PhishGuard: Integrating Fine-Tuned Large Language Models (LLMs) into Password Management

In the digital age, phishing attacks have been a persistent security threat leveraged by traditional password management systems that are not able to verify the authenticity of websites. This paper presents an approach to embedding sophisticated phishing detection within a password manager’s framework, called PhishGuard. PhishGuard uses a Large Language Model (LLM), specifically a fine-tuned BERT algorithm that works in real time, where URLs fed by the user in the credentials are analyzed and authenticated. This approach enhances user security with its provision of real-time protection from phishing attempts. Through rigorous testing, this paper illustrates how PhishGuard has scored well in tests that measure accuracy, precision, recall, and false positive rates.

A Two-Party Password-Authenticated Key Exchange Protocol with Verifier

To tackle with the security lack in the password-authenticated key exchange protocol, this paper proposes a two-party password-authenticated key exchange protocol based on a verifier. In the proposed protocol, a user stores his password in plaintext, and the server stores a verifier for the user’s password, using DL difficult problem and DH difficult problem, through the session between user and server to establish a session key. The security discussion result shows that the proposed protocol provides forward secrecy, and can effectively defend against server compromising fake attacks, dictionary attacks and middleman attacks. Protocol efficiency comparisons reveal our protocol is more reasonable.

抗凭证泄露攻击的图形口令认证方案

图形口令既可以减轻用户记忆传统文本口令的负担,又可以简化用户输入口令的步骤,近年来,广泛应用于移动设备的用户认证.现有的图形口令认证方案面临严峻的安全问题.首先,图形口令容易遭受肩窥攻击:用户的登录过程被攻击者通过眼睛或者摄像头等方式偷窥导致图形口令泄露.更为严重的是,这类认证方案不能抵抗凭证泄露攻击:服务器存储与用户图形口令有关的认证凭证并利用其验证用户身份,攻击者如果得到服务器保存的凭证就可以通过离线口令猜测攻击恢复用户图形口令.为了解决上述问题,提出了一个安全的图形口令认证方案(GADL).GADL方案通过将随机的挑战值嵌入到用户的图形口令来抵御肩窥攻击,因此攻击者即使捕获了用户的登录信息也无法得到用户图形口令.为了解决服务器凭证数据库泄露问题,GADL方案采用了一种确定性的门限盲签名技术来保护用户图形口令.该技术利用多个密钥服务器来协助用户生成凭证,使得攻击者即使获得凭证也无法实施离线猜测攻击来获得用户口令.给出的安全性分析证明了GADL方案可以抵抗上述攻击.此外,给出了全面的性能分析表明GADL方案在计算、存储和通信开销这3个方面性能较高,且在移动设备上易于部署.

抵抗恶意服务器的口令增强加密方案

口令增强加密是一个近年来新出现的原语,可以通过增加一个第三方密码服务提供商承担辅助解密的功能,抵抗已有的服务器猜测低熵口令即可解密带来的恶意离线攻击风险,即实现了对口令认证进行增强并增加加密的功能.结合近年来新出现的算法替换攻击威胁,对提出该原语工作中的方案给出了一种服务器积极攻击的方法,该攻击具有不可检测性且可以让服务器仍然能实施离线攻击,从而证明原方案不具备其声称的抵抗恶意服务器的功能.接着讨论与总结能够抵抗恶意服务器实施算法替换攻击的方案应当具备的性质与构造特点;随后,给出一个能够真正抵抗恶意服务器算法替换攻击的方案并给出了仿真结果;最后,对于复杂交互式协议受到算法替换攻击时的安全性影响需要的系统性研究进行了展望.

基于观察等价性的协议猜测攻击形式化检测方法

由于口令的低熵性,针对基于口令的安全协议存在特有的口令猜测攻击,当前的形式化语义不能较好地刻画攻击者执行口令猜测攻击的条件,对于协议抗猜测攻击能力没有统一的形式化安全属性定义.本文提出了基于观察等价性的协议猜测攻击形式化检测方法.使用多集重写规则对协议交互流程进行形式化建模,给出了口令初始化、口令猜测行为的标准化规则,修改完善基于口令的对称加密原语,以支持包含基于口令的对称加密的协议验证.理论上将协议口令猜测攻击的形式化分析检测转换为正确猜测和错误猜测下多集重写规则双系统的观察等价性是否成立的判断问题;实现上使用Tamarin形式化分析工具对协议是否存在口令猜测攻击进行自动化分析,首次实现了形式化分析工具对口令猜测攻击路径的自动化生成.使用该方法对EKE、SPAKE等传统口令认证协议和多因子认证协议进行形式化建模和分析,对其中存在口令猜测攻击的协议自动化生成可行的口令猜测攻击路径,验证了方法的正确性和有效性.

