文摘

密码身份验证机制用于验证用户身份在不安全的通信通道。在本文中,一种新的方法来提高密码身份验证提出的安全。它是基于分形图像编码的压缩能力提供一个授权用户注册和登录过程的安全访问。方案,生成一个散列密码字符串和加密一起被捕获用户标识使用文本图像机制。分形图像编码的优点是用于安全地发送压缩图像数据通过一个不安全的通信通道到服务器。客户信息的验证服务器的数据库系统实现对合法用户进行身份验证。分形解码图像的加密散列密码识别使用光学字符识别。执行身份验证过程的客户端身份验证成功后比较解密后的散列密码与存储在数据库系统。该系统从攻击者的角度分析和探讨。执行安全比较表明,该计划提供了一个基本的安全需求,而他们的效率使它更容易被应用单独或混合与其他安全的方法。 Computer simulation and statistical analysis are presented.

1。介绍

密码已经出现在早期以来信息技术时代之前的电脑。使用消费密码恢复软件,八个字符的密码可以在一个小时内不被破解。更有经验的黑客破解14字符密码包括字母数字和特殊字符用彩虹表和一些在不到三分钟的免费工具。所以添加数字和其他角色并不意味着增加一定程度的保护,但可能会增加所需的时间(1]。

在客户机/服务器系统的情况下,基于密码的身份验证方案扮演至关重要的角色识别的有效性远程用户维护用户的信息,使其更难以限制资源的未经授权的访问。1981年推出第一个远程认证方案Lamport [2]。他提出了一个密码身份验证方案,是基于密码表验证合法用户在不安全的通道。自那时以来,许多基于密码的身份验证方案被提出和分析改善安全、效率、成本(3- - - - - -7]。传统的字母数字密码是广泛用于身份验证。在这些计划,安全的远程用户身份验证是基于密码。简单的密码很容易得到攻击者给予足够的努力和时间。总有一个威胁由于简单的可用性,快速,完美的复制和分布意味着使用简单的字典攻击。鉴于互联网的爆炸式增长和计算机性能指数增加,更是促进了多媒体信息的交换,有必要发明新的保护机制,维护用户信息。今天许多新兴方法设计为了解决这个问题,有些是biometric-based远程用户身份验证这是一种安全、可靠的方法与传统相比,但他们更昂贵,需要专门的硬件,比如李等人提出的。8]。其他人都是基于一次密码通过使用智能卡,例如那些黄提出的和李42000年和许多其他人。王等人。9)应用膜集成电路方案完善特定图像的特征值,将它们嵌入到图像中像素的LSB。系统有能力检测和恢复被篡改的图像解码过程中膜集成电路。2007年,e . j . Yoon和刘贤Yoon [10)提出了一个高效的混乱的散列指纹生物识别远程用户身份验证方案基于移动设备。2011年,Motyl和Jašek [11)建议高级用户身份验证过程基于分形几何的原理。系统基于多项式分形集,明确了曼德尔勃特集合。该系统符合所有的条件哈希函数的建设。

在本文中,我们提出一个新的密码身份验证方案基于分形图像编码方案。解决它的属性和它的安全进行了分析和比较,上述的一些方法Lamport [2),黄和李4),和李et al。8]。

分形theoryis新的学科提供了一种新的方法来研究自相似性对象和不规则现象。它是非线性科学的一个活跃的分支从1970年代开始。分形已经被证明是合适的在许多领域特别是有趣的图像处理在不同的应用程序。一些无法解释的现象与欧几里德几何可以用分形几何解释。分形理论及其方法为人们提供了一种新观点和新思想认识世界,它使我们的思维方式进入非线性阶段。第一个重要的进步是由于巴恩斯利et al。12,13),首次引入了术语“迭代函数系统(仿)“基于自相似性的分形集。巴恩斯利的工作假设许多对象可以密切近似的自相似性的对象可能是由使用IFS的简单转换。从这个假设,假设可以被视为整个图像和各部分之间的关系,主要的问题是如何找到这些转换(仿)14]。事实上,有一个版本的IFS理论,局部迭代函数最小化问题的系统理论,指出图像部分不需要像整个图像,但足以让他们类似于其他更大的部分。这是Jacquin [15],他开发了一个算法来自动发现一组转换的方式,提供高质量的解码图像。

