基于SHA的一次性口令认证技术.docx

基于 SHA 的一次性口令认证技术汤鹏志1 ,李黎青1 ,左黎 基于 SHA 的一次性口令认证技术 汤鹏志1 ,李黎青1 ,左黎明2 (1 . 华东交通大学 ,江西 南昌 330013 ;2 . 江西师范大学 ,江西 南昌 330027) 摘要 :针对网络信息系统的口令验证的安全问题 ,提出一种基于 SHA 和一次性口令验证方案 ,实践证明该方案具有很高的安 全性和实用性. 关 键 词 : SHA ;一次性口令 ;信息安全工程 中图分类号 : TP393. 08 文献标识码 :A 口令安全威胁最大. 目前黑客的木马编写技术水平 比我们想像的要更加高明的多 ,尤其是基于多线程 的反弹端口式木马. 而且现在这类木马做得越来越 隐蔽 ,与系统进程捆绑 , 一般的杀毒程序和入侵检 测系统对其无效. 当数据库服务器和数据库应用服 务端被注入木马后 ,现有的所有安全保密措施形同 虚设 ,木马将把键盘输入的用户名和密码记录下来 以电子邮件或其它方式发送给攻击者. 只要获得了 用户 ID 和密码 ,所有敏感数据将暴露无遗 ,因此用 户登陆验证方法有待于改进. 但遗憾的是目前大多 数网络信息工程都没有很重视口令的安全性 ,而且 相关的工程实践文献和理论文献都比较少. 在文献 1 中 ,Ross J . Anderson 比较系统地归纳了一些常见 的问题 ,例如 :口令劫持 、端口监听 、中间人攻击 、木 马技术 、缓冲区溢出 、分布式拒绝服务攻击等 ,并提 出了一些解决办法 : 采取客户端加密 、随机密钥 、端 到端的加密等方法. 另外 Roger Needham 等人也提出 了一些与口令验证协议相关的理论 : 例如挑战 - 应 答机制 、零知识证明 . 1 引 言 目前 ,随着人们生活信息化水平的提高 , 网上 支付 、网上划帐 、网上金融交易行为随着电子商务 的展开越来越普及 ,大量重要的数据存储在网络数 据库中 ,并通过网络共享 , 为人们的生活提供了方 便 , 但 是 也 带 来 了 巨 大 的 信 息 安 全 隐 患 和 金 融 风 险 . 为了保证网络信息系统的安全性 , 我们除了要 规范信息系统的管理 ,同时还需要对现有的系统进 行安全加固 . 通过参阅近年来大量的黑客教程 、黑 客技术文章和攻击日志 ,我们分析了针对网络数据 库系统的黑客攻击行为的主要手法和技巧 ,黑客攻 击主要技术方法有以下几种 : 缓冲区溢出技术 、木 马技术 、计算机病毒 ( 主要是宏病毒和网络蠕虫) 、 分布 式 拒 绝 服 务 攻 击 技 术 、暴 力 破 解 - 穷 举 攻 击 (Brute Force) 、sniffer 报文截获. 在大部分的黑客技术文献和攻击日志中我们 发现一个很重要的相似特征 : 几乎没有多少攻击行 为是针对于协议和密码学算法的 ,窃取系统口令文 件和偷听网络连接获取用户 ID 和口令是最常见的 攻击方式 ,大部分攻击的主要方向和目的是得到用 户 ID 和用户密码 ,其中以各种形式的木马对用户的 2 基于 SHA 的一次性口令认证技术 消息摘要是一种验证消息完整性的技术. 消息 收稿日期 :2004 - 10 - 20 作者简介 :汤鹏志 (1961 - ) , 男 ,江西九江人 , 副教授 ,主要研究方向 :信息安全工程. 56华 东 交 通大学 学 报2005 年摘要获取消息作为输入并生成位块 56 华 东 交 通 大 学 学 报 2005 年 摘要获取消息作为输入并生成位块 ( 通常是几百位 长) ,该位块表示消息的指纹 ,是一个定长的输出序 列 . 消息中很小的更改 ( 比如说 ,由闯入者和窃听者 造成的更改) 将引起指纹发生显著更改. 消息摘要 函数是单向函数 ( Hash 函数) . 从消息生成指纹是很 简单 的 事 情 , 但 生 成 与 给 定 指 纹 匹 配 的 消 息 却 很 难 . 大多数强函数使用散列法 , 比较常见的消息摘 送的信息都不相同 , 网上传送的口令只使用一次 , 攻击者就无法用窃取的口令来访问系统 ,并且传输 时我们采用 AES 算法加密 ,这样可以有效地防范第 (2) 类攻击 (通过报文截获得到用户 ID 和口令的攻 击) 和第 (3) 类攻击 ( 各种形式的重放攻击和中间人 攻击) . 除了能防止这三类攻击外 ,还能有效的防范 字典攻击. 要算 法 有 MD5 和 SHA ( 包 括 SHA - SHA - 512 等) . 1 、SHA - 256 、 3 实现细节与关键代码 2. 1 基于 SHA 的分权式一次性口令认证基本原理 为防止入侵者得到用户 ID 和口令 ,一个比较强 的口令系统必须能够防范以下几类攻击