本文選題：密碼　切入點(diǎn)：密碼策略　出處：《北京交通大學(xué)》2017年碩士論文

【摘要】：在現(xiàn)有的認(rèn)證方法中,口令是最常用的認(rèn)證方法。盡管口令已經(jīng)被人們使用了數(shù)十年,對于蓄意破壞信息系統(tǒng)安全性的攻擊者來說,基于口令的系統(tǒng)仍然很容易受到攻擊�？诹钫J(rèn)證系統(tǒng)的漏洞來源于用戶自身以及所選用的口令強(qiáng)度。用戶傾向于選擇簡單的口令,比如自己的名字或電話號碼,當(dāng)遇到要求使用不同的登錄口令時(shí),他們習(xí)慣于使用相同的或相近的口令。另一方面,口令強(qiáng)度檢查器在口令強(qiáng)度上給用戶的反饋中顯示出不一致的行為。關(guān)于口令認(rèn)證存在這幾個(gè)問題。首先,將最小長度和字符組成的類型作為口令強(qiáng)度要求的策略在信息行業(yè)中仍然是主要手段,令人驚訝的是,大多數(shù)網(wǎng)站都將其作為唯一手段。其次,信息行業(yè)中能夠使用的衡量口令強(qiáng)度并反饋給用戶的指標(biāo)缺乏一致性。第三,大多數(shù)指標(biāo)仍然是基于熵的測量,主要考慮口令字符的長度和組成。攻擊者利用用戶在創(chuàng)建口令時(shí)與網(wǎng)站檢查器給出的建議不一致或不準(zhǔn)確的弱點(diǎn)來實(shí)施口令破解,在這方面,信息行業(yè)如何應(yīng)對當(dāng)前的問題其實(shí)有很多方針和建議。許多組織試圖實(shí)施一個(gè)要求長度和字符組成的口令策略和檢查器,來迫使用戶創(chuàng)建強(qiáng)口令。然而,對于基于口令認(rèn)證系統(tǒng)的安全性來說,如何測量口令的強(qiáng)度是一個(gè)關(guān)鍵問題。口令強(qiáng)度是防御者和攻擊者之間的一個(gè)博弈,也是一個(gè)動態(tài)過程,這種動態(tài)過程需要適當(dāng)?shù)慕�。在作者的觀察中,一些網(wǎng)站試圖將這種動態(tài)策略納入他們的網(wǎng)站口令檢查器中。作者相信,本文的辦法是通過整合網(wǎng)站策略來建立一個(gè)先進(jìn)的口令檢查器。本論文對代表性的網(wǎng)站的口令安全措施的實(shí)現(xiàn)與實(shí)踐進(jìn)行大規(guī)模數(shù)據(jù)分析,發(fā)現(xiàn)了網(wǎng)站口令檢查器存在的各種問題,開發(fā)了一種基于神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)網(wǎng)站口令檢查策略的口令強(qiáng)度檢查器。首先選擇2016年6月Alexa排名前100的網(wǎng)站(排除了那些沒有用戶注冊頁面、有色情內(nèi)容、或需要社會安全號碼來注冊的網(wǎng)站),從每個(gè)選定的網(wǎng)站(通過訪問用戶注冊頁面)獲取了口令策略(口令要求)、用戶建議、用戶反饋、口令指標(biāo)和其它類似的信息。本論文使用的訓(xùn)練口令集合是從不同站點(diǎn)收集并保存在Skull安全維基百科的已遭泄漏的用戶口令。除此之外,還有約40%的口令是通過Rockyou 口令的leet轉(zhuǎn)換而來的。本文使用選中的10個(gè)網(wǎng)站檢查器分析了所收集的口令的強(qiáng)度。我們從Chrome調(diào)試器獲取到了使用客戶端檢查器的網(wǎng)站的JavaScript腳本,然而,我們使用php curl請求來訪問這些網(wǎng)站的服務(wù)器端檢查器,并且采用網(wǎng)站的口令檢查來訓(xùn)練一個(gè)基于多層感知器(MLP)模型的神經(jīng)網(wǎng)絡(luò),從而構(gòu)成了融合各種網(wǎng)站口令策略的口令檢查器。