基于中止密钥导出函数的多因子身份认证协议设计
本文关键词:基于中止密钥导出函数的多因子身份认证协议设计
更多相关文章: 口令认证 暴力破解攻击 撞库攻击 密钥导出函数 多因子
【摘要】:用户口令作为安全的身份认证技术之一,在科学计算和商业领域均发挥着重要作用。如何能够在不影响用户体验的同时,安全地完成用户口令认证,引起了密码学以及网络安全领域研究人员的广泛关注。由于现阶段口令简单易记,使用方便,无需硬件支持。因此,基于口令认证构造高质量的身份认证成为一个成熟有效的方法。口令认证密钥交换的安全性完全依赖于用户口令的保密性,因此,对口令的保护尤为重要。但开放环境中的安全问题日益突出,仅依靠口令来确认身份的认证方式面临着严峻的挑战。用户输入口令时,容易遭受监窥;或者在电脑中毒情况下使用键盘输入口令时,木马程序会记录键盘输入。为了便于记忆,用户通常将手机号码、生日、门牌号等数字作为口令,此种口令安全性较差。而且用户常常在多个不同的网站使用同一个口令,进一步引发撞库攻击。本文提出了一种可以防止撞库攻击的基于中止密钥导出函数的多因子身份认证协议方案,主要解决现有网站登录系统中用户口令较短易遭暴力破解攻击和用户常使用相同口令登录不同网站易遭受撞库攻击的问题。本方案注册阶段主要完成了将用户短口令转换为安全性高的登录口令这一目标,实现了将同一用户初始短口令映射到不同服务器端且存储结果不同的效果。其核心思想是,用户用短口令由中止密钥导出函数生成原始主密钥,将与手环和手机分别相关的两个随机数相结合并对原始主密钥进行两次加工,生成服务器存储口令并存在服务器;后续登录阶段用户结合手环和手机两个因子先后导出原始主密钥和两个不同的随机数,重新生成对应的服务器存储口令;最终用服务器存储口令与目标服务器进行交互认证。本方案与现有技术相比,取得的创新性成果如下:1.本方案中用户只需记忆一个简单的短口令pwd,通过对中止密钥导出函数(HKDF)输入不同的随机数r,从而针对不同网站生成不同的原始主密钥k和验证字符串v,从根本上避免了撞库攻击的发生;进一步保证对于不同网站,用户注册口令pu也不相同,即使恶意服务器进行共谋,也无法通过破解用户信息得到用户在其他安全网站的注册口令;服务器存储口令ps由服务器针对不同用户生成不同的随机数y而得到,且不同服务器针对同一用户生成的随机数y也都不相同,从而再次避免了撞库攻击的发生。2.本方案对原始主密钥k进行了两次结合多因子的运算,增强了对用户身份进行验证的能力,有效避免了单一口令因子易被盗用并进行身份伪装的危险。本方案将便捷的手环作为除手机因子之外的另一个因子,利用手环辅助生成最终用于登录的服务器存储口令ps,方便用户操作,应用范围广。理论分析以及实验结果表明,本文提出的方案能够针对不同网站生成不同的原始主密钥并通过结合多因子对主密钥进行加盐哈希来保护安全;即使在服务器被攻击者侵入的情况下,依然能够避免用户在多站点上使用的单一口令被盗用而引发的撞库攻击。本方案能够保证在引入较低开销的同时提供更高强度的安全性,满足身份认证场景对平衡方案实用性以及协议安全性的综合要求。
【关键词】:口令认证 暴力破解攻击 撞库攻击 密钥导出函数 多因子
【学位授予单位】:西安电子科技大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TN918.4
【目录】:
- 摘要5-7
- ABSTRACT7-11
- 符号对照表11-12
- 缩略语对照表12-15
- 第一章 绪论15-21
- 1.1 研究背景与意义15-16
- 1.2 国内外研究现状16-19
- 1.3 论文主要工作19
- 1.4 论文的组织结构19-21
- 第二章 相关理论知识概述21-31
- 2.1 中止密钥导出函数HKDF21-24
- 2.1.1 中止密钥导出函数设计21-22
- 2.1.2 形式化设计22-23
- 2.1.3 一般化构造方法23-24
- 2.2 Hash函数24-28
- 2.2.1 Hash函数性质25
- 2.2.2 Hash函数算法25-28
