羅 敏, 孫艾穎, 陰曉光, 張 棟, 何德彪

1. 武漢大學(xué) 國家網(wǎng)絡(luò)安全學(xué)院, 武漢430072

2. 密碼科學(xué)技術(shù)國家重點(diǎn)實(shí)驗(yàn)室, 北京100878

3. 國家電網(wǎng)大連供電公司, 大連116000

4. 國家電網(wǎng)鄭州供電公司, 鄭州450000

1 引言

口令認(rèn)證是目前互聯(lián)網(wǎng)上使用最廣泛的身份認(rèn)證機(jī)制. 其具有簡(jiǎn)單易用、部署成本低、容易找回等特點(diǎn)[1]. 在更好的認(rèn)證機(jī)制出現(xiàn)之前, 口令仍將長(zhǎng)期用于身份認(rèn)證[2,3]. 在實(shí)際使用中, 由于機(jī)器產(chǎn)生的口令長(zhǎng)度大且復(fù)雜, 不易記憶, 使得多數(shù)情況下口令都由用戶自行選擇. 而為了便于記憶, 用戶傾向于選擇生日、電話號(hào)碼等容易被猜測(cè)到的有意義的字符串作為口令[4-6]. 同時(shí), 口令的使用場(chǎng)景越來越豐富(如社交軟件、智能手機(jī)、電子郵箱等等), 使得口令管理愈發(fā)復(fù)雜, 而人類大腦能力有限, 只能記憶5-7 個(gè)口令,導(dǎo)致用戶在多個(gè)場(chǎng)景使用同一口令[6,7]. 這使得目前互聯(lián)網(wǎng)上存在大量簡(jiǎn)單甚至重復(fù)的口令, 這些口令會(huì)帶來嚴(yán)重的安全威脅.

僅2016 年上半年, 就有多家知名廠商出現(xiàn)百萬級(jí)用戶賬戶泄漏事件, 包括LinkedIn[8]、MySpace[9]、Twitter[10]、VKontakte[11]、Tumblr[12]等. 口令泄漏的原因, 一方面與用戶的習(xí)慣有關(guān), 為方便記憶而采用低信息熵的弱口令, 攻擊者很容易猜測(cè)出來. 同時(shí), 大量用戶在不同的網(wǎng)站使用相同的口令, 使得攻擊者一旦獲得某個(gè)網(wǎng)站的賬戶數(shù)據(jù), 即可用相同的賬戶口令去嘗試登錄其他網(wǎng)站(俗稱撞庫). 另一方面, 與廠商所采用的口令保護(hù)算法有關(guān). 通常被泄漏的賬戶口令都是密文形式的, 如果廠商僅采用簡(jiǎn)單的哈希算法來保護(hù)口令, 攻擊者很容易使用統(tǒng)計(jì)學(xué)方法分析出部分弱口令的明文.

盡管自2013 年以來, 國際標(biāo)準(zhǔn)NIST SP800-63-2 已經(jīng)明確廢止在口令存儲(chǔ)時(shí)使用MD5、SHA-1 等通用哈希算法, 轉(zhuǎn)而建議使用更為安全的口令專用哈希如Bcrypt、PBKDF2 等(見NIST SP800-63B,2017[13]). 然而, 目前大部分發(fā)生數(shù)據(jù)泄露的網(wǎng)站并未及時(shí)更新口令存儲(chǔ)算法, 仍然采用MD5、SHA-1 等過時(shí)的算法來對(duì)用戶口令進(jìn)行加密.

相比于對(duì)稱加密和公鑰加密, 哈希運(yùn)算不需要密鑰, 且部署簡(jiǎn)單、性能高效、操作便捷. 用戶輸入口令后, 客戶端對(duì)口令執(zhí)行哈希運(yùn)算, 然后發(fā)送給服務(wù)器端, 服務(wù)器端比對(duì)收到的哈希值與數(shù)據(jù)庫中存儲(chǔ)的值是否一致, 若一致則身份認(rèn)證成功, 否則認(rèn)證失敗. 然而, 由于對(duì)相同的輸入, 哈希運(yùn)算的輸出一定相同, 導(dǎo)致相同口令的用戶, 其口令哈希值相同, 使得口令猜測(cè)成為可能.

從目前口令數(shù)據(jù)泄漏的途徑分析, 泄漏主要是由于網(wǎng)站服務(wù)器數(shù)據(jù)庫被攻破或者管理不善導(dǎo)致的. 最終歸結(jié)于口令數(shù)據(jù)存儲(chǔ)以及口令認(rèn)證的中心化. 即所有口令的認(rèn)證及存儲(chǔ)都由單一的服務(wù)器或單一服務(wù)器集群完成, 一旦該服務(wù)器或集群被攻破, 所有口令數(shù)據(jù)均遭泄漏, 給用戶和廠商造成重大損失. 針對(duì)單一服務(wù)器的不足, 文獻(xiàn)[14-16] 給出了基于雙服務(wù)器的解決方案.

