附加码技术与口令保护.pdfVIP

大会论文 ·79· 附加码技术与口令保护 冷 巍 北京图形研究所 摘要：附加码是一种原理简单的安全技术，在抵御网络攻击、保护口令等方面得到广泛的 应用。本文针对附加码技术的特点，讨论了提高附加码本身安全性的方法，并分析 了附加码技术在抵御多种口令攻击、增强口令安全性方面的作用。 关键词：附加码 口令 网络安全 随着网络应用的高速发展，计算机网络已经深 入到社会生活的每一个领域，为社会发展带来强大 推动力的同时，突出的安全问题也严重地影响了网 络的健康发展，日益成为人们关注的焦点。正如病毒 的泛滥造就了反病毒技术的成功，黑客的猖獗推动 了入侵检测与漏洞扫描等反制技术的发展，木马技 术的兴起也促进了反窃密技术的研究，各种安全技 术与理论的建立与不断完善，为网络与信息安全问 题提供了有效的解决方案。附加码技术作为近年来 出现的一种简单而有效的安全技术，在维护网站安 全、防御口令攻击等方面得到了广泛应用。 一、附加码技术 1．什么是附加码 所谓的附加码是应对在线破解密码口令的一种 安全技术，它是由服务器随即生成的一个字符和数 字序列，该字符串通常需要用户进行识别输入，作为 用户注册登录进行认证身份的附加信息，常用的附 加码如图1所示。 图1 常用附加码 2．附加码的特点 (1)附加码是随机生成的。 (2)附加码只是为防止程序猜测等目的而生成的 无意义字符串，不需要用户记忆。 (3)附加码只对当前服务有效，并具备时效性，只 在一定时间内有效。如一般网页规定附加码的有效时 间为5分钟。 3．附加码安全 附加码作为一种安全技术，其根本就在于其具备 一定的信息隐藏性，使得一般程序化手段难以进行提 取，因此，提高附加码的安全性，必须从增加信息提取 难度人手。 (1)文本化的附加码 文本化的附加码由服务器随机产生，但其基本不 具备信息隐藏性，因此，在其生命周期的两个阶段都 可能被截取而失效：在网络传输阶段，攻击者通过网 络嗅探工具很容易截获和提取文本方式传输的附加 码；对于附加码的传输安全，虽然可以采用加密传输 加以解决，但最终在客户端的页面显示上，仍然很容 易被提取，因此文本方式的附加码存在致命的缺陷， 在实际应用中已经被淘汰。 (2)图形化的附加码 图形化的附加码首先是由服务器随机产生文本 序列。，然后与背景图片进行信息融合生成最终的附加 码。图形化附加码的安全强度主要基于图像识别的难 度。图形化附加码从两个方面增加了信息提取难度： ·舳· 第二十次全国计算机安全学术交流会论文 一方面，在信息传输和页面显示中不存在直接可提 取的附加码文本，要进行图像一文本的程序转换必 须通过图像识别；另一方面，针对图像识别技术，可 在信息融合过程中添加干扰信息，同时进行图像混 杂、扭曲或变形处理，增加图像识别的难度，从而提 高图像识别的算法复杂度，降低识别正确率，以达到 用户可识别，而无法进行程序化识别的最终目标。提 高图形化附加码安全强度的方法主要有： a)背景干扰。选择变化的背景图片，是降低图像 识别率的基本方法。通常有不同的背景色、背景点、 背景图、渐变背景色、网格背景等等，如图2所示： 专 ； #—奄丽蹿避o．；Ⅵ，㈨■·●～‘!。——11’o’’-．-』一 ÷j 2 ； Z。 童： ； ；o． “． j 图2背景干扰图 b)前景变形。通过对前景图形(通常是数字、字 符、汉字等)进行倾斜、膨化、波浪化、风化、背景图形 凹凸、球状扭曲等等效果来形成，如图3所示： 一川心隧、、、、、、 ．一一一一一一，一一 纬as诞 一—— 图j前景变碇 c)信息码变换。通过改变字符、数字等的字体、 颜色、位置、大小和增加多余线条来干扰图像的识 别．。—如，图一4一所≥录一 二、附加码抵御口令入侵 图4信息码变换 抵御网络口令入侵，避免有不良用户使用程序猜 测其它用户密码保护资料是当前附加码的主要应用。 附加码可以防止攻击者采用穷举攻击或者字典攻击 的方式来实施口令入侵。穷举攻击是指攻击者通过遍 历口令空间的所有口令，从而找出正确口令的方法， 使用穷举攻击方法破解口令所需要的时间是该口令 长度的几何函数，也取决于口令的几处字符集的大小 等因素；字典攻击则是一种针对弱口令的攻击方法， 自动从计算机字典中取出所有条目，逐次作为口令进 行尝试，最终破解正确口令。以上的这些攻击都完全 依赖于高度的程序化和自动化，以及计算机的高速计 算能力，现代计算机已经可以实现在几分钟甚至几秒 内破解8—16位用户口令，任何基于简单口令的安全 在口令入侵面前不堪一击。 采用附加码可以很好地抵御穷举攻击和字典攻 击。由于每次页面访问的附加码都不相同，同时安全 程度较高的附加码使得程序化的信息提取变得不可 能，而必须由用户进行识别输入。由于人工因素的引 入，使得原本单位时间内高密度的攻击骤减，由基