摘要本文在 分析 常见的口令机制及其安全性的基础上介绍了一种非对称环境下的口令认证机制以及公共口令的概念。结合 网络 应用 的具体要求,设计出安全的口令身份认证协议,并提出可行的实现方案。
关键词身份认证 公共口令 公钥技术
开放式网络上不断增长的重要应用对网络安全提出了迫切的需要,身份认证系统作为网络安全的第一道防线,其安全性对整个网络的安全具有十分重要的作用。实现身份认证的方式有多种,如基于IC卡方式的身份认证系统(即每台用户终端上安装一个IC卡读解器),但这种系统费用较大,难以实现。另外一种更常见的方式是运用用户名/口令机制,但就 目前 来看,这种机制由于没有足够的安全保护而容易受到窃听、重放、口令猜测等攻击。本文介绍了非对称的环境下使用口令来实现身份认证的机制[1],以防止上述各种攻击。非对称环境是指认证服务器能够存储一个强秘密信息(如公钥体制中的私钥),但用户只用一个弱的人为记忆的口令作为唯一的认证密钥。在一些应用中这种非对称的情况很 自然 地出现了,如远程用户认证,这时用户并不携带任何能够存储一个强秘密信息的 计算 设备(如便携式电脑或智能卡)。还有一些协议的应用如SSL和SET也会出现这种情况,其中客户端并不拥有认证服务器的公钥。因此,本文利用公共口令的概念,设计了基于激励-响应的加密口令身份认证协议。
(1)口令传递
最简单的口令机制是以明文的形式把口令从用户传送到服务器。为了验证口令,服务器中存储了一个文件,其中包含了口令的明文形式(附于用户名)或口令在单向函数下的映射。后者是Unix系统的经典 方法 ,而且还用于ftp和telnet的远程认证。在远程认证的情况下,这种机制的缺陷很明显,因为口令会很容易地被窃听者从网络上读取下来。
(2)激励-响应
更为安全的口令认证形式使用的是激励-响应机制。在这种情况下,口令从不以明文的形式传送,而是用来对每一次认证时认证服务器所选取的激励进行秘密的函数计算。这提供了认证的新鲜性,但也使口令容易受到口令猜测攻击。这种攻击是指:假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。入侵者首先记录包含了激励和响应的认证会话,然后用一些可能的口令对激励进行计算,看能否得到同样的响应。如果能的话,就说明这是一个合法的用户口令。不幸的是,在现实生活中,很多口令都可以在这样的口令字典中找到,因此这种攻击是非常有效的。
(3)一次性口令
激励-响应机制的一种变型称为一次性口令机制,在这种机制下,用户每次验证自己的身份时使用不同的口令。如果这些一次性口令是从一个用户记忆的口令推导而来的,那么这个用户记忆的口令仍然容易受到口令猜测的攻击。另外一种方法是把这些一次性口令全部写在纸上让用户保存,这样就可以防止上述攻击,且这样做有一个优势,即口令不会被重用。但是,对于用户来说,需要携带一大批的口令,保证这些口令的安全和保密,并且每次都要输入相对复杂的字符串,这是非常不方便的。另外,这种机制也容易受到几种攻击,如口令被偷走(从记录口令的纸片上复制),中间人攻击等。
(4)简单的认证之外的其它认证方式
(a)双向认证
双向认证不但要求用户向服务器证明自己的身份,而且要求服务器向用户证明自己的身份。这对于避免中间人攻击和服务器假冒攻击是很重要的。在完全不可信的网络如Internet上的远程认证中,双向认证是非常重要的。
(b)认证的密钥交换
运用这种机制,在协议运行完成时,用户和服务器就可以共享一个秘密的会话密钥,这个会话密钥可用来验证或加密当前会话中的后继信息。这防止了入侵者拦截会话以及数据伪造和数据暴露。
(c)用户身份保护
运用这种机制,窃听认证协议的人就不能得知用户的身份,这对于移动用户的远程认证来说尤为重要。
(1)窃听
入侵者搭线窃听,试图从正在进行的通信中获得有用的信息。
(2)重放
入侵者记录过去通信中的消息并在以后的通信中重放它们。
(3)中间人攻击
入侵拦截各主体之间的消息,并用自己的消息来取代它们。在向服务器发送的消息中他假冒用户的身份,同样,在向用户发送的消息中他假冒服务器的身份。