從分析的數(shù)據(jù)可以發(fā)現(xiàn),不同的網(wǎng)站有不同的口令策略來適應(yīng)他們的業(yè)務(wù)性質(zhì)。那些包含隱私信息(例如用于在線交易的銀行帳號或用于注冊的電子郵件地址)的網(wǎng)站往往需要嚴(yán)格的口令策略。另一方面,諸如博客之類的網(wǎng)站沒有嚴(yán)格的口令策略,這樣用戶就可以用最少的代價(jià)來創(chuàng)建口令。制定不嚴(yán)格的口令策略的原因之一是為了吸引更多的用戶,因?yàn)橛脩敉ǔ谶@個(gè)過程中施以最小的認(rèn)知努力。最小字符長度、字符組成類型限制、禁用字典詞和過于簡單的口令,這些都是在網(wǎng)站上所觀察到的口令策略。但是,最小字符長度是最主要的口令策略,實(shí)際上是所有被調(diào)查的網(wǎng)站都是這樣實(shí)現(xiàn)的,有一些網(wǎng)站允許的最小字符長度可以小于6,相對來說,這些網(wǎng)站不從事存儲或傳輸用戶機(jī)密信息的業(yè)務(wù)功能,這樣,可以允許用戶用最小的努力來創(chuàng)建口令。大多數(shù)網(wǎng)站都要求口令的最小長度為6或以上。盡管研究人員和不同的指導(dǎo)方針建議,信息行業(yè)中在最短口令長度要求方面仍然存在著不一致的問題。考慮到口令字符組成的策略,有些網(wǎng)站在這方面并沒有過多要求,但只要求口令的最小字符長度,只要滿足這個(gè)要求,就不強(qiáng)迫用戶必須創(chuàng)建由不同類型的字符組成的口令。相反,有些網(wǎng)站在字符組成上就有要求,甚至一些網(wǎng)站有特定的要求,比如至少包含大寫字母、小寫字母、數(shù)字和符號中的兩種類型。一些實(shí)施嚴(yán)格的字符組成策略的網(wǎng)站是通過強(qiáng)制用戶從大量的字符中進(jìn)行選擇來增加口令的隨機(jī)性,但是,那些沒有實(shí)現(xiàn)組合策略的網(wǎng)站賦予用戶全部的權(quán)限,讓他們可以選擇任何所期望的字符。與最小長度策略相似,可以發(fā)現(xiàn)字符組合的策略中也存在不一致的問題。至于字典詞或被禁用的簡單口令(例如qwerty123)的策略,僅有很少量的網(wǎng)站給予實(shí)施。很明顯,攻擊者使用字典詞或被禁用的簡單口令來建模破解口令的算法,因此,通過字典或禁用的簡單詞語創(chuàng)建的口令很可能會受到攻擊。在這方面,對該策略的強(qiáng)調(diào)并不令人滿意。對用戶進(jìn)行口令創(chuàng)建的教育不足是提高口令安全性的一個(gè)重要問題。教導(dǎo)用戶的方法之一是在注冊網(wǎng)頁中提供一項(xiàng)建議或信息,說明安全口令的重要性及其特性。從分析中發(fā)現(xiàn),幾乎所有的網(wǎng)站中向用戶提供的口令策略,主要都是針對最短口令長度的要求,卻不告知能夠成為"強(qiáng)口令"的口令特征是怎樣的。因此,總的來說,對用戶關(guān)于安全口令重要性及其特征的教育短板在本文研究中得到發(fā)現(xiàn),這對于信息行業(yè)的安全起著至關(guān)作用。每個(gè)網(wǎng)站可以根據(jù)自己的基準(zhǔn)對口令的強(qiáng)度進(jìn)行分類,然后將所選口令的強(qiáng)度反饋給用戶。用戶根據(jù)網(wǎng)站給予他們的反饋修改其先前所選擇的口令,從而創(chuàng)建更安全的口令。但問題就是如何檢測口令的強(qiáng)度,基于什么標(biāo)準(zhǔn)將口令分為弱、中、強(qiáng)三類。熵度量法是口令的主要指標(biāo),但是對于不同的網(wǎng)站有不同的測量策略。