基于改进PCFG算法的口令猜测方法

近年来口令泄露事件频出,有效的口令猜测方法是保障口令安全的重要手段,其中基于概率上下文无关文法(PCFG)的口令猜测方法效果尤为显著,然而仍存在无法生成新的口令字符子段、对生成口令的概率估计不准确等问题。以基于PCFG的口令猜测方法为研究对象,对其在口令构造过程中关键阶段的命中率进行分析,提出基于Backoff-RNN与概率平衡的改进PCFG口令猜测方法。在口令结构划分阶段,通过分析用户在构造口令时的行为与偏好,将口令从汉语拼音和英文单词两方面进行更细粒度的结构划分,提取口令更深层次的结构信息。在口令填充阶段,将Backoff思想应用于字符级RNN模型,生成子结构中长序列字符子段,提高模型准确性和泛化能力。在口令概率计算阶段,改进口令生成概率的计算方法,解决了使用传统计算规则时因口令结构长度不一致造成的概率不平衡问题。实验结果表明:在中英文两种语言环境交叉数据集上,该方法的漫步口令猜测攻击命中率相较于基于PCFG的口令猜测方法分别提升了20.6%和22.4%;在中文语言环境数据集上,定向口令攻击命中率相较于TarGuess-I模型提升了2.8%。

IPTV传输分发系统的安全风险

互联网电视(Internet Protocol Television,IPTV)传输分发系统是处于前端电视发送端与终端电视接收端之间的网络传输、存储和分发的系统。基于IPTV电视传输分发系统的网络结构、互联接口、运维情况等信息,分析IPTV电视传输分发系统面临的安全威胁,并提出相应的防护手段。

一种面向密码安全的风险预警系统构建方法

针对密码安全要素采集不全、安全风险知识积累薄弱、风险预警准确率差等问题,从系统构建架构、密码安全风险预警知识图谱构建、密码安全系统后续攻击预警模型构建等方面出发,提出一种面向密码安全的风险预警系统构建方法。该方法能够有效提升风险预警系统的准确性、智能性及直观性,为密码安全管理人员整体掌握密码安全态势提供了有效的方法。

对Kerberos协议的攻击及对策研究

Kerberos协议是当今最重要的实用认证协议,但是它也存在着一些局限性和缺陷,文章主要分析了Kerberos协议的两种最重要的攻击:口令攻击和重放攻击,以Windows2000环境下对Kerberos协议进行的攻击为例进行了具体分析。并且把对Kerberos的各种改进方案作了一个全面的分析和总结,把各种方法作了一个对比,找出各种方法的优缺点,这将对以后Kerberos协议更完美的改进起参考作用。

一种适于受限资源环境的远程用户认证方案的分析与改进

该文讨论了Fang等人(2011)新近提出的一个安全高效的基于智能卡的远程用户口令认证方案,指出原方案无法实现所声称的抗离线口令猜测攻击,对平行会话攻击和已知密钥攻击是脆弱的,并且存在用户口令更新友好性差问题。给出一个改进方案,对其进行了安全性和效率分析。分析结果表明,改进方案弥补了原方案的安全缺陷,保持了较高的效率,适用于安全需求较高的资源受限应用环境。

一种基于USB Key的双因子身份认证与密钥交换协议

传统的USB Key只能存储数据而无法进行复杂的加/解密运算,导致基于USBKey的认证协议存在诸多不足。本文针对含智能卡芯片的USB Key可进行加/解密运算和生成随机密钥的特点,提出了一种基于USB Key的双因子身份认证与密钥交换协议DKA KEP。该协议综合运用伪随机数验证、一次性会话密钥、AES加密算法、安全哈希算法等技术,除了可提供安全快速的身份认证与密钥交换,还具有快速更改密钥、支持多种哈希算法和无需时间同步机制的特点。对DKAKEP协议的安全性分析和实际应用表明,该协议可抵御多种协议攻击,具有较强的实用性、安全性和可靠性。

一个强口令认证方案的攻击与改进

讨论了于江等新近提出的一个简单高效的基于USB-Key的强口令认证方案(USPA),指出该方案无法实现所声称的抵抗DoS攻击、重放攻击、Stolen-Verifier攻击和服务器仿冒攻击。给出一个改进方案,并对其安全性和效率进行了详细的分析。结果表明,改进方案弥补了USPA的安全缺陷,并且保持了较高的效率,适用于安全需求较高的移动应用环境。