轮廓的纸是组织如下:分形图像编码的理论概念解释部分2,同时提供了一个简短的说明方法3。本文的核心部分4讨论了算法。节5实验结果描述。部分6,分析了保障和评估该方案的效率,而安全方案之间的比较和其他密码身份验证方案提出了部分7节中,紧随其后的是一个简短的结论8

2。分形理论

指数发展领域的多媒体系统,需要将图像存储在更少的内存会直接降低存储成本和更快的数据传输。分形图像编码是一个数学的过程用于编码位图包含一个真实的图像数据作为一组数学描述图像的分形性质。大多数数据包含大量的冗余,这可以从存储和删除替换为复苏(16]。基于这一现实和Bernsley的假设,许多对象可以通过自相似性密切近似对象可能被使用IFS,生成的IFS可以看作是整体和部分之间的转换,分形图像编码进化。因此,由此产生的主要问题是如何找到这些IFS转换。这是Jacquin [15]谁解决了这个问题通过开发一个算法来自动的方法找到这些转换基于图像在不同尺度的不同部分是相似的,假设图像部分不需要像整个图像,但它足以让他们是类似于其他更大的部分。利用这些优势,FIC成为灵感解决许多技术,其主要特点是使用在图像块相似性地产(17]。

2.1。分形图像编码的数学

分形图像编码的主要想法是确定一组收缩IFS变换近似每一块图像的生成整体形象。一些背景知识对理解IFS分形理论和膜集成电路如下。更详细的审查发现的主题可以在[18- - - - - -20.]。

定义2.1。给定一个度量空间( ),所有非空的紧凑的空间的子集 被称为“豪斯多夫空间吗 。豪斯多夫距离 是定义在 通过

定义2.2。对于任何两个度量空间( )和( ),一个转换 据说是收缩当且仅当存在一个真实的号码吗 , ,这样 ,对于任何 ,在那里 收缩性因素吗

定理2.3(迭代函数系统的基本定理)。对于任何IFS 存在一个独特的非空的紧集 不变的IFS吸引子,这样
另一个重要的属性(定理2。4)收缩转换完备度量空间的内部被称为收缩映射定理。

定理2.4。 完备度量空间上的收缩( )。然后,存在一个独特的观点 这样 。此外,对于任何 ,我们有 ,在那里 表示的n次组成

定义2.5。任何一个仿射变换 飞机具有以下形式: 通过考虑一个度量空间 和一组有限的收缩转换 ,各自的规律运动的因素 ,我们继续定义转换 ,在那里 是集非空的,紧凑的子集 ,通过

它很容易显示 是一个收缩,收缩性因素呢 。映射 通常被称为哈钦森运营商。它遵循的收缩映射定理,如果( 完成), 有独特的定点 ,满足self-covering条件:

但是,给定一组 ,一个人怎么能找到一个收缩转换 这样,其吸引子 接近 吗?要回答这个问题我们必须应用拼贴定理。

定理2.6。一组 和收缩 与吸引子 : h是豪斯多夫距离的地方。

也就是说, 足够接近,如果 是足够接近的吗 和峡谷以下两个表达式: 在那里, 这意味着 可以划分为: 可以通过应用密切近似收缩仿射变换吗 对整个 ,在那里,

2.2。分形图像编码

膜集成电路的目的是能够将一个图像存储为一组IFS转换而不是存储单个像素数据。我们使用一种叫做分区迭代函数系统的转换进行通信),因为我们工作在一个图像的部分,而不是整体的形象。编码图像的过程 需要我们找到一个收缩映射的集合 的定点(或吸引子)地图 。定点方程 建议我们分区 我们应用这些转换成碎片 回到原来的形象 (21]。让一个数字图像的度量空间由两组( ,rms), rms均方根度量而不是分离指标上面讨论压缩图像 。有必要找到 ,这样rms 。这个度量空间是由分区原始图像 为一组 不重叠的范围块封面 和一组 重叠域块的两倍的块和范围必须相交 。膜集成电路的目的是使拼贴定理找到IFS的变换 为图像 其吸引子的样子 。这个定理也可以为比例因子除了旋转和反射。

