电子认证技术发展.pdfVIP

电子认证技术发展 荆继武、林璟锵、王展、高能 电子认证技术 •Certification Authentication • 电子认证，是在信息系统中确认通信方的身份及属性 信息的行为过程 ▫ 典型的密码应用技术 电子认证技术的基本方法 •从用户凭证分类 ▫What You Know （如口令） ▫What You Have （如硬件令牌） ▫What You Are （如生物特征） ▫ …… •认证过程的安全性——围绕密码算法和密码协议 ▫ 以上不同的方法，通常都涉及密码技术  口令传输/校验，涉及密码算法和协议  硬件令牌中，包含用户私钥或共享的对称密钥  生物特征的挑战响应协议，使用密码算法 报告主要内容 1. 口令身份认证——最基本/最常用的身份认证 2. 新型认证技术——近年来的发展热点之一 ▫ 图形口令/生物和行为特征/多因素/单点登录 3. 密钥管理技术 ▫ 通过密钥的生成、分发、协商、使用等，实现密钥与身 份的关联，然后利用各种密码算法和协议，实现对通信 实体的身份认证 4. PKI技术 ▫ 密钥管理技术的重要一类，通过CA的数字证书服务，管 理用户的公开密钥和身份信息 报告成文的主要素材 •近5年来，公开发表的会议论文和期刊论文 •考虑如下原因，报告中的成果内容，可能有所遗漏： 1. 密码技术的敏感性，不是所有成果都公开发表 2. 有些技术成果体现为专利或产品，但因为专利数量庞 大、产品介绍缺乏技术细节，本报告未涉及 3. 篇幅和时间所限，难以确保收集所有成果 报告提纲 • 国际研究进展 • 国内研究进展 • 国内外比较分析 •发展趋势与展望 国际研究进展 • 口令身份认证 •新型认证技术 •密钥管理技术 •PKI技术 口令身份认证 •历史最悠久、最常用的身份认证 ▫ 最主要矛盾：可记忆vs. 难以猜测/穷举 • 口令协议已经较为成熟 ▫ 如SRP/EKE/SPEKE等 •近年来的主要发展 1. 口令强度度量 2. 口令保护和猜测攻击 口令强度度量 • 什么样的口令更强？更难猜测？ • 相同的口令，在不同的度量下，强/弱？ ▫ 主流网站系统，衡量不一，误导用户[NDSS] • 是否有科学一致的标准？ ▫ 美国NIST SP800-63的口令强度度量  基于香农信息熵 ▫ [ACM CCS]指出，以上度量标准，存在问题  基于大规模的实际口令分析；攻击猜测 • 基于马尔科夫模型的自适应口令强度评估[NDSS] • 潜在弱口令实时提示，避免选择弱口令[USENIX Security] ▫ 提示弱口令，到底弱在哪里？一遍遍修改…… 口令保护和猜测 •服务器端保护和猜测攻击 ▫ Honeyword [CCS]  服务器端同时同时存储多个“假”口令校验值  一旦口令文件泄露，如果攻击者使用假口令，报警 ▫ 基于自然语言的口令猜测[NDSS]  提高暴力猜测攻击成功率 ▫ Probabilistic Context-Free Grammar [USENIX Security]  实际数据分析表明，用户倾向于使用他们熟悉的模式、或 母语相关的格式  例如中文拼音或英文单词、日期的书写顺序 ▫ 口令的跨站猜测算法[NDSS]  43-51%的用户在不同网站系统之间，使用相同口令 口令保护和猜测 • 用户端输入 ▫ 触屏设备Leakage-resilient 口令输入[AsiaCCS]  输入口令时，屏幕出现随机数字  用户输入“真实口令与随机数字的运算结果” ▫ 减少验证码识别测试  通常，口令失败一定次数后 （如3次），启用验证码识别  防范在线猜测攻击  某些时候，影响用户体验  [IEEE TDSC]结合IP 白名单、过期Cookie，标记已知用户，对特定