口令猜测研究进展

1

作者 邹云开 汪定 《密码学报（中英文）》 CSCD 北大核心 2024年第1期67-100,共34页

口令是人类可记忆的短密钥,在身份认证、加密、签名等领域有广泛的应用.口令虽然被指出存在一系列安全性和可用性问题,但因其使用简单、成本低廉、容易更改,在可预见的未来仍无可替代.口令猜测是口令面临的最严重的安全威胁,是口令安全... 口令是人类可记忆的短密钥,在身份认证、加密、签名等领域有广泛的应用.口令虽然被指出存在一系列安全性和可用性问题,但因其使用简单、成本低廉、容易更改,在可预见的未来仍无可替代.口令猜测是口令面临的最严重的安全威胁,是口令安全性研究的核心方向之一,引起了学术界的持续关注.本文首先采用数据驱动的研究方法,挖掘可被猜测攻击者利用的用户脆弱口令行为,分析用户口令构造规律,包括流行特性、语言依赖性、长度分布、口令重用、结构和语义特征等方面.接着,总结了近30年来学术界提出的28种主要口令猜测算法,并根据技术原理的不同对其进行分类.随后,回顾了目前广泛使用的口令猜测算法评估指标,探究了不同实验设置对评估算法攻破率和计算效率的影响,并根据实验结果讨论了不同猜测算法的技术特点和适用场景.最后,总结口令猜测领域的研究进展,并展望口令猜测算法的应用领域和未来的研究方向. 展开更多

关键词 密钥安全 口令 口令强度 口令猜测 机器学习

下载PDF 职称材料

SeqGANPass:使用序列生成式对抗网络进行口令猜测

2

作者 龚雪鸾 陈艳姣 +1 位作者 王涛 曹雨欣 《电子学报》 EI CAS CSCD 北大核心 2023年第5期1148-1153,共6页

为了破解用户口令并获取用户隐私信息,口令猜测工具应运而生.基于规则的口令猜测工具虽猜测成功率较高,但制定规则非常耗时且需要一定的专业知识.基于深度神经网络的口令猜测工具则需要大量的训练数据集来训练模型.基于此,本文提出了(Se... 为了破解用户口令并获取用户隐私信息,口令猜测工具应运而生.基于规则的口令猜测工具虽猜测成功率较高,但制定规则非常耗时且需要一定的专业知识.基于深度神经网络的口令猜测工具则需要大量的训练数据集来训练模型.基于此,本文提出了(Sequence Generative Adversarial Network Password, SeqGANPass),利用序列生成式对抗网络,针对口令数据集执行数据预处理操作,经由多轮对抗性训练过程训练口令生成器,以生成高质量的猜测口令.即使没有任何先验知识,SeqGANPass仍可以通过小规模训练集来实现口令破译.同时我们发现使用SeqGANPass可以大大提高基于规则的口令猜测工具的有效性.在实验中,我们与当前的主流口令猜测工具进行比较,如John the Ripper,Hashcat,Markov Model,上下文无关文法(Probabilistic Context Free Grammars,PCFG),FLA(Fast, Lean, and Accurate)和PassGAN等.实验表明,SeqGANPass的匹配率优于这些主流的口令猜测工具. 展开更多