- 2.3 消息认证码MAC28-30
- 2.4 本章小结30-31
- 第三章 基于中止密钥导出函数的多因子身份认证协议设计31-51
- 3.1 系统模型与攻击者模型31-33
- 3.1.1 系统模型31-32
- 3.1.2 攻击者模型32-33
- 3.2 MFA-HKDF方案设计思想33-35
- 3.3 MFA-HKDF方案详细设计35-41
- 3.4 安全性分析与证明41-49
- 3.4.1 方案的安全性分析41-43
- 3.4.2 方案的安全性证明43-49
- 3.5 本章小结49-51
- 第四章 MFA-HKDF性能分析与评估51-61
- 4.1 实验平台与实验结果52-55
- 4.2 性能分析55-58
- 4.3 本章小结58-61
- 第五章 总结与展望61-63
- 5.1 工作总结61-62
- 5.2 工作展望62-63
- 参考文献63-67
- 致谢67-69
- 作者简介69-70
【相似文献】
中国期刊全文数据库 前10条
1 薛春华 ,冯静;基于口令身份认证协议的研究[J];信息安全与通信保密;2003年08期
2 杨宇光,温巧燕,朱甫臣;基于纠缠交换的量子身份认证协议[J];北京邮电大学学报;2004年04期
3 付小青,沈剑;能容纳拜占庭错误的身份认证协议[J];华中科技大学学报(自然科学版);2005年05期
4 王斌;;一种身份认证协议的形式化描述与验证[J];甘肃科技纵横;2007年02期
5 梁爽;吴晓艳;王怀江;;改进身份认证协议的形式化描述与验证[J];计算机工程与设计;2009年13期
6 汪应龙;邓君丽;邓勇;;虚拟组织中一种改进的身份认证协议[J];武汉大学学报(工学版);2013年06期
7 罗东俊;;一种面向服务的统一身份认证协议[J];上海应用技术学院学报(自然科学版);2005年04期
8 李安娜;郝耀辉;王志伟;戴青;;一个基于门限思想的身份认证协议[J];通信技术;2007年12期
9 宋震;李斌;窦文华;;新的域间身份认证协议及其形式化验证[J];计算机工程与设计;2007年23期
10 唐建强;刘颖;万明;张宏科;;一体化标识网络中的用户身份认证协议[J];北京交通大学学报;2012年02期
中国重要会议论文全文数据库 前1条
1 秦琳琳;;WSN中基于椭圆曲线的节点身份认证协议[A];2013年中国通信学会信息通信网络技术委员会年会论文集[C];2013年
中国博士学位论文全文数据库 前4条
1 李雄;多种环境下身份认证协议的研究与设计[D];北京邮电大学;2012年
2 崔建明;多因素身份认证协议及基于智能卡的实现研究[D];华东师范大学;2013年
3 王秦;基于OTP的移动商务身份认证协议研究[D];北京交通大学;2010年
4 唐龙;认知无线网络安全技术研究[D];武汉大学;2012年
中国硕士学位论文全文数据库 前10条
1 王冠众;面向大数据的SOA认证关键技术研究[D];解放军信息工程大学;2015年
2 金方园;基于中止密钥导出函数的多因子身份认证协议设计[D];西安电子科技大学;2015年
3 李云莲;身份认证协议的设计与应用[D];湖南大学;2013年
4 房艳华;LTE-R系统中身份认证协议的研究[D];兰州交通大学;2013年
5 马慧芳;基于生物特征的智能卡远程身份认证协议的研究[D];电子科技大学;2010年
6 苏援;基于模糊逻辑的身份认证协议的研究与设计[D];北京邮电大学;2012年
7 魏宗秀;基于一次性口令的身份认证协议及其应用[D];合肥工业大学;2009年
8 陈军;基于PKI的身份认证协议的研究与实现[D];北京邮电大学;2007年
9 樊海全;应急移动Ad hoc网络的身份认证协议研究[D];华东交通大学;2014年
10 魏娟;基于信任度的访问控制及差异化身份认证研究[D];深圳大学;2015年
,本文编号:1041596
本文链接:https://www.wllwen.com/kejilunwen/wltx/1041596.html
