关键字 |
| 凭证,单点登录,加密,解密,Schnorr。 |
介绍 |
| 本文的目的是为分布式网络开发一种安全的单点登录机制。使现有的分布式系统能够高效、方便地运行,并且能够克服多种可能的攻击。在任何客户机/服务器系统中,单点登录是允许多个应用程序的身份验证过程。针对分布式网络,我们提出了一种安全的单点登录访问控制机制,使用户能够使用一个身份快速、安全地登录多个应用程序(如网站)。在这种机制中,用户可以在每个域登录一次,并且只提供一个密码,这使得它非常安全,易于访问来自不同服务提供商的资源。它还提供完整性、可用性身份验证和访问控制。这可以通过使用单向哈希函数来实现。 |
| 我们为客户端/服务器网络提出了一种安全的单点登录访问控制机制,使用户能够快速、安全地登录多个应用程序,如网站、主机会话,只需一个身份。在这种机制中,用户可以为每个域登录一次,它也只提供一个密码,这使得它非常安全,易于访问来自不同服务提供商的资源。它还提供完整性、可用性身份验证和访问控制。 |
文献调查 |
基于智能卡的密码认证密钥协议的匿名增强 |
| 我们使用智能卡的密码认证密钥协议方案非常高效。在有效性方面,它不仅具有低通信成本,而且我们的解决方案建立在安全哈希函数和对称密码的高效密码原语上,这可能在智能卡环境中具有固有的可行性。因此,该解决方案既保留了相互认证、密钥一致和密码更新功能,又可以防止启动器跟踪、内部攻击和DoS攻击,并进行拦截。[3] |
使用智能卡进行稳健有效的密码验证密钥协议 |
| 我们提出了一种高效、健壮的用户认证和密钥协议方案,该方案不仅满足Fan等人方案的所有优点,而且可以利用椭圆曲线密码系统提供会话密钥协议身份保护,通信和计算成本低,还可以防止内部攻击。该方案在有限的计算和通信资源环境下对远程信息系统的访问非常有用。此外,该方案可以抵御离线字典攻击,即使存储在智能卡中的秘密信息被窃听[4] |
远程现场总线访问安全系统的形式化漏洞分析 |
| 由于现场总线网络正逐渐从因特网进入。因此,仅向授权用户授予访问权限和保护数据在安全角度变得至关重要。因此,本文提出了一种基于形式的方法来分析这样的系统,不仅在安全协议级别,而且在系统架构级别。这种多层分析显示了由于影响底层安全协议的安全问题而对整个系统的攻击影响的评估。通过对典型现场总线安全系统[5]的实例研究,验证了该方法的有效性 |
工业网络安全问题综述 |
| 先进的技术已经持续发展了几年,以保护办公室和商业网络免受基于信息技术的攻击。但IACS的情况并非如此,因为它们在安全要求方面的特殊性和优先级。它们使计算机不同于传统的计算系统。因此,虽然在网络攻击方面的优势一直在提高,但直到最近IACS的安全管理仍基本保持不变。通过公共通信网络和Internet实现的子系统互连、无线通信技术的开放以及通用操作系统和s/w的日益普及,极大地增加了IACS面临的安全威胁 |
将Internet服务分发到网络边缘 |
| 在工业信息技术的背景下,互联网和万维网日益被视为提供“随时随地”服务问题的解决方案。在支持internet的IT基础设施的经典视图中,服务由用户请求和访问(例如,一个人从他或她的桌面请求工厂生产数据),数据由源服务器提供(例如,位于工厂中的Web服务器,可以验证注册用户、实现加密、提供数据和源多媒体流) |
相关工作 |
节点创建阶段 |
| 在这个阶段,节点被创建,超过30-50个节点被放置在特定的距离。无线节点位于分布式网络的中间区域。每个节点都知道自己相对于汇聚的位置。节点的最大维数设置为x=4000, y=4000。节点大小设置为35个,最终模拟时间为10ms。网络节点速度设置为10- 15m /s。 |
注册阶段 |
| 在此阶段,节点向SCPC -智能卡生产中心请求注册。然后SCPC为所有网络节点提供一个固定长度的唯一id用于识别,该id由RSA签名算法生成,该算法为网络节点的识别过程提供了必要的公钥和签名。每个节点都有一个唯一的id,它们使用这个生成的id与其他节点通信。 |
数据路由阶段 |
| 用户和提供商通过最短路径通过多跳路径建立通信,路径建立或路径发现通过CBR(基于信用的路由)完成,数据通过认证用户的SSO -单点登录机制在已识别的路径上从多个用户路由。 |
认证阶段 |
| 在此阶段,使用普通签名进行服务提供者认证,使用RSA-VES进行用户认证。假设一个对手节点试图向提供者注入虚假数据包,以混淆提供者的原始数据包,并试图从用户接收原始数据包。使用RSA - VES算法对原始数据包进行认证,提供商使用私钥对原始数据包进行解密。 |