关键词 口令猜测 序列生成式对抗网络 深度学习 口令匹配 隐私泄露 生成式对抗网络

下载PDF 职称材料

PG-RNN:一种基于递归神经网络的密码猜测模型 被引量：4

3

作者 滕南君 鲁华祥 +2 位作者 金敏 叶俊彬 李志远 《智能系统学报》 CSCD 北大核心 2018年第6期889-896,共8页

用户名—密码(口令)是目前最流行的用户身份认证方式,鉴于获取真实的大规模密码明文非常困难,利用密码猜测技术来生成大规模密码集,可以评估密码猜测算法效率、检测现有用户密码保护机制的缺陷等,是研究密码安全性的主要方法。本文提出... 用户名—密码(口令)是目前最流行的用户身份认证方式,鉴于获取真实的大规模密码明文非常困难,利用密码猜测技术来生成大规模密码集,可以评估密码猜测算法效率、检测现有用户密码保护机制的缺陷等,是研究密码安全性的主要方法。本文提出了一种基于递归神经网络的密码猜测概率模型(password guessing RNN, PG-RNN),区别于传统的基于人为设计规则的密码生成方法,递归神经网络能够自动地学习到密码集本身的分布特征和字符规律。因此,在泄露的真实用户密码集上训练后的递归神经网络,能够生成非常接近训练集真实数据的密码,避免了人为设定规则来破译密码的局限性。实验结果表明,PG-RNN生成的密码在结构字符类型、密码长度分布上比Markov模型更好地接近原始训练数据的分布特征,同时在真实密码匹配度上,本文提出的PG-RNN模型比目前较好的基于生成对抗网络的PassGAN模型提高了1.2%。 展开更多

关键词 密码生成 深度学习 递归神经网络 MARKOV 密码猜测

下载PDF 职称材料

MLSTM:一种基于多序列长度LSTM的口令猜测方法 被引量：1

4

作者 常庚 赵岚 陈文 《计算机科学》 CSCD 北大核心 2022年第4期354-361,共8页

当前,口令仍然是重要的用户身份认证方式,使用有效的口令猜测方法来提高口令攻击的命中率是研究口令安全的主要方法之一。近年来,研究人员提出使用神经网络LSTM来实现口令猜测,并证实其命中率优于传统的PCFG口令猜测模型等。然而,传统L... 当前,口令仍然是重要的用户身份认证方式,使用有效的口令猜测方法来提高口令攻击的命中率是研究口令安全的主要方法之一。近年来,研究人员提出使用神经网络LSTM来实现口令猜测,并证实其命中率优于传统的PCFG口令猜测模型等。然而,传统LSTM模型存在序列长度选择困难的问题,无法学习到不同长度序列之间的关系。文中收集了大规模口令集合,通过对用户口令构造行为以及用户设置口令的偏好进行分析发现,用户个人信息对口令设置有重要影响。接着提出了多序列长度LSTM的口令猜测方法MLSTM(Multi-LSTM),同时将个人信息应用到漫步口令猜测,以进一步提高猜测命中率。实验结果表明,与PCFG相比,MLSTM的命中率最多提升了68.2%,与传统LSTM和三阶马尔可夫相比,MLSTM命中率的增加范围分别是7.6%~42.1%和23.6%~65.2%。 展开更多

关键词 口令猜测 神经网络 口令分析 用户信息 口令安全

下载PDF 职称材料

基于防火墙技术的网络认证协议密钥交换算法 被引量：3

5

作者 李之玲 朱德新 《计算机仿真》 北大核心 2022年第6期399-402,407,共5页

针对当前网络认证协议数据信息丢包率高,网络信息传输安全性低的问题,提出了基于防火墙技术的网络认证协议密钥交换算法。根据BAN思想形式化网络认证协议,建立传感器节点和基站之间的密钥交换目标函数,依据公钥体制确定初始登录方式,获... 针对当前网络认证协议数据信息丢包率高,网络信息传输安全性低的问题,提出了基于防火墙技术的网络认证协议密钥交换算法。根据BAN思想形式化网络认证协议,建立传感器节点和基站之间的密钥交换目标函数,依据公钥体制确定初始登录方式,获取共有认证公钥,利用椭圆曲线方法,建立初始密钥,采用防火墙技术,将初始密钥形成序列密码并加密传送数据,实现网络认证协议密钥交换。实验结果表明,所提方法的网络认证协议数据信息丢包率较低,能够有效提高网络信息传输安全性。 展开更多

