本文關(guān)鍵詞：基于中止密鑰導(dǎo)出函數(shù)的多因子身份認證協(xié)議設(shè)計

  更多相關(guān)文章： 口令認證 暴力破解攻擊 撞庫攻擊 密鑰導(dǎo)出函數(shù) 多因子

【摘要】：用戶口令作為安全的身份認證技術(shù)之一,在科學(xué)計算和商業(yè)領(lǐng)域均發(fā)揮著重要作用。如何能夠在不影響用戶體驗的同時,安全地完成用戶口令認證,引起了密碼學(xué)以及網(wǎng)絡(luò)安全領(lǐng)域研究人員的廣泛關(guān)注。由于現(xiàn)階段口令簡單易記,使用方便,無需硬件支持。因此,基于口令認證構(gòu)造高質(zhì)量的身份認證成為一個成熟有效的方法�？诹钫J證密鑰交換的安全性完全依賴于用戶口令的保密性,因此,對口令的保護尤為重要。但開放環(huán)境中的安全問題日益突出,僅依靠口令來確認身份的認證方式面臨著嚴峻的挑戰(zhàn)。用戶輸入口令時,容易遭受監(jiān)窺;或者在電腦中毒情況下使用鍵盤輸入口令時,木馬程序會記錄鍵盤輸入。為了便于記憶,用戶通常將手機號碼、生日、門牌號等數(shù)字作為口令,此種口令安全性較差。而且用戶常常在多個不同的網(wǎng)站使用同一個口令,進一步引發(fā)撞庫攻擊。本文提出了一種可以防止撞庫攻擊的基于中止密鑰導(dǎo)出函數(shù)的多因子身份認證協(xié)議方案,主要解決現(xiàn)有網(wǎng)站登錄系統(tǒng)中用戶口令較短易遭暴力破解攻擊和用戶常使用相同口令登錄不同網(wǎng)站易遭受撞庫攻擊的問題。本方案注冊階段主要完成了將用戶短口令轉(zhuǎn)換為安全性高的登錄口令這一目標,實現(xiàn)了將同一用戶初始短口令映射到不同服務(wù)器端且存儲結(jié)果不同的效果。其核心思想是,用戶用短口令由中止密鑰導(dǎo)出函數(shù)生成原始主密鑰,將與手環(huán)和手機分別相關(guān)的兩個隨機數(shù)相結(jié)合并對原始主密鑰進行兩次加工,生成服務(wù)器存儲口令并存在服務(wù)器;后續(xù)登錄階段用戶結(jié)合手環(huán)和手機兩個因子先后導(dǎo)出原始主密鑰和兩個不同的隨機數(shù),重新生成對應(yīng)的服務(wù)器存儲口令;最終用服務(wù)器存儲口令與目標服務(wù)器進行交互認證。本方案與現(xiàn)有技術(shù)相比,取得的創(chuàng)新性成果如下:1.本方案中用戶只需記憶一個簡單的短口令pwd,通過對中止密鑰導(dǎo)出函數(shù)(HKDF)輸入不同的隨機數(shù)r,從而針對不同網(wǎng)站生成不同的原始主密鑰k和驗證字符串v,從根本上避免了撞庫攻擊的發(fā)生;進一步保證對于不同網(wǎng)站,用戶注冊口令pu也不相同,即使惡意服務(wù)器進行共謀,也無法通過破解用戶信息得到用戶在其他安全網(wǎng)站的注冊口令;服務(wù)器存儲口令ps由服務(wù)器針對不同用戶生成不同的隨機數(shù)y而得到,且不同服務(wù)器針對同一用戶生成的隨機數(shù)y也都不相同,從而再次避免了撞庫攻擊的發(fā)生。2.本方案對原始主密鑰k進行了兩次結(jié)合多因子的運算,增強了對用戶身份進行驗證的能力,有效避免了單一口令因子易被盜用并進行身份偽裝的危險。本方案將便捷的手環(huán)作為除手機因子之外的另一個因子,利用手環(huán)輔助生成最終用于登錄的服務(wù)器存儲口令ps,方便用戶操作,應(yīng)用范圍廣。理論分析以及實驗結(jié)果表明,本文提出的方案能夠針對不同網(wǎng)站生成不同的原始主密鑰并通過結(jié)合多因子對主密鑰進行加鹽哈希來保護安全;即使在服務(wù)器被攻擊者侵入的情況下,依然能夠避免用戶在多站點上使用的單一口令被盜用而引發(fā)的撞庫攻擊。本方案能夠保證在引入較低開銷的同時提供更高強度的安全性,滿足身份認證場景對平衡方案實用性以及協(xié)議安全性的綜合要求。
【關(guān)鍵詞】：口令認證 暴力破解攻擊 撞庫攻擊 密鑰導(dǎo)出函數(shù) 多因子
【學(xué)位授予單位】：西安電子科技大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TN918.4
【目錄】：