对三个多服务器环境下匿名认证协议的分析

设计安全、高效的多服务器环境下匿名身份认证协议是当前安全协议领域的研究热点.基于广泛接受的攻击者模型,对多服务器环境下的3个代表性匿名认证协议进行了安全性分析.指出:(1)Wan等人的协议无法实现所声称的离线口令猜测攻击,且未实现用户匿名性和前向安全性;(2)Amin等人的协议同样不能抵抗离线口令猜测攻击,且不能提供匿名性,对两种破坏前向安全性的攻击是脆弱的;(3)Reedy等人的协议不能抵抗所声称的用户仿冒攻击和离线口令猜测攻击,且无法实现用户不可追踪性.突出强调这些协议失败的根本原因在于,违反协议设计的3个基本原则:公钥原则、用户匿名性原则和前向安全性原则.明确协议的具体失误之处,并提出相应修正方法.王平(1961-),男,博士,教授,博士生导师,CCF专业会员,主要研究领域为信息安全,系统软件,物联网.

新的口令认证密钥协商协议

针对服务器泄漏攻击,给出了抵抗这种攻击的方法,提出了一个新的基于口令的认证密钥协商协议。在该方案中,用户记住自己的口令,而服务器仅仅存储与口令对应的验证信息。分析结果表明,该方案可以抵抗服务器泄漏攻击、字典攻击和Denning-Sacco攻击等,并且具有前向安全性等性质。

网络攻击与防御技术的研究与实践

网络攻击与防御是信息安全领域的核心内容,采用攻防角色分组的情境实践模式,将其分解为扫描、网络嗅探、口令破解、欺骗攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、SQL注入攻击、木马攻击、计算机病毒、手机病毒、防火墙与入侵检测等12个专题,对应12个学生小组,每组6名学生,攻击和防御各半。通过课程实践,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,以及团队协作和组织能力。

无线双向安全认证系统的设计与实现

为确保无线环境下多用户与服务器的正确连接,设计实现一种无线双向安全认证系统,该系统能稳定有效地运行于实际环境中。通过使用Hash函数对用户认证信息进行加密的方式,确保信息传输安全,对用户进行匿名保护;利用计数器替代时间戳来验证消息的有效性,解决众多设备网络时间同步困难的问题,避免无线网络中重放攻击的危险。运算量以及运算时间的对比分析表明,相比其它方法,该系统具有运算量较少、运行时间较短的优点,能有效提高该系统在实际使用中的认证效率。

新的三方密钥交换协议

针对基于口令认证机制的密钥交换协议容易遭受口令猜测和服务器假冒等多种攻击的缺点,提出了基于验证值认证机制的新的三方密钥交换协议.新协议中的验证值是基于口令的变换,并代替口令被保存在服务器端.服务器不仅以验证值来认证用户的身份,并且要通过验证值协助用户之间协商出会话密钥.而口令则作为私钥由用户自己保存.对新协议的安全进行分析,表明该协议可以抵御多种攻击,说明协议是安全的,同时对协议的效率评估还表明该协议具有较高的效率.

一种适于受限资源环境的远程用户双向身份鉴别方案

针对计算资源受限环境下的远程用户身份鉴别问题,在分析一种基于智能卡的远程用户身份鉴别方案安全问题的基础上,通过引入二次散列函数和注册随机因子,提出一种更加安全高效的身份鉴别方案。安全性分析结果表明,所提出鉴别方案可解决原方案不能对抗离线口令猜测攻击和假冒攻击的脆弱性,同时保持了原方案计算代价低、可实现双向鉴别等特点,使在计算资源受限环境下的应用具有更好的安全性和实用性。

基于分布式环境下的彩虹表密码攻击

密码安全是被经常讨论的问题。分析了基于彩虹表的密码破解的基本原理,首先介绍了哈希链,分析了其原理和缺点,即容易出现链冲突。随后引出彩虹链,分析了其工作原理及优势。并使用分布式计算环境对彩虹表的分布式计算、分布式存储,分布式攻击等进行了相关研究。

基于动态ID的远程认证方案的改进

智能卡由于具有低功耗、安全计算和便携性的特点,常常被用做身份认证终端.基于静态口令的认证方案不能由用户选择密钥并且需要在服务器保存一个密钥表,而基于动态ID的方案能解决这些问题.提出了新的方案,指出Liao-Lee-Hwang方案中不能抗偷窃攻击的缺点,并在其基础上做了改进.新的改进方案不仅继承了原方案中抗猜测攻击、实现共同认证、服务器不会泄露用户密钥的的优点,同时也避免了窃取攻击;并且新的改进方案在计算量上也小于Liao-Lee-Hwang的方案.