关键词 防火墙技术 网络认证协议 密钥交换算法 口令猜测 初始登录

下载PDF 职称材料

一种基于强化学习的口令猜解模型

6

作者 李小玲 吴昊天 +1 位作者 周涛 鲁辉 《计算机科学》 CSCD 北大核心 2023年第1期334-341,共8页

口令猜解是口令安全研究的重要方向之一。基于生成式对抗网络(Generative Adversarial Network,GAN)的口令猜解是近几年提出的一种新方法,其通过判别器对生成口令的评判结果来指导生成器的更新,进而生成口令猜测集。然而由于判别器对生... 口令猜解是口令安全研究的重要方向之一。基于生成式对抗网络(Generative Adversarial Network,GAN)的口令猜解是近几年提出的一种新方法,其通过判别器对生成口令的评判结果来指导生成器的更新,进而生成口令猜测集。然而由于判别器对生成器的指导不足,现有的基于GAN的口令猜解模型的猜解效率较低。针对这个问题,提出了一种基于强化学习Actor-Critic算法改进的GAN口令猜解模型AC-Pass。AC-Pass模型通过Critic网络和判别器输出的奖赏共同指导Actor网络每一时间步生成策略的更新,实现了对口令序列生成过程的强化指导。将AC-Pass模型应用到RockYou,LinkedIn和CSDN口令集进行实验,并与PCFG模型、已有基于GAN的口令猜解模型PassGAN和seqGAN进行比较。实验结果表明,无论是同源测试集还是异源测试集,AC-Pass模型在9×10^(8)猜测集上的口令破解率均高于PassGAN和seqGAN;且当测试集与训练集之间的口令空间分布差异较大时,AC-Pass表现出了优于PCFG的口令猜解性能;另外,AC-Pass模型有较大的口令输出空间,其破解率随着口令猜测集的增大而提高。 展开更多

关键词 口令猜解 深度学习 强化学习 Actor-Critic算法 生成式对抗网络

下载PDF 职称材料

基于攻击算法的海量真实用户口令数据分析 被引量：2

7

作者 谢志杰 张旻 +1 位作者 李振汉 王红军 《计算机科学》 CSCD 北大核心 2020年第11期48-54,共7页

口令认证是现今主要的身份认证方式,已广泛应用于金融、军事和网络等领域。文中从攻击者的角度对口令的安全性展开研究,利用海量真实的用户数据对口令的一般特征进行统计分析,基于概率上下文无关文法(Probabilistic Context-Free Gramma... 口令认证是现今主要的身份认证方式,已广泛应用于金融、军事和网络等领域。文中从攻击者的角度对口令的安全性展开研究,利用海量真实的用户数据对口令的一般特征进行统计分析,基于概率上下文无关文法(Probabilistic Context-Free Grammars,PCFG)口令猜测算法、TarGuess-I定向口令猜测模型的口令脆弱性分析,发现了用户在选择生成口令时存在易被攻击者发现并被利用的脆弱行为,如偏好使用简单结构口令、基于模式设计口令、基于语义生成口令以及偏好使用姓名和用户名等个人信息生成口令等,总结了这些脆弱行为的特征,为避免用户设置脆弱口令以及设计口令强度评估方法提供了依据。 展开更多

关键词 口令安全 口令猜测 脆弱行为 用户信息

下载PDF 职称材料

一种结合GAN的定向口令猜测方案 被引量：2

8

作者 杜李旭弘 陈杰 杨小雪 《西安电子科技大学学报》 EI CAS CSCD 北大核心 2022年第3期129-136,共8页

为提高定向口令猜测的成功率,提出一种基于概率上下文无关文法并结合生成式对抗网络的定向口令猜测方案。首先,将用户的真实口令与其个人信息进行匹配,在TarGuess-I模型的基础上对标签进一步划分,利用划分后的标签对真实口令进行解析;其... 为提高定向口令猜测的成功率,提出一种基于概率上下文无关文法并结合生成式对抗网络的定向口令猜测方案。首先,将用户的真实口令与其个人信息进行匹配,在TarGuess-I模型的基础上对标签进一步划分,利用划分后的标签对真实口令进行解析;其次,将解析后的口令输入生成对抗网络,经过训练得到遵循真实口令分布的扩充规则集;最后,根据训练生成的扩充规则集,由用户个人信息以及在口令解析过程得到的L(Letters)、D(Digits)、S(Symbols)字段频次表,生成目标用户的猜测口令集。根据数据统计结果,提出设想并通过实验验证的论证方式,对提出的基于类型的个人可标识信息匹配的优化方式,即“数字+字母”“字母+特殊字符”“数字+特殊字符”(普遍应该为“字母”“数字”)进行一系列研究。通过在含有用户个人信息的铁路12306数据集上进行猜测攻击实验,对比于其他定向口令猜测方案,提出的方案具有更高的口令猜测成功率。 展开更多