恶意节点检测和合法节点识别阶段 |
| 针对所提出的恶意节点检测过程,改进了数字签名动态源配置路由,使KEY SERVER趋向于确认提供者的身份验证。通过该技术,中间节点和提供者之间可以使用动态哈希函数相互验证。在哈希函数技术中,如果用户和提供者希望相互验证,则user U通过哈希函数H(n)= PUB_KEY/IDENTITY生成一个哈希id,即用户U的公钥和id生成哈希id。以同样的方式,提供者生成它们的哈希id。如果用户u哈希id和提供者哈希id都相同,则节点进行数据传输和身份验证。 |
系统架构 |
| 用户和提供商之间的加密和解密使用AES算法,它比DES更安全,目前还没有已知的针对AES的非暴力攻击。每个提供商发送给用户的数据包都经过加密并发送给用户,然后用户解密该数据包并取回原始数据包。所有这些加密和解密都是使用更安全的高级加密算法(AES)完成的。在Java套接字编程的基础上,采用服务器程序和客户端程序来实现。要在不同的机器上执行,编程是基于系统的IP地址。通过使用Java的多线程特性,所有提供程序都可以并行执行。用户和提供者认证的整体检查如图1所示。 |
算法 |
| AES是一种现代分组密码,支持128位、192位和256位三种密钥长度。它提供了针对暴力攻击的出色的长期安全性。算法场景如下所示。(图2) |
结果 |
估计结果 |
| 结果表明,该方案增强了单点登录的安全性。它消除了反复证明身份。为每个应用程序持有不同的凭据。这里检测到两种攻击,即冒充攻击和会话攻击。因此,恶意用户会被检测和屏蔽。 |
结论 |
| 提出了一种基于AES算法的单点登录机制,该机制比chang-Lee方案中使用的DES算法更加安全。AES是目前使用最广泛的对称密码。它提供了针对暴力攻击的出色的长期安全性。因此,在考虑安全性时,AES比其他算法具有优先级。AES可以抵抗所有已知的攻击。用户和提供商之间的数据加密和解密可以提高通信的安全性。对于加密和解密,两边使用相同的密钥。AES是由美国政府认证的。通过在单点登录机制中使用该方案,用户需要单一凭证才能访问系统提供的所有应用程序和服务。它将检测进入系统的恶意用户并将其锁定。 |
|
数字一览 |
 |
 |
| 图1 |
图2 |
|
|
参考文献 |
- C. Ramkrishnan, S. Dhanabal,“分布式计算机网络单点登录机制的安全性分析”,《计算机工程学报》(isr - jce), vol. 16, pp146-149, 2014年6月
- Jean Jacob, Mary John,“分布式计算机网络单点登录机制的安全性增强”,IJMER, vol. 3, pp-1811- 1814, 2013年6月
- x, W。邱,d .郑、陈k和j·李,“匿名增强健壮和高效password-authenticated关键协议使用智能卡,“IEEE反式。印第安纳州。电子。,vol. 57, no. 2, pp. 793–800, Feb. 2010.
- W. Juang, S. Chen,和H. Liaw,“使用智能卡的健壮和高效的密码认证密钥协议”,IEEE Trans。印第安纳州。电子。,vol. 15, no. 6, pp. 2551–2556, Jun. 2008.
- M. Cheminod, a . Pironti,和R. Sisto,“远程现场总线访问安全系统的形式化漏洞分析”,IEEE Trans。Inf, vol. 7, no. 3。2011年2月,第30-40页。
- A. Valenzano, L. Durante,和M. Cheminod,“工业网络安全问题的回顾”,IEEE Trans。Ind。Inf., vol. PP, no。99年,2012年)
- C. Weaver和M. W. Condtry,“将互联网服务分发到网络边缘”,IEEE Trans。印第安纳州。电子。,vol. 50, no. 3, pp. 404–411, Jun. 2003.
- A. C. Weaver和M. W. Condtry,“将互联网服务分发到网络边缘”,IEEE Trans。印第安纳州。电子。,vol. 50, no. 3, pp. 404–411, Jun. 2003.
- W. Stallings,“密码学和网络安全”,第4版。Upper Saddle River, NJ: Pearson, pp. 334-340, 11月。2005.高级加密标准,NIST Std FIPS PUB 197, 2001
|
菜单