為了解決上述問題, 本文提出一種基于公鑰體系的口令保護(hù)協(xié)議, 在該協(xié)議中, 相同口令將會(huì)對(duì)應(yīng)不同的密文. 同時(shí), 為了避免單個(gè)服務(wù)器(集群) 存在內(nèi)部惡意攻擊者或者被外部攻擊者攻陷的情況, 本文方案是基于雙服務(wù)器的, 用戶每次登錄均需依次經(jīng)過兩個(gè)服務(wù)器的認(rèn)證, 且任意一個(gè)服務(wù)器都無法單獨(dú)完成認(rèn)證過程.

本文第2 節(jié)對(duì)口令在服務(wù)器端的存儲(chǔ)現(xiàn)狀以及等值判定協(xié)議等相關(guān)工作進(jìn)行介紹. 第3 節(jié)介紹了雙線性對(duì)和困難問題等基礎(chǔ)知識(shí). 第4 節(jié)給出了安全模型和系統(tǒng)模型. 第5 節(jié)給出了我們提出的協(xié)議及其正確性分析. 第6 節(jié)在隨機(jī)預(yù)言機(jī)模型下證明所提協(xié)議的安全性. 第7 節(jié)從計(jì)算開銷和通信開銷兩個(gè)方面對(duì)所提協(xié)議進(jìn)行了性能分析. 最后在第8 節(jié)對(duì)全文進(jìn)行總結(jié).

2 相關(guān)工作

通過統(tǒng)計(jì)互聯(lián)網(wǎng)上已泄漏的賬戶信息可知, 目前用戶口令在服務(wù)器端的存儲(chǔ)方式主要有三種: 明文、明文的哈希值以及對(duì)稱加密. 哈希又可分為帶鹽值和不帶鹽值兩種. 不帶鹽值的哈希, 相同的口令得到的哈希值相同. 而帶鹽值的哈希, 相同的口令得到的哈希值不同.

表1 列出了近年來部分賬戶資料遭泄漏的網(wǎng)站及其口令存儲(chǔ)方式[8,9,11,12,17,18]. 其中部分網(wǎng)站如RockYou、天涯、CSDN、Plenty of Fish、Sony Online Entertainment、the UN、Yahoo、Billabong、Cupid Media、Barracuda Networks、VKontakte 的口令使用明文存儲(chǔ), 安全性最低, 攻擊者獲取到口令后可直接登錄, 且可用來嘗試登錄其他網(wǎng)站. 而eHarmony、LinkedIn、the Australian Broadcasting Company、MySpace 等網(wǎng)站使用了不帶鹽值的哈希, 由于相同的口令哈希值也相同, 攻擊者可以結(jié)合其他明文口令庫的頻率統(tǒng)計(jì)分析結(jié)果猜測(cè)出部分用戶的口令, 且只要有一個(gè)用戶口令被破解, 則與其相同的口令均被破解.

表1 已泄漏賬戶口令的存儲(chǔ)方式Table 1 Password storage mode for leaked accounts

同時(shí), 由于部分用戶會(huì)在不同的網(wǎng)站使用相同的口令, 攻擊者也可以使用其他已泄漏的口令庫中相同賬戶名的口令嘗試登錄. GawKer、Evernote、Tumblr 等網(wǎng)站使用了帶鹽值的哈希, 比前兩種更安全, 攻擊者破解一次只能獲取一個(gè)口令. 但是在某些情況下, 攻擊者依然可能獲取口令(比如從泄漏出來的口令提示問題和答案進(jìn)行推測(cè)). 表中最安全的是Adobe 公司使用的ECB 模式的3DES, 其對(duì)口令進(jìn)行了三輪DES 加解密, 破解難度最高.

根據(jù)相關(guān)統(tǒng)計(jì), 目前互聯(lián)網(wǎng)上的各種口令存儲(chǔ)方式使用比例如表2 所示[18]. 從表中可知, 哈希函數(shù)依然是服務(wù)器端口令存儲(chǔ)的主流方式. 然而, 通過上述分析可知, 哈希后存儲(chǔ)的口令易被破解, 已經(jīng)不足以滿足用戶的安全需求.