关键词 口令猜测 生成对抗网络 自然语言处理

下载PDF 职称材料

基于神经网络的多源密码猜测模型

9

作者 夏之阳 易平 《通信技术》 2019年第1期161-167,共7页

用户在设置密码时总是会以某一种形式来组合密码,使得密码猜测成为新的研究方向。目前成熟的技术是基于统计概率的方法,运算量大,耗时长。随着深度学习的兴起,运用递归神经网络生成密码的技术被证明是更加有效的。然而,目前基于深度学... 用户在设置密码时总是会以某一种形式来组合密码,使得密码猜测成为新的研究方向。目前成熟的技术是基于统计概率的方法,运算量大,耗时长。随着深度学习的兴起,运用递归神经网络生成密码的技术被证明是更加有效的。然而,目前基于深度学习的研究仅仅针对单一数据集,数据量受限,使得跨数据集的命中率不高。因此,提出了基于单数据集的密码生成模型PL(PCFG+LSTM)。相比LSTM,PL提升单数据集的命中率16%～30%。此外,提出了基于多数据集的对抗生成模型GENPass,相比简单混合多个数据集,命中率提升超过20%。 展开更多

关键词 密码猜测 密码分析 深度学习 递归神经网络

下载PDF 职称材料

基于口令的抵抗字典攻击的密钥交换协议

10

作者 叶长国 《泰山学院学报》 2012年第6期40-42,共3页

口令是INTERNET常用的用户身份验证方式,字典攻击方式是攻击者进行口令猜测的常用方法.本文提出了一种基于口令的抵抗字典攻击的密钥交换协议,首先对协议双方的身份进行认证,然后在两者之间生成一个随机密钥用于对后续的会话进行加密.

关键词 字典攻击 口令猜测 密钥交换协议 随机密钥

下载PDF 职称材料

一种基于USB Key的双因子身份认证与密钥交换协议 被引量：27

11

作者 吴永英 邓路 +1 位作者 肖道举 陈晓苏 《计算机工程与科学》 CSCD 2007年第5期56-59,共4页

传统的USB Key只能存储数据而无法进行复杂的加/解密运算,导致基于USBKey的认证协议存在诸多不足。本文针对含智能卡芯片的USB Key可进行加/解密运算和生成随机密钥的特点,提出了一种基于USB Key的双因子身份认证与密钥交换协议DKA KEP... 传统的USB Key只能存储数据而无法进行复杂的加/解密运算,导致基于USBKey的认证协议存在诸多不足。本文针对含智能卡芯片的USB Key可进行加/解密运算和生成随机密钥的特点,提出了一种基于USB Key的双因子身份认证与密钥交换协议DKA KEP。该协议综合运用伪随机数验证、一次性会话密钥、AES加密算法、安全哈希算法等技术,除了可提供安全快速的身份认证与密钥交换,还具有快速更改密钥、支持多种哈希算法和无需时间同步机制的特点。对DKAKEP协议的安全性分析和实际应用表明,该协议可抵御多种协议攻击,具有较强的实用性、安全性和可靠性。 展开更多

