-Rogaway模型,证明了本文身份认证与密钥协商协议是安全的.     

一种基于身份可认证两方密钥协商方案

为了降低计算开销,提高安全性,通过 Diffie-Hellman 协议建立密钥共享,结合用户身份信息,以 VBNNIBS 签名思想作为基础,提出了一种可认证的两方密钥协商方案。密钥生成中心 KGC 结合用户身份信息仅为用户生成部分私钥和公钥,其完整的私钥和公钥由用户结合自己的长期私钥生成,安全性基于椭圆曲线离散对数问题。方案中无双线性对运算,只需椭圆曲线上4次点乘运算、1次模运算、3次哈希运算,通信双方只需2次通信就可实现双方认证和密钥协商,提高了密钥产生的效率。分析表明,该方案具有完美前向保密性、抗密钥泄露伪装攻击、已知会话密钥通信安全、非密钥控制、抗重放攻击等安全属性。性能及安全性比较表明,该方案在安全性和性能方面具有较大的优势,适用于资源受限的无线网络通信环境中。     

SIP协议量子身份认证与密钥协商方案

针对现有SIP协议安全方案无法检测窃听、以及经典密码体制面临量子计算攻击时的脆弱性问题,提出了一种将量子用户身份认证及密钥协商与SIP协议结合的方案。SIP服务器制备三粒子W态并将其中两个粒子分发给SIP用户,首先对随机插入的粒子进行测量以检测窃听,然后通过量子操作与测量验证用户身份;密钥协商阶段,三方不需制备与分发新的W态,仍基于持有的W态进行随机测量,SIP用户根据有效测量结果生成初始会话密钥.性能分析表明本方案能够对抗伪装攻击与窃听攻击,有效提高SIP协议安全性。     

多密钥隐私保护决策树评估方案

为了保护机器学习中决策树数据和模型的隐私,并减少计算和通信开销,提出了一种多密钥隐私保护决策树评估(multi-key privacy-preserving decision tree evaluation,MPDE)方案。利用分布式双陷门公钥密码(distributed two-trapdoor public-key crypto,DT-PKC)系统对所有数据进行加密。基于跨域安全加法协议实现来自不同公钥加密的两个密文的加法,改进原有的安全比较协议以支持多用户多密钥,保护了请求信息、分类结果和决策树模型的隐私。引入可信第三方密钥生成中心,减少了实体之间的通信开销,且在密钥分发完后离线。采用服务代理商代替用户与云服务器交互,降低了用户与云服务器之间的通信开销和用户的计算开销。安全与性能分析表明该方案具有高隐私性和高效性。同时,仿真实验显示该方案具有更低的计算开销。     

基于双线性对的无证书两方认证密钥协商协议

无证书公钥密码体制具有很好的特性,它不需要使用证书,也不存在用户私钥托管问题。该文提出一个基于双线性对的无证书两方认证密钥协商协议,使用数字签名方案实现协议中的身份认证;对数字签名方案的安全性进行了证明,表明该签名方案能够抵抗适应性选择消息攻击下的存在性伪造;对密钥协商协议的安全性进行了分析,结果表明协议具备已知密钥安全、抗未知密钥共享攻击、完美前向安全、密钥俘获伪装攻击和抗临时私钥泄露攻击等安全属性。与其他具备相同安全属性的协议相比,该协议使用的双线性对运算的个数少得多,并且不使用模幂运算,因此计算量要小得多。