基于时戳的口令鉴别方案的改进

对Yang和Shieh提出的一种基于时戳的口令鉴别的方案进行了安全性分析,指出其方案存在初始化阶段需要把用户口令交给KIC(Key Information Center)和用户不能验证KIC身份的缺点。在此基础上提出的新方案对注册、登录、验证和口令修改过程都做了改造,用户在注册阶段提交基于口令的单向运算值而不是口令本身,并且用户和KIC之间共享秘密信息,从而成功克服了原有方案的缺陷。用户提交口令单向运算值在验证效果上和提交口令本身是相同的,而且避免了口令泄露;用户和KIC之间共享的秘密信息可以使用户验证KIC的身份。新方案可以有效抵抗伪造攻击,即使服务器被攻破或内部人泄露信息也不会造成用户私人信息的泄露,具有比原方案更高的安全性。      

关于安全协议的形式化分析方法的研究

对安全协议的形式化分析方法从历史发展和思想体系上作出分类和分析。以历史发展为线索将安全协议形式化分析方法分为四个阶段,基于观察分析的早期阶段、以BAN(Burrows,Abadi,Needham)逻辑为代表的初期阶段、基于模型检测的转折阶段和以串空间理论为代表的证明阶段。对安全协议四个阶段形式化分析方法的特点和优、缺点作了总结。分析结果为密码协议的研究人员提供一个借鉴。