关键词 双因子密钥 身份认证 密钥交换 密钥猜测攻击 重放攻击 中间人攻击

下载PDF 职称材料

对三个多服务器环境下匿名认证协议的分析 被引量：23

12

作者 汪定 李文婷 王平 《软件学报》 EI CSCD 北大核心 2018年第7期1937-1952,共16页

设计安全、高效的多服务器环境下匿名身份认证协议是当前安全协议领域的研究热点.基于广泛接受的攻击者模型,对多服务器环境下的3个代表性匿名认证协议进行了安全性分析.指出:(1)Wan等人的协议无法实现所声称的离线口令猜测攻击,且未实... 设计安全、高效的多服务器环境下匿名身份认证协议是当前安全协议领域的研究热点.基于广泛接受的攻击者模型,对多服务器环境下的3个代表性匿名认证协议进行了安全性分析.指出:(1)Wan等人的协议无法实现所声称的离线口令猜测攻击,且未实现用户匿名性和前向安全性;(2)Amin等人的协议同样不能抵抗离线口令猜测攻击,且不能提供匿名性,对两种破坏前向安全性的攻击是脆弱的;(3)Reedy等人的协议不能抵抗所声称的用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性.突出强调这些协议失败的根本原因在于,违反协议设计的3个基本原则:公钥原则、用户匿名性原则和前向安全性原则.明确协议的具体失误之处,并提出相应修正方法.王平(1961-),男,博士,教授,博士生导师,CCF专业会员,主要研究领域为信息安全,系统软件,物联网. 展开更多

关键词 多服务器环境 认证协议 匿名性 离线口令猜测攻击 前向安全性

下载PDF 职称材料

一种适于受限资源环境的远程用户认证方案的分析与改进 被引量：14

13

作者 汪定 马春光 +1 位作者 翁臣 贾春福 《电子与信息学报》 EI CSCD 北大核心 2012年第10期2520-2526,共7页

该文讨论了Fang等人(2011)新近提出的一个安全高效的基于智能卡的远程用户口令认证方案,指出原方案无法实现所声称的抗离线口令猜测攻击,对平行会话攻击和已知密钥攻击是脆弱的,并且存在用户口令更新友好性差问题。给出一个改进方案,对... 该文讨论了Fang等人(2011)新近提出的一个安全高效的基于智能卡的远程用户口令认证方案,指出原方案无法实现所声称的抗离线口令猜测攻击,对平行会话攻击和已知密钥攻击是脆弱的,并且存在用户口令更新友好性差问题。给出一个改进方案,对其进行了安全性和效率分析。分析结果表明,改进方案弥补了原方案的安全缺陷,保持了较高的效率,适用于安全需求较高的资源受限应用环境。 展开更多

关键词 身份认证 智能卡 离线口令猜测攻击 平行会话攻击

下载PDF 职称材料

对两个基于智能卡的口令认证协议的安全性分析 被引量：7

14

作者 薛锋 汪定 +1 位作者 王立萍 马春光 《计算机应用》 CSCD 北大核心 2012年第7期2007-2009,2021,共4页

身份认证是确保信息系统安全的重要手段,基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术,对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出"对Liao等身份鉴别方案的分析与... 身份认证是确保信息系统安全的重要手段,基于智能卡的口令认证协议由于实用性较强而成为近期研究热点。采用基于场景的攻击技术,对最近新提出的两个基于智能卡的口令认证协议进行了安全性分析。指出"对Liao等身份鉴别方案的分析与改进"(潘春兰,周安民,肖丰霞,等.对Liao等人身份鉴别方案的分析与改进.计算机工程与应用,2010,46(4):110-112)中提出的认证协议无法实现所声称的抗离线口令猜测攻击;指出"基于双线性对的智能卡口令认证改进方案"(邓粟,王晓峰.基于双线性对的智能卡口令认证改进方案.计算机工程,2010,36(18):150-152)中提出的认证协议无法抗拒绝服务(DoS)攻击和内部人员攻击,且口令更新阶段存在设计缺陷。分析结果表明,这两个口令认证协议都存在严重安全缺陷,不适合安全需求较高的应用环境。 展开更多