有些網(wǎng)站僅使用簡單策略來測量口令的強(qiáng)度,例如僅考慮組合字符的類型,以及重復(fù)度,在這種情況下,網(wǎng)站可以對于不同長度的字符串給出不同的強(qiáng)度值,然后根據(jù)組合的不同字符類型來增大其強(qiáng)度值,根據(jù)其字符的重復(fù)度在減小其強(qiáng)度值;另一方面,一些網(wǎng)站部署復(fù)雜的策略來測量口令的強(qiáng)度,除了字符串長度、組合類型以及重復(fù)度等策略外,還包括連續(xù)字符、leet轉(zhuǎn)換等策略,然后構(gòu)建一個(gè)范圍來完成對口令的強(qiáng)度分類,但是用什么來確定范圍是不明顯的。本論文使用收集的泄露口令字典對10個(gè)網(wǎng)站的口令檢測器進(jìn)行分析,發(fā)現(xiàn)不同的網(wǎng)站在口令強(qiáng)度級別上給予用戶的反饋是不一致的。如上所述,每個(gè)網(wǎng)站都會使用自己的策略來完成對口令強(qiáng)度的測量和標(biāo)記,并且他們會根據(jù)自己的口令級別向用戶反饋結(jié)果,由于策略不同,對于相同的口令反饋的結(jié)果也會不同,在某網(wǎng)站被標(biāo)記為中等級別的口令在其他網(wǎng)站可能會被標(biāo)記為弱或強(qiáng),這樣可能會使用戶混淆如何才能選擇安全的口令。在本文中提出使用神經(jīng)網(wǎng)絡(luò)構(gòu)建一個(gè)新穎的模型來實(shí)現(xiàn)口令強(qiáng)度的檢測,該模型整合了來自不同網(wǎng)站的口令強(qiáng)度檢測策略。由于神經(jīng)網(wǎng)絡(luò)是建立輸入和輸出之間關(guān)系的良好的近似方法,所以可以選擇它來模擬預(yù)期的方法。只要有足夠的隱藏層,并在每個(gè)隱藏層引入足夠數(shù)量的神經(jīng)元,神經(jīng)網(wǎng)絡(luò)就可以學(xué)習(xí)任何大小的數(shù)據(jù)。多層感知器(MLP)是具有多個(gè)隱藏層的神經(jīng)網(wǎng)絡(luò)之一。輸入數(shù)據(jù)及其特征,輸出標(biāo)簽,隱層數(shù),每個(gè)隱層的神經(jīng)元數(shù),訓(xùn)練參數(shù)(如激活函數(shù),學(xué)習(xí)方法)是構(gòu)建MLP模型的決定性因素。在訓(xùn)練數(shù)據(jù)的準(zhǔn)備階段,在所有選定的口令檢測器中測量給定口令,假設(shè)可以將來自所有檢測器的強(qiáng)度標(biāo)簽邏輯組合起來,則可以根據(jù)不同網(wǎng)站的策略來建立一個(gè)綜合的檢測器。以這種方式來準(zhǔn)備包含口令以及其新類標(biāo)簽的數(shù)據(jù)。將字符的"詞頻-逆文檔頻率"TF-IDF作為口令數(shù)據(jù)的特征。本文中MLP模型的實(shí)驗(yàn)結(jié)果可以證明創(chuàng)建一個(gè)組合多個(gè)站點(diǎn)的策略的檢測器是可行的,因此,可以創(chuàng)建具有集成特征的口令,并且可以反饋給用戶一致的測量結(jié)果。本論文實(shí)現(xiàn)了基于多層感知器(MLP)構(gòu)建神經(jīng)網(wǎng)絡(luò)檢測器,并且利用被泄露的口令和隨機(jī)生成的口令對MLP神經(jīng)網(wǎng)絡(luò)進(jìn)行了訓(xùn)練和測試,該模型的準(zhǔn)確度達(dá)到99.5%。但是,其局限性還有待解決,例如實(shí)驗(yàn)中使用的口令數(shù)據(jù)可能還不足以影響系統(tǒng)的預(yù)測性能,此外,由于神經(jīng)網(wǎng)絡(luò)是一種黑箱模型,可能在有效引導(dǎo)用戶如何選擇口令方面是困難的。
[Abstract]:......
【學(xué)位授予單位】：北京交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP309