(4)口令猜测攻击
假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。利用该口令字典,入侵者主要用以下两种方法进行攻击,它们是:
(a)离线攻击
入侵者记录过去的通信,然后遍历口令字典,查找与所记录的通信相一致的口令。如果发现了这样的口令,那么入侵者就能够断定这是某个用户的口令。
(b)在线攻击
入侵者重复地从口令字典中选取口令并用它来假冒合法用户。如果假冒失败了,入侵者就把这个口令从口令字典中删除,再用其它的口令进行尝试。在实践中,防止这种在线攻击的标准方法是限制口令到期之前允许用户登录失败的次数,或降低允许用户登录的频率。
(5)内部人员辅助攻击
很多时候入侵者可能得到内部人员的帮助进行攻击。实际上,入侵者往往就是系统中的一个用户,因此我们应该考虑到这种可能性,即入侵者拥有自己的账户及相应的合法口令。我们应该确保在这种情况下,协议能够防止入侵者用合法的账户来攻击别人的账户。
(6)秘密揭露
入侵者可能会偶尔得到应该被参与协议的主体保持为秘密的敏感数据(如当服务器或用户被损害时)。在这种情况下,协议的目标就是使得密钥或文件的泄露对整个系统的 影响 最小化。特别是,在口令机制的环境中,我们需要考虑泄露的密钥对导出的会话密钥(反之亦然)的影响以及损害口令文件或服务器密钥所产生的影响。
设计安全口令机制的困难之处起因于口令空间通常较小,比随机的密钥更容易受到攻击。特别是离线口令猜测攻击之类的穷尽搜索攻击非常有效。而且,当使用口令作为加密密钥时,我们总是假设即使口令是从一个很小的口令集中选取,加密函数仍然是安全的。这些假设非同寻常,以至要想形式化地定义这些可以证明现有协议安全性的加密函数的需求是非常困难的。
本文使用另外一种机制来避免这些 问题 ,即在激励-响应中,不是用口令作为加密密钥,而是用服务器的公钥来对响应进行加密(服务器上存储了公钥及其相应的私钥),以抵抗传统的激励-响应机制中的口令猜测攻击。
关键词身份认证 公共口令 公钥技术
1引言
开放式网络上不断增长的重要应用对网络安全提出了迫切的需要,身份认证系统作为网络安全的第一道防线,其安全性对整个网络的安全具有十分重要的作用。实现身份认证的方式有多种,如基于IC卡方式的身份认证系统(即每台用户终端上安装一个IC卡读解器),但这种系统费用较大,难以实现。另外一种更常见的方式是运用用户名/口令机制,但就 目前 来看,这种机制由于没有足够的安全保护而容易受到窃听、重放、口令猜测等攻击。本文介绍了非对称的环境下使用口令来实现身份认证的机制[1],以防止上述各种攻击。非对称环境是指认证服务器能够存储一个强秘密信息(如公钥体制中的私钥),但用户只用一个弱的人为记忆的口令作为唯一的认证密钥。在一些应用中这种非对称的情况很 自然 地出现了,如远程用户认证,这时用户并不携带任何能够存储一个强秘密信息的 计算 设备(如便携式电脑或智能卡)。还有一些协议的应用如SSL和SET也会出现这种情况,其中客户端并不拥有认证服务器的公钥。因此,本文利用公共口令的概念,设计了基于激励-响应的加密口令身份认证协议。
2口令机制及其安全性
2.1常见的口令机制
(1)口令传递
最简单的口令机制是以明文的形式把口令从用户传送到服务器。为了验证口令,服务器中存储了一个文件,其中包含了口令的明文形式(附于用户名)或口令在单向函数下的映射。后者是Unix系统的经典 方法 ,而且还用于ftp和telnet的远程认证。在远程认证的情况下,这种机制的缺陷很明显,因为口令会很容易地被窃听者从网络上读取下来。
(2)激励-响应
更为安全的口令认证形式使用的是激励-响应机制。在这种情况下,口令从不以明文的形式传送,而是用来对每一次认证时认证服务器所选取的激励进行秘密的函数计算。这提供了认证的新鲜性,但也使口令容易受到口令猜测攻击。这种攻击是指:假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。入侵者首先记录包含了激励和响应的认证会话,然后用一些可能的口令对激励进行计算,看能否得到同样的响应。如果能的话,就说明这是一个合法的用户口令。不幸的是,在现实生活中,很多口令都可以在这样的口令字典中找到,因此这种攻击是非常有效的。