现在的问题,是我们如何映射域范围?找到相应的为每一个值域块域块,我们必须测试所有域块。后我们发现均方根距离最小化的优化领域,领域像素的坐标将压缩文件中记录的。“域”和“范围”的插图可以如图1

每个像素块中表示为一个点 的坐标 ,在那里 代表的标准几何位置 。的灰度 代表的是 协调。包括灰度值3-dimentional使用矩阵。指定的转换 在哪里 ,和f代表缩放,旋转,反射,和翻译参数和灰度控制 ,在那里 的对比, 亮度。我们需要减少的距离是灰度水平之间的距离。 可以使用最小二乘回归计算: 的最小值 发生在对的偏导数 为零,导致

rms的区别是计算使用 每个范围块比较所有可能的转换通过计算域块 选择一个最小化

解码过程更简单,(从一个初始图像 是以一个统一的灰色或白色图片)可以通过遍历集合的地图。在第一次迭代中, ,在第二次迭代, ,等等。这一过程可以重复直到吸引子与原始图像。

3所示。材料和方法

消息身份验证代码方法由双方共享一个公共密钥可以交换消息以身份验证的方式;也就是说,他们可以由一个未经授权的第三方检测修改或捏造事实的人。双方之间的共同关键是通常选择均匀随机从所有可能的键的集合22]。

3.1。diffie - hellman

Diffie - Hellman (DH)是一个重要协议算法由Diffie发明和赫尔曼23),包括求幂模一个大素数。它可以用于生成密钥的密钥交换,但它不能用于加密和解密消息。很难打破DH通常被认为是等于计算离散对数的难度模一个大素数。这是总结如下,对于给定的 ,这都是公开的数字。用户选择私人值 和计算公众价值观 国防部 国防部 。这些公共价值交换。计算共享的私有密钥, 国防部 , 国防部 。用代数方法,它可以很容易地显示 ,这是一个秘密密钥,双方独立计算(18]。

3.2。哈希函数

哈希函数是一个公共函数将任意长度的消息映射到一个固定长度的散列值,它作为身份验证。这是一个four-tuple ,满足以下条件(24]。(1) 是一组可能吗消息。(2) 一组有限的可能吗消息摘要认证标签。(3) ,密钥空间,一组有限的可能吗钥匙。(4)为每一个 ,存在一个哈希函数 ,这样 (我)这是非常简单的 ,但它应该是计算上不可行的 鉴于 。这是“单向的”属性。(2)对于任何给定的块 ,应该是计算上不可行的 。这叫做non-collision财产。(3)应该是计算上不可行的找到任何对( ),这样 (iv)最后必须随机哈希函数的输出。这个属性被称为随机甲骨文。哈希函数表示在许多领域的信息系统(如密码识别、完整性控制、数据库比较,等等)。通过哈希函数,少量的数据可以从大量的数据中获得。

3.3。光学字符识别

光学字符识别(OCR)是一种软件设计电子识别和翻译打印或手写字符的一种光学扫描仪。OCR由三个元素组成:扫描、识别、和阅读文本。OCR软件扫描,并确定是否识别图像或文本。然后,机器通过识别细胞的形状决定了字母和单词的重复或模式熟悉的形式在下面的例子(25]。

340861.图一

我的发明与统计机器的类型进行逐次比较性格和水资源。

4所示。该认证方案

在这篇文章中,一个个人识别方案基于分形图像编码的优点。系统适用于二进制图像加密哈希函数的个人信息。在身份验证过程中,个人的信息是相对于每一个个人的信息存储在数据库中。当穿过确定阈值匹配的因素,系统验证个人作为一个真正的用户。本文中使用的一些符号描述如下:C:客户端。S:服务器。攻击者。ID、PW:分别为客户端用户名和密码。 :共享密钥使用diffie - hellman密钥交换协议。海关:哈希函数存储在数据库中。 :加密哈希函数使用一个非线性方程。即时通讯:图像使用任何转换文本创建图像软件。 :设置IFS的转换系数 使用分形图像编码方案,构建。IM1:使用分形生成图像的解码图像解码方案,看起来喜欢我。 :解密散列使用逆非线性函数。