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 楊曉帥 ,付玫;神經(jīng)網(wǎng)絡(luò)技術(shù)讓管理更輕松[J];軟件世界;2000年11期

2 云中客;新的神經(jīng)網(wǎng)絡(luò)來自于仿生學(xué)[J];物理;2001年10期

3 唐春明,高協(xié)平;進(jìn)化神經(jīng)網(wǎng)絡(luò)的研究進(jìn)展[J];系統(tǒng)工程與電子技術(shù);2001年10期

4 李智;一種基于神經(jīng)網(wǎng)絡(luò)的煤炭調(diào)運(yùn)優(yōu)化方法[J];長沙鐵道學(xué)院學(xué)報(bào);2003年02期

5 程科,王士同,楊靜宇;新型模糊形態(tài)神經(jīng)網(wǎng)絡(luò)及其應(yīng)用研究[J];計(jì)算機(jī)工程與應(yīng)用;2004年21期

6 王凡,孟立凡;關(guān)于使用神經(jīng)網(wǎng)絡(luò)推定操作者疲勞的研究[J];人類工效學(xué);2004年03期

7 周麗暉;從統(tǒng)計(jì)角度看神經(jīng)網(wǎng)絡(luò)[J];統(tǒng)計(jì)教育;2005年06期

8 趙奇 ,劉開第 ,龐彥軍;灰色補(bǔ)償神經(jīng)網(wǎng)絡(luò)及其應(yīng)用研究[J];微計(jì)算機(jī)信息;2005年14期

9 袁婷;;神經(jīng)網(wǎng)絡(luò)在股票市場預(yù)測中的應(yīng)用[J];軟件導(dǎo)刊;2006年05期

10 尚晉;楊有;;從神經(jīng)網(wǎng)絡(luò)的過去談科學(xué)發(fā)展觀[J];重慶三峽學(xué)院學(xué)報(bào);2006年03期

相關(guān)會議論文 前10條

1 徐春玉;;基于泛集的神經(jīng)網(wǎng)絡(luò)的混沌性[A];1996中國控制與決策學(xué)術(shù)年會論文集[C];1996年

2 周樹德;王巖;孫增圻;孫富春;;量子神經(jīng)網(wǎng)絡(luò)[A];2003年中國智能自動化會議論文集（上冊）[C];2003年

3 羅山;張琳;范文新;;基于神經(jīng)網(wǎng)絡(luò)和簡單規(guī)劃的識別融合算法[A];2009系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會議論文集[C];2009年

4 郭愛克;馬盡文;丁康;;序言(二)[A];1999年中國神經(jīng)網(wǎng)絡(luò)與信號處理學(xué)術(shù)會議論文集[C];1999年

5 鐘義信;;知識論:神經(jīng)網(wǎng)絡(luò)的新機(jī)遇——紀(jì)念中國神經(jīng)網(wǎng)絡(luò)10周年[A];1999年中國神經(jīng)網(wǎng)絡(luò)與信號處理學(xué)術(shù)會議論文集[C];1999年

6 許進(jìn);保錚;;神經(jīng)網(wǎng)絡(luò)與圖論[A];1999年中國神經(jīng)網(wǎng)絡(luò)與信號處理學(xué)術(shù)會議論文集[C];1999年

7 金龍;朱詩武;趙成志;陳寧;;數(shù)值預(yù)報(bào)產(chǎn)品的神經(jīng)網(wǎng)絡(luò)釋用預(yù)報(bào)應(yīng)用[A];1999年中國神經(jīng)網(wǎng)絡(luò)與信號處理學(xué)術(shù)會議論文集[C];1999年

8 田金亭;;神經(jīng)網(wǎng)絡(luò)在中學(xué)生創(chuàng)造力評估中的應(yīng)用[A];第十二屆全國心理學(xué)學(xué)術(shù)大會論文摘要集[C];2009年

9 唐墨;王科俊;;自發(fā)展神經(jīng)網(wǎng)絡(luò)的混沌特性研究[A];2009年中國智能自動化會議論文集（第七分冊）[南京理工大學(xué)學(xué)報(bào)（增刊）][C];2009年

10 張廣遠(yuǎn);萬強(qiáng);曹海源;田方濤;;基于遺傳算法優(yōu)化神經(jīng)網(wǎng)絡(luò)的故障診斷方法研究[A];第十二屆全國設(shè)備故障診斷學(xué)術(shù)會議論文集[C];2010年

相關(guān)重要報(bào)紙文章 前10條

1 美國明尼蘇達(dá)大學(xué)社會學(xué)博士 密西西比州立大學(xué)國家戰(zhàn)略規(guī)劃與分析研究中心資深助理研究員 陳心想;維護(hù)好創(chuàng)新的“神經(jīng)網(wǎng)絡(luò)硬件”[N];中國教師報(bào);2014年

2 盧業(yè)忠;腦控電腦 驚世駭俗[N];計(jì)算機(jī)世界;2001年

3 葛一鳴 路邊文;人工神經(jīng)網(wǎng)絡(luò)將大顯身手[N];中國紡織報(bào);2003年

4 中國科技大學(xué)計(jì)算機(jī)系　邢方亮;神經(jīng)網(wǎng)絡(luò)挑戰(zhàn)人類大腦[N];計(jì)算機(jī)世界;2003年

