电子认证技术发展 - 科研在线新一代团队协作工具.pptVIP

电子认证技术发展 荆继武、林璟锵、王展、高能 电子认证技术 Certification Authentication 电子认证，是在信息系统中确认通信方的身份及属性信息的行为过程 典型的密码应用技术 电子认证技术的基本方法 从用户凭证分类 What You Know（如口令） What You Have（如硬件令牌） What You Are（如生物特征） …… 认证过程的安全性——围绕密码算法和密码协议 以上不同的方法，通常都涉及密码技术 口令传输/校验，涉及密码算法和协议 硬件令牌中，包含用户私钥或共享的对称密钥 生物特征的挑战响应协议，使用密码算法 报告主要内容 口令身份认证——最基本/最常用的身份认证 新型认证技术——近年来的发展热点之一 图形口令/生物和行为特征/多因素/单点登录 密钥管理技术 通过密钥的生成、分发、协商、使用等，实现密钥与身份的关联，然后利用各种密码算法和协议，实现对通信实体的身份认证 PKI技术 密钥管理技术的重要一类，通过CA的数字证书服务，管理用户的公开密钥和身份信息 报告成文的主要素材 近5年来，公开发表的会议论文和期刊论文 考虑如下原因，报告中的成果内容，可能有所遗漏： 密码技术的敏感性，不是所有成果都公开发表 有些技术成果体现为专利或产品，但因为专利数量庞大、产品介绍缺乏技术细节，本报告未涉及 篇幅和时间所限，难以确保收集所有成果 报告提纲 国际研究进展 国内研究进展 国内外比较分析 发展趋势与展望 国际研究进展 口令身份认证 新型认证技术 密钥管理技术 PKI技术 口令身份认证 历史最悠久、最常用的身份认证 最主要矛盾：可记忆 vs. 难以猜测/穷举 口令协议已经较为成熟 如SRP/EKE/SPEKE等 近年来的主要发展 口令强度度量 口令保护和猜测攻击 口令强度度量 什么样的口令更强？更难猜测？ 相同的口令，在不同的度量下，强/弱？ 主流网站系统，衡量不一，误导用户 [NDSS] 是否有科学一致的标准？ 美国NIST SP800-63的口令强度度量 基于香农信息熵 [ACM CCS]指出，以上度量标准，存在问题 基于大规模的实际口令分析；攻击猜测 基于马尔科夫模型的自适应口令强度评估[NDSS] 潜在弱口令实时提示，避免选择弱口令[USENIX Security] 提示弱口令，到底弱在哪里？一遍遍修改…… 口令保护和猜测 服务器端保护和猜测攻击 Honeyword [CCS] 服务器端同时同时存储多个“假”口令校验值 一旦口令文件泄露，如果攻击者使用假口令，报警 基于自然语言的口令猜测[NDSS] 提高暴力猜测攻击成功率 Probabilistic Context-Free Grammar [USENIX Security] 实际数据分析表明，用户倾向于使用他们熟悉的模式、或母语相关的格式 例如中文拼音或英文单词、日期的书写顺序 口令的跨站猜测算法[NDSS] 43-51%的用户在不同网站系统之间，使用相同口令 口令保护和猜测 用户端输入 触屏设备Leakage-resilient口令输入[AsiaCCS] 输入口令时，屏幕出现随机数字 用户输入“真实口令与随机数字的运算结果” 减少验证码识别测试 通常，口令失败一定次数后（如3次） ，启用验证码识别 防范在线猜测攻击 某些时候，影响用户体验 [IEEE TDSC]结合IP白名单、过期Cookie，标记已知用户，对特定客户端，提高启用验证码的失败次数 口令管理器安全 [ESORICS]口令文件存储有隐患，泄露信息 Google Chrome, Firefox, IE, … [USENIX Security]著名的5个口令管理器有漏洞、其中4个带有严重漏洞 LastPass/RoboForm/My1login/PasswordBox/NeedMyPassword 国际研究进展 口令身份认证 新型认证技术 密钥管理技术 PKI技术 新型认证技术 图形口令认证 生物和行为认证 多因素认证 单点登录系统Single Sign-On 图形口令认证 基于点击的图形口令 从背景图片中，选出特定的若干点 PassMap方案[AsiaCCS] 从世界地图中，选定若干地点 热点攻击[Journal of Computer Security, ACSAC] 多数用户选择容易识别或有特色的位置 降低猜测口令的难度 针对背景图，每个点的可记忆程度模型[CCS] 可用于构建基于图形口令的字典攻击 特定图片的识别 Facebook的Social Authentication，选出多名好友照片 如果好友照片在网络上大量共享，易于攻击[ACSAC] 模糊化和变形处理，好朋友可识别、攻击者不可识别[CCS] 生物和行为认证 针对人脸识别的攻击[AsiaCCS] 由于社