4.1。该方法

让我们假设服务器生成一个共享密钥 客户端和服务器之间使用DH协议。如果客户机 想注册服务器、用户名和密码应该首先提交给服务器数据库通过一个安全通道。

该方案包括三个部分:注册、登录、身份验证,他们详细描述如下。服务器和客户端将共享安全的关键 使用DH协议。

以下4.4.1。注册和登录

(1)在客户端(一)输入用户名和密码(身份证、PW)。(b)C向S当前请求(登录,注册,更改密码)。(c)C PW散列值计算HS (PW)。(d)加密哈希函数HS使用非线性函数 (海关, )。(e)ID和Y是在我使用文本图像转换器。(f)计算 IFS的矩阵转换由我使用分形图像编码方案。(g) 发送给S。(2)在服务器(一)解码 找到吸引子IM1使用分形图像解码。(b)在IM1使用OCR程序读取数据并确定ID,和加密 (c)使用逆函数来解密 并找到 (d)为每个请求状态(注册、登录和修改密码),验证如下。

4.1.2。身份验证

(1)登记(我)搜索数据库的ID。(2)如果ID没有找到然后返回(用户名存在)。其他存储ID和 在数据库并返回(成功注册)。(1)登录(我)搜索数据库的ID。(2)如果ID没有找到然后返回(错误的用户名或密码)。其他比较接收到的 存储一个如下。 (1)改变密码。(我)搜索数据库的ID。(2)如果ID没有找到返回(用户名不可用)。其他的更新 值在数据库并返回(更改密码成功)。

4.2。软件实现

该算法及其图形用户界面图2Net-Beans下进行使用Java IDE 7。所有的结果取得了使用电脑的规格2.4 GHz Intel和i3 CPU和4 GB RAM。

例4.1。这是一个说明的例子扫描图像(IM)使用文本图像机制图3(一个),近似图像(IM1)使用分形图像编码图3 (b)

5。实验结果

显示在表1和图4的绩效评估方案在性能方面的时间和捕获的图像大小对关键尺寸显示。结论,注册和登录时间变化与关键尺寸成正比,而认证时间是根据用户的数量在服务器注册。该密码身份验证是一种新型的基于分形的方案提供安全的通信通道安全凭证信息的传播。注册和登录阶段在客户端执行四个步骤:散列密码,加密,捕获作为IM图像,然后转化为IFS码使用膜集成电路方案。然而,它在服务器端执行三个步骤,使用FID检测器生成IM1吸引子,使用OCR读取数据,最后解密这些数据找到哈希函数,使用ID,要么进行身份验证,或登记,根据请求的情况。

程序的目的是为某些情况下提供错误信息如下。(我)用户输入错误的用户名或密码。(2)用户试图注册使用ID已被使用过。(3)该算法容易受到一些试图改变数据的高度。(iv)OCR程序导致错误的阅读。所有这些错误情况下可以表示程序中错误的用户名或密码,或“用户已经存在。”

时间在表1列出在毫秒(女士)。结果显示在每个阶段所需时间不同的关键尺寸。

6。安全分析

如果我们假设攻击者总控制C和S之间的通信通道,这就意味着他可以插入、删除或更改任何信息的渠道。提出了系统的第一步是注册过程。如果攻击者伪装成C和试图改变数据库中的ID或PW和寄存器使用错误的ID和PW,这并不提供任何优势由于缺少信息被盗的页面在这个阶段。因此,攻击过程中是不可行的,授权用户将这一部分必须注册了。我们得出的结论是,攻击者的主要目的是让PW。任何试图改变的ID将什么都不做。如果攻击者足够熟练恢复原始图像,使用分形图像解码,他将得到一个加密散列与两个变量的非线性函数 ,在那里 DH密钥交换和吗 是一种用户密码的哈希函数,这是不可行的需要解决与精确值。使用了共享密钥DH基于离散对数的困难问题,在计算上是不可行的(在多项式时间内无法解决的)大质数有重大影响。这是关于增加的安全方案抵抗多种攻击在不安全的网络。