5 記者 孫剛;“神經(jīng)網(wǎng)絡(luò)”：打開復(fù)雜工藝“黑箱”[N];解放日報(bào);2007年

6 本報(bào)記者 劉霞;美用DNA制造出首個(gè)人造神經(jīng)網(wǎng)絡(luò)[N];科技日報(bào);2011年

7 健康時(shí)報(bào)特約記者　 張獻(xiàn)懷;干細(xì)胞移植：修復(fù)受損的神經(jīng)網(wǎng)絡(luò)[N];健康時(shí)報(bào);2006年

8 劉力;我半導(dǎo)體神經(jīng)網(wǎng)絡(luò)技術(shù)及應(yīng)用研究達(dá)國際先進(jìn)水平[N];中國電子報(bào);2001年

9 ;神經(jīng)網(wǎng)絡(luò)和模糊邏輯[N];世界金屬導(dǎo)報(bào);2002年

10 鄒麗梅 陳耀群;江蘇科大神經(jīng)網(wǎng)絡(luò)應(yīng)用研究通過鑒定[N];中國船舶報(bào);2006年

相關(guān)博士學(xué)位論文 前10條

1 楊旭華;神經(jīng)網(wǎng)絡(luò)及其在控制中的應(yīng)用研究[D];浙江大學(xué);2004年

2 李素芳;基于神經(jīng)網(wǎng)絡(luò)的無線通信算法研究[D];山東大學(xué);2015年

3 石艷超;憶阻神經(jīng)網(wǎng)絡(luò)的混沌性及幾類時(shí)滯神經(jīng)網(wǎng)絡(luò)的同步研究[D];電子科技大學(xué);2014年

4 王新迎;基于隨機(jī)映射神經(jīng)網(wǎng)絡(luò)的多元時(shí)間序列預(yù)測方法研究[D];大連理工大學(xué);2015年

5 付愛民;極速學(xué)習(xí)機(jī)的訓(xùn)練殘差、穩(wěn)定性及泛化能力研究[D];中國農(nóng)業(yè)大學(xué);2015年

6 李輝;基于粒計(jì)算的神經(jīng)網(wǎng)絡(luò)及集成方法研究[D];中國礦業(yè)大學(xué);2015年

7 王衛(wèi)蘋;復(fù)雜網(wǎng)絡(luò)幾類同步控制策略研究及穩(wěn)定性分析[D];北京郵電大學(xué);2015年

8 張海軍;基于云計(jì)算的神經(jīng)網(wǎng)絡(luò)并行實(shí)現(xiàn)及其學(xué)習(xí)方法研究[D];華南理工大學(xué);2015年

9 李艷晴;風(fēng)速時(shí)間序列預(yù)測算法研究[D];北京科技大學(xué);2016年

10 陳輝;多維超精密定位系統(tǒng)建模與控制關(guān)鍵技術(shù)研究[D];東南大學(xué);2015年

相關(guān)碩士學(xué)位論文 前10條

1 章穎;混合不確定性模塊化神經(jīng)網(wǎng)絡(luò)與高校效益預(yù)測的研究[D];華南理工大學(xué);2015年

2 賈文靜;基于改進(jìn)型神經(jīng)網(wǎng)絡(luò)的風(fēng)力發(fā)電系統(tǒng)預(yù)測及控制研究[D];燕山大學(xué);2015年

3 李慧芳;基于憶阻器的渦卷混沌系統(tǒng)及其電路仿真[D];西南大學(xué);2015年

4 陳彥至;神經(jīng)網(wǎng)絡(luò)降維算法研究與應(yīng)用[D];華南理工大學(xué);2015年

5 董哲康;基于憶阻器的組合電路及神經(jīng)網(wǎng)絡(luò)研究[D];西南大學(xué);2015年

6 武創(chuàng)舉;基于神經(jīng)網(wǎng)絡(luò)的遙感圖像分類研究[D];昆明理工大學(xué);2015年

7 李志杰;基于神經(jīng)網(wǎng)絡(luò)的上證指數(shù)預(yù)測研究[D];華南理工大學(xué);2015年

8 陳少吉;基于神經(jīng)網(wǎng)絡(luò)血壓預(yù)測研究與系統(tǒng)實(shí)現(xiàn)[D];華南理工大學(xué);2015年

9 張韜;幾類時(shí)滯神經(jīng)網(wǎng)絡(luò)穩(wěn)定性分析[D];渤海大學(xué);2015年

10 邵雪瑩;幾類時(shí)滯不確定神經(jīng)網(wǎng)絡(luò)的穩(wěn)定性分析[D];渤海大學(xué);2015年

，

本文編號：1692289