基于口令的安全用户认证模型.docVIP

基于口令的安全用户认证模型 　　摘 要:对基于口令的访问控制进行研究,应用DES,SHA-512和Diffe-Hellman密钥交换协议,提出一个基于口令的安全用户认证模型。此模型可以抵抗中间人攻击、重放攻击、字典攻击和拒绝服务攻击,同时还能提供完善向前保密。基于提出的安全用户认证模型应用HOOK技术,给出了一个基于C/S方式的原型实现。 　　关键词:访问控制;身份认证;弱口令;哈希函数;HOOK;DES;Diffe-Hellman密钥交换协议 　　中图分类号:TP309 文献标识码:A 　　文章编号:1004-373X(2009)21-079-04 　　 　　Secure User Authentication Model Based on Password 　　HUANG Wei,MENG Bo,LI Yunchao 　　 (College of Computer,South-Central University for Nationalities,Wuhan,430074,China) 　　Abstract:Access control based on the password is researched,a secure user authentication model with DES,SHA-512 and Diffe-Hellman key exchange protocol is proposed.This model not only prevents MiM attack,replay attack,guess password attack and denial of service attack,but also provides the perfect forward secrecy.A C/S-based prototype is developed with hook technology. 　　Keywords:access control;identity authentication;weak password;Hash function;HOOK;DES;Diffe-Hellman key exchange 　　 　　随着网络在人们生活中的不断深入,网络安全越来越受到人们的关注。身份认证是网络安全中最令人关心的热点问题之一。通常,用户在使用网络服务前必须向认证服务器提供一个对应的身份标识以及相应的秘密信息用于身份认证,网络服务提供商根据认证结果决定是否提供所需的网络服务及用户权限。目前网络应用大致利用以下三种类型的秘密信息实现身份认证机制:用户拥有的,比如利用智能IC卡存放一个足够大的秘密随机数(128/256 b)进行身份认证;用户知道的,比如用户利用自选的口令进行身份认证;用户的特征,比如用户用自身的生物特征,例如指纹、声纹、视网膜、脸型等进行身份认证。在这三类机制中,由于成本最低、实施方便使得基于口令的认证方式应用最为广泛。 　　 　　1 相关工作 　　 　　目前主要应用两种口令管理方式来增强口令的安全性:一种是一次口令(OneTime Password,OTP)的方式[1,2];另外一种是基于Hash函数的口令管理方式。对于一次口令的方式中用户在每次认证的时候,所提交的认证信息都是不同的,使整个认证过程更加安全,从而能够较好地应用在Internet环境下。但这样的OTP认证系统每隔一段时间需要用户重新初始化系统,这使得服务器的额外开销比较大;另外,用户在认证时需要进行多次Hash运算,在应用上也不够方便。 　　目前的研究热点主要集中在基于Hash函数的口令管理方式上,此方式的特点是真正的口令是由Hash函数计算产生,如Gabber等提出的LPWA[3],Ross等提出的PwdHash[4],Halderman等提出的Password Multiplier[5]和Yee等提出的Passpet[6]方案。LPWA和PwdHash方案都是将用户主口令和站点域名的Hash值作为真正的账号口令。这两个方案解决了多个口令的维护问题,但由于Hash函数的运算速度很快,它们容易遭到暴力破解。Password Multiplier和Passpet方案首先用主口令和用户信息经过多次执行Hash运算得到中间变量v,并保存在本地主机上,然后使用主口令、v和Web站点域名多次执行Hash运算得到账号对应的口令,两次计算中都执行迭代Hash运算,增加了计算的时间复杂度,提高了暴力破解的难度。以上基于Hash函数的方案存在明显的安全漏洞,只要攻击者攻破主口令,就可以计算出用户的所有账号口令,并且用户不能修改单个账号的口令。 　　Gajek等[7]提出应用每个用户使用高熵的