(3)一次性口令
激励-响应机制的一种变型称为一次性口令机制,在这种机制下,用户每次验证自己的身份时使用不同的口令。如果这些一次性口令是从一个用户记忆的口令推导而来的,那么这个用户记忆的口令仍然容易受到口令猜测的攻击。另外一种方法是把这些一次性口令全部写在纸上让用户保存,这样就可以防止上述攻击,且这样做有一个优势,即口令不会被重用。但是,对于用户来说,需要携带一大批的口令,保证这些口令的安全和保密,并且每次都要输入相对复杂的字符串,这是非常不方便的。另外,这种机制也容易受到几种攻击,如口令被偷走(从记录口令的纸片上复制),中间人攻击等。
(4)简单的认证之外的其它认证方式
(a)双向认证
双向认证不但要求用户向服务器证明自己的身份,而且要求服务器向用户证明自己的身份。这对于避免中间人攻击和服务器假冒攻击是很重要的。在完全不可信的网络如Internet上的远程认证中,双向认证是非常重要的。
(b)认证的密钥交换
运用这种机制,在协议运行完成时,用户和服务器就可以共享一个秘密的会话密钥,这个会话密钥可用来验证或加密当前会话中的后继信息。这防止了入侵者拦截会话以及数据伪造和数据暴露。
(c)用户身份保护
运用这种机制,窃听认证协议的人就不能得知用户的身份,这对于移动用户的远程认证来说尤为重要。
2.2对口令协议的基本攻击
(1)窃听
入侵者搭线窃听,试图从正在进行的通信中获得有用的信息。
(2)重放
入侵者记录过去通信中的消息并在以后的通信中重放它们。
(3)中间人攻击
入侵拦截各主体之间的消息,并用自己的消息来取代它们。在向服务器发送的消息中他假冒用户的身份,同样,在向用户发送的消息中他假冒服务器的身份。
(4)口令猜测攻击
假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。利用该口令字典,入侵者主要用以下两种方法进行攻击,它们是:
(a)离线攻击
入侵者记录过去的通信,然后遍历口令字典,查找与所记录的通信相一致的口令。如果发现了这样的口令,那么入侵者就能够断定这是某个用户的口令。
(b)在线攻击
入侵者重复地从口令字典中选取口令并用它来假冒合法用户。如果假冒失败了,入侵者就把这个口令从口令字典中删除,再用其它的口令进行尝试。在实践中,防止这种在线攻击的标准方法是限制口令到期之前允许用户登录失败的次数,或降低允许用户登录的频率。
(5)内部人员辅助攻击
很多时候入侵者可能得到内部人员的帮助进行攻击。实际上,入侵者往往就是系统中的一个用户,因此我们应该考虑到这种可能性,即入侵者拥有自己的账户及相应的合法口令。我们应该确保在这种情况下,协议能够防止入侵者用合法的账户来攻击别人的账户。
(6)秘密揭露
入侵者可能会偶尔得到应该被参与协议的主体保持为秘密的敏感数据(如当服务器或用户被损害时)。在这种情况下,协议的目标就是使得密钥或文件的泄露对整个系统的 影响 最小化。特别是,在口令机制的环境中,我们需要考虑泄露的密钥对导出的会话密钥(反之亦然)的影响以及损害口令文件或服务器密钥所产生的影响。
2.3口令协议的安全性
设计安全口令机制的困难之处起因于口令空间通常较小,比随机的密钥更容易受到攻击。特别是离线口令猜测攻击之类的穷尽搜索攻击非常有效。而且,当使用口令作为加密密钥时,我们总是假设即使口令是从一个很小的口令集中选取,加密函数仍然是安全的。这些假设非同寻常,以至要想形式化地定义这些可以证明现有协议安全性的加密函数的需求是非常困难的。
本文使用另外一种机制来避免这些 问题 ,即在激励-响应中,不是用口令作为加密密钥,而是用服务器的公钥来对响应进行加密(服务器上存储了公钥及其相应的私钥),以抵抗传统的激励-响应机制中的口令猜测攻击。
3公钥技术与公共口令
3.1采用公钥技术的必要性
收藏