返回
口令认证协议的分析与设计

口令认证协议的分析与设计

ID:19221149

大小:18.27 KB

页数:9页

时间:2018-09-29

口令认证协议的分析与设计_第1页
口令认证协议的分析与设计_第2页
口令认证协议的分析与设计_第3页
口令认证协议的分析与设计_第4页
口令认证协议的分析与设计_第5页
资源描述:

《口令认证协议的分析与设计》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、口令认证协议的分析与设计摘要本文在分析常见的口令机制及其安全性的基础上介绍了一种非对称环境下的口令认证机制以及公共口令的概念。结合网络应用的具体要求,设计出安全的口令身份认证协议,并提出可行的实现方案。关键词身份认证 公共口令 公钥技术开放式网络上不断增长的重要应用对网络安全提出了迫切的需要,身份认证系统作为网络安全的第一道防线,其安全性对整个网络的安全具有十分重要的作用。实现身份认证的方式有多种,如基于IC卡方式的身份认证系统,但这种系统费用较大,难以实现。另外一种更常见的方式是运用用户名/口令机制

2、,但就目前来看,这种机制由于没有足够的安全保护而容易受到窃听、重放、口令猜测等攻击。本文介绍了非对称的环境下使用口令来实现身份认证的机制[1],以防止上述各种攻击。非对称环境是指认证服务器能够存储一个强秘密信息,但用户只用一个弱的人为记忆的口令作为唯一的认证密钥。在一些应用中这种非对称的情况很自然地出现了,如远程用户认证,这时用户并不携带任何能够存储一个强秘密信息的计算设备。还有一些协议的应用如SSL和SET也会出现这种情况,其中客户端并不拥有认证服务器的公钥。因此,本文利用公共口令的概念,设计了基于

3、激励-响应的加密口令身份认证协议。常见的口令机制口令传递最简单的口令机制是以明文的形式把口令从用户传送到服务器。为了验证口令,服务器中存储了一个文件,其中包含了口令的明文形式或口令在单向函数下的映射。后者是Unix系统的经典方法,而且还用于ftp和telnet的远程认证。在远程认证的情况下,这种机制的缺陷很明显,因为口令会很容易地被窃听者从网络上读取下来。激励-响应更为安全的口令认证形式使用的是激励-响应机制。在这种情况下,口令从不以明文的形式传送,而是用来对每一次认证时认证服务器所选取的激励进行秘密

4、的函数计算。这提供了认证的新鲜性,但也使口令容易受到口令猜测攻击。这种攻击是指:假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。入侵者首先记录包含了激励和响应的认证会话,然后用一些可能的口令对激励进行计算,看能否得到同样的响应。如果能的话,就说明这是一个合法的用户口令。不幸的是,在现实生活中,很多口令都可以在这样的口令字典中找到,因此这种攻击是非常有效的。一次性口令激励-响应机制的一种变型称为一次性口令机制,在这种机制下,用户每次验证自己的身份时使用不同的口令。如果这些一次性口令是从一

5、个用户记忆的口令推导而来的,那么这个用户记忆的口令仍然容易受到口令猜测的攻击。另外一种方法是把这些一次性口令全部写在纸上让用户保存,这样就可以防止上述攻击,且这样做有一个优势,即口令不会被重用。但是,对于用户来说,需要携带一大批的口令,保证这些口令的安全和保密,并且每次都要输入相对复杂的字符串,这是非常不方便的。另外,这种机制也容易受到几种攻击,如口令被偷走,中间人攻击等。简单的认证之外的其它认证方式双向认证双向认证不但要求用户向服务器证明自己的身份,而且要求服务器向用户证明自己的身份。这对于避免中间

6、人攻击和服务器假冒攻击是很重要的。在完全不可信的网络如Internet上的远程认证中,双向认证是非常重要的。认证的密钥交换运用这种机制,在协议运行完成时,用户和服务器就可以共享一个秘密的会话密钥,这个会话密钥可用来验证或加密当前会话中的后继信息。这防止了入侵者拦截会话以及数据伪造和数据暴露。用户身份保护运用这种机制,窃听认证协议的人就不能得知用户的身份,这对于移动用户的远程认证来说尤为重要。2.对口令协议的基本攻击窃听入侵者搭线窃听,试图从正在进行的通信中获得有用的信息。重放入侵者记录过去通信中的消息

7、并在以后的通信中重放它们。中间人攻击入侵拦截各主体之间的消息,并用自己的消息来取代它们。在向服务器发送的消息中他假冒用户的身份,同样,在向用户发送的消息中他假冒服务器的身份。口令猜测攻击假设入侵者拥有一个相对较小的口令字典,其中包含了许多普通的口令。利用该口令字典,入侵者主要用以下两种方法进行攻击,它们是:离线攻击入侵者记录过去的通信,然后遍历口令字典,查找与所记录的通信相一致的口令。如果发现了这样的口令,那么入侵者就能够断定这是某个用户的口令。在线攻击入侵者重复地从口令字典中选取口令并用它来假冒合法

8、用户。如果假冒失败了,入侵者就把这个口令从口令字典中删除,再用其它的口令进行尝试。在实践中,防止这种在线攻击的标准方法是限制口令到期之前允许用户登录失败的次数,或降低允许用户登录的频率。内部人员辅助攻击很多时候入侵者可能得到内部人员的帮助进行攻击。实际上,入侵者往往就是系统中的一个用户,因此我们应该考虑到这种可能性,即入侵者拥有自己的账户及相应的合法口令。我们应该确保在这种情况下,协议能够防止入侵者用合法的账户来攻击别人的账户。秘密揭露入侵者可能会偶尔得

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。