• 摘要5-7
• ABSTRACT7-11
• 符號對照表11-12
• 縮略語對照表12-15
• 第一章 緒論15-21
• 1.1 研究背景與意義15-16
• 1.2 國內(nèi)外研究現(xiàn)狀16-19
• 1.3 論文主要工作19
• 1.4 論文的組織結(jié)構(gòu)19-21
• 第二章 相關(guān)理論知識概述21-31
• 2.1 中止密鑰導(dǎo)出函數(shù)HKDF21-24
• 2.1.1 中止密鑰導(dǎo)出函數(shù)設(shè)計21-22
• 2.1.2 形式化設(shè)計22-23
• 2.1.3 一般化構(gòu)造方法23-24
• 2.2 Hash函數(shù)24-28
• 2.2.1 Hash函數(shù)性質(zhì)25
• 2.2.2 Hash函數(shù)算法25-28
• 2.3 消息認證碼MAC28-30
• 2.4 本章小結(jié)30-31
• 第三章 基于中止密鑰導(dǎo)出函數(shù)的多因子身份認證協(xié)議設(shè)計31-51
• 3.1 系統(tǒng)模型與攻擊者模型31-33
• 3.1.1 系統(tǒng)模型31-32
• 3.1.2 攻擊者模型32-33
• 3.2 MFA-HKDF方案設(shè)計思想33-35
• 3.3 MFA-HKDF方案詳細設(shè)計35-41
• 3.4 安全性分析與證明41-49
• 3.4.1 方案的安全性分析41-43
• 3.4.2 方案的安全性證明43-49
• 3.5 本章小結(jié)49-51
• 第四章 MFA-HKDF性能分析與評估51-61
• 4.1 實驗平臺與實驗結(jié)果52-55
• 4.2 性能分析55-58
• 4.3 本章小結(jié)58-61
• 第五章 總結(jié)與展望61-63
• 5.1 工作總結(jié)61-62
• 5.2 工作展望62-63
• 參考文獻63-67
• 致謝67-69
• 作者簡介69-70

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 薛春華 ,馮靜;基于口令身份認證協(xié)議的研究[J];信息安全與通信保密;2003年08期

2 楊宇光,溫巧燕,朱甫臣;基于糾纏交換的量子身份認證協(xié)議[J];北京郵電大學(xué)學(xué)報;2004年04期

3 付小青,沈劍;能容納拜占庭錯誤的身份認證協(xié)議[J];華中科技大學(xué)學(xué)報(自然科學(xué)版);2005年05期

4 王斌;;一種身份認證協(xié)議的形式化描述與驗證[J];甘肅科技縱橫;2007年02期

5 梁爽;吳曉艷;王懷江;;改進身份認證協(xié)議的形式化描述與驗證[J];計算機工程與設(shè)計;2009年13期

6 汪應(yīng)龍;鄧君麗;鄧勇;;虛擬組織中一種改進的身份認證協(xié)議[J];武漢大學(xué)學(xué)報(工學(xué)版);2013年06期

7 羅東俊;;一種面向服務(wù)的統(tǒng)一身份認證協(xié)議[J];上海應(yīng)用技術(shù)學(xué)院學(xué)報(自然科學(xué)版);2005年04期

8 李安娜;郝耀輝;王志偉;戴青;;一個基于門限思想的身份認證協(xié)議[J];通信技術(shù);2007年12期

9 宋震;李斌;竇文華;;新的域間身份認證協(xié)議及其形式化驗證[J];計算機工程與設(shè)計;2007年23期

10 唐建強;劉穎;萬明;張宏科;;一體化標識網(wǎng)絡(luò)中的用戶身份認證協(xié)議[J];北京交通大學(xué)學(xué)報;2012年02期

中國重要會議論文全文數(shù)據(jù)庫 前1條

1 秦琳琳;;WSN中基于橢圓曲線的節(jié)點身份認證協(xié)議[A];2013年中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會年會論文集[C];2013年

中國博士學(xué)位論文全文數(shù)據(jù)庫 前4條

1 李雄;多種環(huán)境下身份認證協(xié)議的研究與設(shè)計[D];北京郵電大學(xué);2012年

2 崔建明;多因素身份認證協(xié)議及基于智能卡的實現(xiàn)研究[D];華東師范大學(xué);2013年

3 王秦;基于OTP的移動商務(wù)身份認證協(xié)議研究[D];北京交通大學(xué);2010年

4 唐龍;認知無線網(wǎng)絡(luò)安全技術(shù)研究[D];武漢大學(xué);2012年

中國碩士學(xué)位論文全文數(shù)據(jù)庫 前10條

1 王冠眾;面向大數(shù)據(jù)的SOA認證關(guān)鍵技術(shù)研究[D];解放軍信息工程大學(xué);2015年

2 金方園;基于中止密鑰導(dǎo)出函數(shù)的多因子身份認證協(xié)議設(shè)計[D];西安電子科技大學(xué);2015年

3 李云蓮;身份認證協(xié)議的設(shè)計與應(yīng)用[D];湖南大學(xué);2013年

4 房艷華;LTE-R系統(tǒng)中身份認證協(xié)議的研究[D];蘭州交通大學(xué);2013年

5 馬慧芳;基于生物特征的智能卡遠程身份認證協(xié)議的研究[D];電子科技大學(xué);2010年

6 蘇援;基于模糊邏輯的身份認證協(xié)議的研究與設(shè)計[D];北京郵電大學(xué);2012年

7 魏宗秀;基于一次性口令的身份認證協(xié)議及其應(yīng)用[D];合肥工業(yè)大學(xué);2009年

8 陳軍;基于PKI的身份認證協(xié)議的研究與實現(xiàn)[D];北京郵電大學(xué);2007年

9 樊海全;應(yīng)急移動Ad hoc網(wǎng)絡(luò)的身份認證協(xié)議研究[D];華東交通大學(xué);2014年

10 魏娟;基于信任度的訪問控制及差異化身份認證研究[D];深圳大學(xué);2015年

，

本文編號：1041596