关键词 身份认证 智能卡 认证协议 离线口令猜测攻击 拒绝服务攻击

下载PDF 职称材料

抗凭证泄露攻击的图形口令认证方案 被引量：1

15

作者 陈杰 许春香 +3 位作者 张源 蒋昌松 韩云霞 曹辰辰 《软件学报》 EI CSCD 北大核心 2023年第12期5787-5806,共20页

图形口令既可以减轻用户记忆传统文本口令的负担,又可以简化用户输入口令的步骤,近年来,广泛应用于移动设备的用户认证.现有的图形口令认证方案面临严峻的安全问题.首先,图形口令容易遭受肩窥攻击:用户的登录过程被攻击者通过眼睛或者... 图形口令既可以减轻用户记忆传统文本口令的负担,又可以简化用户输入口令的步骤,近年来,广泛应用于移动设备的用户认证.现有的图形口令认证方案面临严峻的安全问题.首先,图形口令容易遭受肩窥攻击:用户的登录过程被攻击者通过眼睛或者摄像头等方式偷窥导致图形口令泄露.更为严重的是,这类认证方案不能抵抗凭证泄露攻击:服务器存储与用户图形口令有关的认证凭证并利用其验证用户身份,攻击者如果得到服务器保存的凭证就可以通过离线口令猜测攻击恢复用户图形口令.为了解决上述问题,提出了一个安全的图形口令认证方案(GADL).GADL方案通过将随机的挑战值嵌入到用户的图形口令来抵御肩窥攻击,因此攻击者即使捕获了用户的登录信息也无法得到用户图形口令.为了解决服务器凭证数据库泄露问题,GADL方案采用了一种确定性的门限盲签名技术来保护用户图形口令.该技术利用多个密钥服务器来协助用户生成凭证,使得攻击者即使获得凭证也无法实施离线猜测攻击来获得用户口令.给出的安全性分析证明了GADL方案可以抵抗上述攻击.此外,给出了全面的性能分析表明GADL方案在计算、存储和通信开销这3个方面性能较高,且在移动设备上易于部署. 展开更多

关键词 图形口令认证 肩窥攻击 口令猜测攻击 凭证泄露攻击

下载PDF 职称材料

基于神经网络的定向口令猜测研究 被引量：4

16

作者 周环 刘奇旭 +1 位作者 崔翔 张方娇 《信息安全学报》 CSCD 2018年第5期25-37,共13页

文本口令是现如今最主要的身份认证方式之一,很多用户为了方便记忆在构造口令时使用个人信息。然而,目前利用用户个人信息进行定向口令猜测,进而评估口令安全的工作相对欠缺。同时,神经网络在文本序列处理问题上的成功应用,使得利用神... 文本口令是现如今最主要的身份认证方式之一,很多用户为了方便记忆在构造口令时使用个人信息。然而,目前利用用户个人信息进行定向口令猜测,进而评估口令安全的工作相对欠缺。同时,神经网络在文本序列处理问题上的成功应用,使得利用神经网络进行口令安全问题研究成为一种新的研究思路。本文基于大规模口令集合,对用户口令构造行为进行分析的基础上,研究用户个人信息在口令构造中的作用,进而提出一种结合神经网络和用户个人信息的定向口令猜测模型TPGXNN(Targeted Password Guessing using X Neural Networks),并在8组共计7000万条口令数据上进行定向口令猜测实验。实验结果显示,在各组定向口令猜测实验中,TPGXNN模型的猜测成功率均比概率上下文无关文法、马尔科夫模型等传统模型更高,表明了TPGXNN模型的有效性。 展开更多

关键词 用户个人信息 口令安全 定向口令猜测 神经网络

下载PDF 职称材料

基于改进PCFG算法的口令猜测方法

17

作者 李静雯 赵奎 《计算机工程》 CAS CSCD 北大核心 2023年第5期38-47,共10页

近年来口令泄露事件频出,有效的口令猜测方法是保障口令安全的重要手段,其中基于概率上下文无关文法(PCFG)的口令猜测方法效果尤为显著,然而仍存在无法生成新的口令字符子段、对生成口令的概率估计不准确等问题。以基于PCFG的口令猜测... 近年来口令泄露事件频出,有效的口令猜测方法是保障口令安全的重要手段,其中基于概率上下文无关文法(PCFG)的口令猜测方法效果尤为显著,然而仍存在无法生成新的口令字符子段、对生成口令的概率估计不准确等问题。以基于PCFG的口令猜测方法为研究对象,对其在口令构造过程中关键阶段的命中率进行分析,提出基于Backoff-RNN与概率平衡的改进PCFG口令猜测方法。在口令结构划分阶段,通过分析用户在构造口令时的行为与偏好,将口令从汉语拼音和英文单词两方面进行更细粒度的结构划分,提取口令更深层次的结构信息。在口令填充阶段,将Backoff思想应用于字符级RNN模型,生成子结构中长序列字符子段,提高模型准确性和泛化能力。在口令概率计算阶段,改进口令生成概率的计算方法,解决了使用传统计算规则时因口令结构长度不一致造成的概率不平衡问题。实验结果表明:在中英文两种语言环境交叉数据集上,该方法的漫步口令猜测攻击命中率相较于基于PCFG的口令猜测方法分别提升了20.6%和22.4%;在中文语言环境数据集上,定向口令攻击命中率相较于TarGuess-I模型提升了2.8%。 展开更多

