FIDO UAF认证协议的全性研究.docx

优秀毕业论文 精品参考文献资料 摘要摘要 摘要 摘要 密码协议(Cryptographic Protocols)作为保证电子通信安全的基础模块， 是密码学研究中的一个重要方向。在密码算法的基础上，密码协议为实际系统 安全性方面的应用需求提供实现方案。随着电子商务，如网络购物、网上银行 等的广泛应用，认证协议成为密码协议研究中的重要领域，认证协议设计的好 坏将直接影响到用户在线认证的安全。 目前，大多数网站／服务器采用“用户名一口令”机制来实现用户在线认证。 但这种基于口令的认证方式存在着一些不足，例如用户需要记忆多个较长口令、 存储在服务器数据库中口令的泄露、不安全的传输环境等。FIDO(Fast IDentity Online)U舡(Universal Authentication Framework)认证协议标准的提出，就 是为了消除或减弱用户对口令的依赖，实现“去口令化”的强用户认证。在协 议执行过程中，服务器端不会得到用户的任何私密信息，这些私密信息永远不 会离开用户设备。同时，用户通过向所持有的认证器提供生物识别信息(如指 纹、声纹等)或PIN码的形式来完成身份认证，从而免去记忆口令的烦恼。这 套协议标准的提出受到了包括Google、Microsoft、Intel等多家大型公司的关注， 但目前还没有对该协议安全性研究的工作。 对密码协议的安全性研究而言，协议的安全性角度的刻画是进行后续研究 工作的基石，同时对作为衡量协议安全准则的安全目标的分析也是对密码协议 安全性研究的基础性工作之一。此外，由于密码协议运行的环境复杂，存在各 种企图进行恶意操作的攻击者给协议的安全带来挑战。协议是否在具体应用场 景下，由于协议的设计或执行的缺陷而存在攻击也成为人们关注的焦点。本文 针对上述的几个问题展开研究，得到如下成果： 1．依据标准文档的描述，分别提出了FIDO UAF协议标准中的注册协议和 认证协议的密码学抽象，根据该抽象对协议的具体执行步骤进行了详细 说明，同时对协议执行过程中的关键环节进行了分析讨论。 2．对FIDO UAF协议的强用户认证、抗验证方泄露、抗认证器泄露、可验 证的性质、抗伪造、抗平行会话、交易的不可否认性这七条安全目标进 行了分析。根据标准文档中给出的定义，首先逐条刻画出定义中所蕴含 的攻击者能力和攻击目标，然后依次将这七条安全目标归约到具体的安 全性假设，并给出了归约过程。 3． 结合所提出的协议的密码学抽象，提出了FIDO UAF协议的三种潜在的 攻击，分别称为“错绑定”攻击、“平行会话”攻击和“多用户”攻击， 万方数据 摘要并提出了对第一种攻击的一种补救措施。这三种攻击均可以使得攻击者 摘要 并提出了对第一种攻击的一种补救措施。这三种攻击均可以使得攻击者 假冒用户完成在线认证。 关键词：FIDO UAF协议、在线认证、协议的密码学抽象、安全归约、假冒攻 击 II 万方数据 AbstractABSTRACT Abstract ABSTRACT Cryptographic Protocols fundamental building block for securing electronic communications，are important direction in the research of cryptography．On the basis of cryptographic algorithms，cryptographic protocols provide implementation schemes for various application requirements of practical system secrecy．With the pervasive deployment of the electronic commerce，such as shopping online，e-bank etc．，authentication protocols become important field in the research of cryptographic protocols，and the design of the authentication protocols would directly affect the performance of the security of users’online authentication． So far，most online websites／servers adopt“usemame-password”mechanism to achieve users’online authentication．But the