安全分析讨论了该方案的细节表明,该计划经受最下面的攻击方法。

密码猜测攻击
易受攻击发生在大多数密码。当客户的ID是已知的,那么攻击者试图猜出密码来验证他的猜测的正确性。使用这类攻击,有两种方法,要么攻击者试图猜出密码PW的字典和登录使用已知的ID来验证他的猜测的正确性,他停止时 。在我们计划这几乎是不可能的,因为服务器将阻止该帐户后十个错误登录尝试或如果攻击者足够知识渊博,可以拦截 从打开网络解码 并找到IM1使用分形图像解码(FID)。夜可以使用在IM1开设了OCR读取数据并确定ID和加密 。然后,他应该解密 并发现应该用于猜PW的哈希,他停止时 。因此,它是不容易的对夜使用逆函数来解密 并找到散列,因为 是加密使用两个变量 。发现这两个值依赖于非线性函数解决数值恢复未知的约,这将涉及截断和累积误差。关于价值 为大,这是一个安全的价值关键尺寸,虽然它只有客户机和服务器知道。除了在每个登录(即不可重复的房产。,一个不同的密钥生成每个登录)。此外,第二商品价值,也不容易被发现,由于他们的属性,应该是计算上不可行的 。因此,即使攻击者可以找到散列,从HS找到PW,是不可行的,他将无法使用该商品进行身份验证,因为服务器是用来接收一个加密哈希散列没有被清理干净,这个值是导致一个未知值进行解密。从以上我们得出结论,该方案是安全与密码猜测攻击。

重放攻击
这是攻击的敌人模仿另一个合法用户通过重用信息的协议。在密码身份验证方案中,这是关心的情况下尝试扮演一个授权未经授权的用户,通过重现无效消息之前拦截到服务器。在我们的方法让我们见图5为更多的细节。

在这个例子中,我们表明,在三个不同的登录尝试,相同的用户生成不同的消息。这意味着对于相同的用户登录信息不重复,这是不可行的任何登录会话找到两个类似的消息。如果攻击者前夕试图拦截被抓获的消息 的登录会话并试图再次重新发送到服务器,服务器将不重播消息进行身份验证,因为关键是改变每一个登录会话。为此提出的方案获得了重放攻击。

拒绝服务攻击
在这种攻击中,虚假验证信息可以更新攻击者(应用)的十倍以上,因此,合法的用户将被阻塞,将无法登录成功了。最脆弱的过程是密码改变阶段。在此阶段我们的计划是在客户端执行。同时,服务器应该验证用户使用该安全方案与安全问题开始前更改密码的过程;也就是说,它将有助于提高密码的安全性发生变化。攻击者不能修改数据存储,因为只有授权用户可以更改密码。这是由于安全问题之前preagreed合法用户和服务器之间,以及知道加密密钥的困难。

偷来的验证人攻击
密码身份验证方案的共同特征之一是验证表的安全存储在服务器上。如果这个表被对手,该系统将部分或完全坏了。在该方案,密码存储在验证表作为散列值。任何企图从攻击者到钢铁这些数据将什么也不做,因为这些数据不是存储明确。策略服务器是为了得到一个加密散列不是一个明确的散列,它将结束与解密结果信息未知值,这将导致认证失败的过程。我们的计划是针对这种攻击。

中间人攻击
该方案是无懈可击的攻击,因为当敌人截获消息,防止它从传输到服务器,此消息后模拟用户使用服务器的对手。服务器将不验证他,因为如果用户试图重用的信息他会需要时间来钢铁信息和使用FID,创建IM1他用OCR IM2读这些信息来创建一个新的图像,然后将其转换为T1 (IFS码)。在这种情况下,所需的时间很长,足够多的服务器需要考虑当前登录会话过期了。因此,攻击者应该开始新的登录会话可能由于缺乏他的信息。

7所示。安全的比较

密码身份验证方案是最简单和方便的计划提供的合法用户安全使用服务器资源。第一个方案是建议Lamport [2]。这是一个基于散列密码身份验证方案。研究人员后来证明这个方案是容易受到一些攻击,此外,它使用哈希计算高,密码重置的问题。为了克服这些缺点,Peyravian和Zunic26)提出了一个方案,只使用哈希函数,这对应用程序非常简单。后来,一些研究人员表明,这个方案是容易猜测攻击,拒绝服务攻击(DoS),偷来的验证人攻击,和许多其他人。他们试图做一些改进,消除弱点在这个计划,但没有小费。这些计划的共同特征之一是验证表的使用,应该安全地存储在服务器中。在这些类型的方法克服缺点,密码认证机制是为了基于智能卡的战略计划。是通过不安全的网络,提供相互认证,认证执行容易使用和不使用验证一个难忘的密码表。