关键词 口令猜测攻击 自然语言处理 概率上下文无关文法 深度学习 口令安全

下载PDF 职称材料

基于口令的客户端/服务器认证协议 被引量：5

18

作者 邓飞 朱莹 《计算机工程与应用》 CSCD 北大核心 2015年第20期72-76,161,共6页

身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全:无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服... 身份认证是建立客户端和服务器之间安全会话的前提条件。Kim和Chung提出了一种双方的双向认证方案,其以较小的计算量得到了学者们的关注。但经分析发现,该方案并不安全:无法抵抗离线口令猜测攻击和无限次在线口令猜测攻击,也不能防止服务器伪装攻击。为了解决这些安全隐患,利用非对称Rabin密码体制提出了一种改进的方案,并基于BAN逻辑对方案的正确性进行了严格验证。最后还分析了新方案的安全性和性能。 展开更多

关键词 身份认证 Rabin体制 口令猜测攻击 服务器伪装攻击 BAN逻辑

下载PDF 职称材料

Security Enhanced Anonymous User Authenticated Key Agreement Scheme Using Smart Card 被引量：3

19

作者 Jaewook Jung Donghoon Lee +1 位作者 Hakjun Lee Dongho Won 《Journal of Electronic Science and Technology》 CAS CSCD 2018年第1期45-49,共5页

Nowadays, the password-based remote user authentication mechanism using smart card is one of the simplest and convenient authentication ways to ensure secure communications over the public network environments. Recent... Nowadays, the password-based remote user authentication mechanism using smart card is one of the simplest and convenient authentication ways to ensure secure communications over the public network environments. Recently, Liu et al. proposed an efficient and secure smart card based password authentication scheme. However, we find that Liu et al.’s scheme is vulnerable to the off-line password guessing attack and user impersonation attack. Furthermore, it also cannot provide user anonymity. In this paper, we cryptanalyze Liu et al.’s scheme and propose a security enhanced user authentication scheme to overcome the aforementioned problems. Especially, in order to preserve the user anonymity and prevent the guessing attack, we use the dynamic identity technique. The analysis shows that the proposed scheme is more secure and efficient than other related authentication schemes. 展开更多

关键词 AUTHENTICATION off-line password guessing attack smart card user anonymity

下载PDF 职称材料

一个具有完备前向安全性的基于口令认证密钥协商方案 被引量：3

20

作者 郝卓 俞能海 《中国科学技术大学学报》 CAS CSCD 北大核心 2011年第7期589-593,共5页

在基于网络的分布式环境中,基于口令的认证密钥协商方案是一项基本的安全防护机制.对一个已有的基于口令的认证密钥协商方案[Chen T H,Hsiang H C,Shih W K.Securityenhancement on an improvement on two remote user authentication s... 在基于网络的分布式环境中,基于口令的认证密钥协商方案是一项基本的安全防护机制.对一个已有的基于口令的认证密钥协商方案[Chen T H,Hsiang H C,Shih W K.Securityenhancement on an improvement on two remote user authentication schemes using smart cards.Future Generation Computer Systems,2011,27(4):337-380]做了安全分析,指出其易受离线口令猜测攻击,并且不具备完备的前向安全性.在此基础上,提出了一个安全性增强的远程口令认证密钥协商方案.所提出的方案继承了已有方案的优良性质,能够抵抗离线口令猜测攻击,并且具有完备的前向安全性.经过安全分析,论证了所提出的方案具有强安全性,适合于在分布式环境中对用户和服务器提供双向认证和密钥协商. 展开更多

关键词 认证密钥协商 口令认证 完备前向安全性 离线口令猜测攻击

下载PDF 职称材料