第一部小说使用智能卡用户身份验证方案于2000年提出了黄和李4]。后来,许多研究人员提出了一些基于智能卡的计划,他们每个人都有其优点和缺点。这些研究了黄的改进方案;然而,他们中的大多数仍容易受到重放攻击,反射攻击,DoS攻击,猜测攻击,并行会话攻击,和许多其他人。此外,现有的智能基于方案容易丢失/智能卡攻击。因此,如果任何对手抢断智能卡的合法用户,他可以用它来冒充合法客户端。

由于计算资源有大幅增长,总有增长要求新兴方法增强的安全密码身份验证协议能够满足现代应用程序的安全需求。基于生理的身份验证方法(生物)特性被认为是一个不错的选择在物理知识(智能卡)或(ID系统)的身份验证方案。这是由于可靠性(不能丢失,遗忘,或猜测),除了其易用性(没有被人铭记或者携带)。这些方法都是基于区分人类的特性,最常用的生物特性的脸,指纹、虹膜、声音,和棕榈打印,等等。基于指纹身份验证方案给出更多的关注比其他任何。许多Biometric-based密码身份验证方案已经提出。2002年,李et al。8)提出了一个远程用户认证方案使用指纹和智能卡)。不幸的是,一些研究人员后来,表明这个方案很容易受到一些攻击甚至的改进实现。这些方法更昂贵,需要专门的硬件。

然而,在本文中,我们提出了一个新颖的基于IFS理论密码身份验证方案。它使我们能够代表图像以紧凑的方式通过有限数量的仿射变换。该方案详细分析表明它是无懈可击的许多攻击,它可以给我们高安全性和一些缺点。该方案的安全性比较Lamport [2),黄和李4),和李et al。8)计划从攻击者的角度和总结在表执行2。该方案相对比其他方案更安全、成本更低。

8。结论和未来的工作

一个密码身份验证系统提出了基于分形图像编码的优点。二进制图像捕获的系统工作的客户信息(ID、PW)。密码哈希和加密后,编码使用膜集成电路方案并将其发送到服务器而不是图像本身。执行成功匹配的服务器验证客户端用户ID是公认后,和散列是解密验证数据库系统保存的散列。该计划的安全强度依赖于安全的哈希函数,和DH协议用于加密和解密的密钥交换商品(PW),除了膜集成电路方案的复杂性。我们得出结论,非传统密码身份验证方案,灵活的改进,除了许多其他属性,如以下。(我)用户不能随意更改密码(即没有连接到服务器。,only the authorized user is able to change the password), because of the security question that is preagreed before between the legal user and the server, as well as the difficulty of knowing the encrypted key.(2)这个计划有一个设施的访问拒绝或阻止任何未经授权的用户尝试使用错误密码超过十试验。(3)方案是猜测,担保的回放,拒绝服务,stolen-verifier并行会话,和许多其他的攻击。(iv)膜集成电路提供了一个优势的使用增加的安全,因为分形编码的使用而不是原始图像。(v)服务器关闭会话时需要比平常时间,并将请求一个新的会话。

所有这些点被认为是一种优势,然而,也有一些使用这种方案的缺点,如:有点费时比较其他一些计划,这是由于使用分形图像编码和解码过程,除了nonaccurate OCR系统的阅读,可能很少发生。这是由于使用nonefficient OCR程序,因为生成的图像是一个近似的图像没有显式的形象。该方案提供了客户端和服务器之间的相互认证。它建立了一种常见的会话密钥,提供机密性。

对于未来的工作,计划可以提高更安全、无懈可击的许多类型的攻击,如果执行加密过程IFS码在应用膜集成电路方案,而不是当前使用的散列密码。与这些改进ID和PW将隐藏,而不是密码仅在当前情况。

承认

研究人员要感谢数学研究所(INSPEM),大学Putra马来西亚(芬欧蓝)支持这项工作。