表2 口令存儲(chǔ)方式比例Table 2 Proportion of password storage

2.1 等值判定協(xié)議

作為公鑰可搜索加密的一部分, 公鑰等值判定協(xié)議首先由Yang 等人[19]首次提出. 該類協(xié)議專注于比較兩段密文對(duì)應(yīng)的明文是否相同(即使加密兩段密文所用的公鑰不相同),且在比較過程中不泄露明文的任何信息. 隨后, 一系列基于傳統(tǒng)PKI 體系的等值判定協(xié)議被提出[20-27], 這些方案分別從訪問控制、代理授權(quán)、判定委托等角度進(jìn)行了研究. Xu 等人[28]在5G 網(wǎng)絡(luò)環(huán)境中設(shè)計(jì)了一種帶結(jié)果驗(yàn)證的公鑰密文等值判定協(xié)議. 然而, 這些方案存在PKI 體系固有的證書管理問題. 為了解決這個(gè)問題, Ma 等人提出了基于身份的公鑰等值判定協(xié)議[29]. 在此基礎(chǔ)上, Wu 等人通過減少對(duì)HashToPoint 的使用, 提出了一個(gè)更高效的基于身份的等值判定協(xié)議[30]. 為了解決基于身份密碼系統(tǒng)存在的密鑰托管問題, Qu 等人[31]設(shè)計(jì)了基于無證書的密文等值判定協(xié)議. Lee 等人[32,33]在標(biāo)準(zhǔn)模型下設(shè)計(jì)了公鑰等值判定協(xié)議. 文獻(xiàn)[34-38]對(duì)基于屬性的密文等值判定協(xié)議的設(shè)計(jì)及其安全性進(jìn)行了研究. 為了提高性能, Zhu 等人[39]設(shè)計(jì)了一個(gè)不使用雙線性對(duì)的密文等值判定協(xié)議.

然而, 在以上這些協(xié)議中, 所有的等值判定過程都由一個(gè)服務(wù)器單獨(dú)完成, 無法抵抗內(nèi)部惡意服務(wù)器或者外部攻擊者的攻擊.

3 預(yù)備知識(shí)

本節(jié)介紹雙線性對(duì)以及困難問題k-BDHI.

雙線性對(duì): 設(shè)G1,GT是階為素?cái)?shù)q的循環(huán)群,P是群G1的生成元. 定義e=G1×G1→GT為雙線性對(duì), 其同時(shí)滿足以下三個(gè)條件:

4 模型

4.1 系統(tǒng)模型

此系統(tǒng)由三個(gè)角色組成, 括密鑰生成中心、用戶、服務(wù)提供商(前服務(wù)器和后服務(wù)器). 如圖1 所示.

密鑰生成中心(KGC): 負(fù)責(zé)系統(tǒng)初始化, 給用戶生成公私鑰對(duì)并通過安全信道將私鑰發(fā)送給用戶.

用戶: 是系統(tǒng)的使用者, 每個(gè)用戶均需在密鑰生成中心注冊(cè). 用戶可以向系統(tǒng)發(fā)送登錄請(qǐng)求, 系統(tǒng)驗(yàn)證通過后即登錄成功. 登錄前用戶需要將自己的陷門發(fā)送給服務(wù)器, 服務(wù)器才能對(duì)用戶發(fā)送的請(qǐng)求進(jìn)行驗(yàn)證.

圖1 系統(tǒng)模型Figure 1 System model

服務(wù)器: 分為前服務(wù)器和后服務(wù)器, 結(jié)合用戶的陷門, 前服務(wù)器進(jìn)行判定計(jì)算, 而后由后服務(wù)器驗(yàn)證用戶的登錄請(qǐng)求是否合法. 服務(wù)器無法獲取用戶口令除密文以外的任何有效信息.

4.2 安全模型

5 基于身份的雙服務(wù)器口令保護(hù)協(xié)議DS-IBPP

本節(jié)給出協(xié)議的具體內(nèi)容及其正確性分析. 常用符號(hào)如下.

5.1 協(xié)議具體內(nèi)容

該協(xié)議由以下8 個(gè)算法組成, 初始化算法、密鑰生成算法、陷門生成算法、口令加密算法、解密算法、前服務(wù)器判定算法、后服務(wù)器判定算法、口令更新算法.

5.2 協(xié)議正確性分析

故, 若等式(EA)YB=(EB)YA成立, 則MA=MB.

6 安全性分析

本節(jié)我們結(jié)合第4 節(jié)提出的安全模型, 在隨機(jī)預(yù)言機(jī)模型下證明此協(xié)議的安全性.

定理1 如果h1,h2,h3是隨機(jī)預(yù)言機(jī)且k-BDHI 問題是困難的, 則本文提出的基于身份的口令保護(hù)協(xié)議是IND-ID-CCA2 安全的. 假設(shè)存在一個(gè)敵手A能夠在多項(xiàng)式時(shí)間內(nèi)以不可忽略的概率ε(κ) 攻破本文提出的口令保護(hù)協(xié)議, 且最多執(zhí)行了qd次解密查詢、qi次hi查詢(1≤i ≤3), 則存在一個(gè)算法C, 能以概率AdvB(k) 解決k-BDHI 問題.

在隨機(jī)預(yù)言機(jī)模型中, 本文提出的基于身份的口令保護(hù)協(xié)議在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性.

證明: 我們通過三個(gè)引理來證明定理1. 首先, 在引理1 中定義PubEnc1 協(xié)議, 如果存在一個(gè)INDID-CCA 敵手,能夠在4.1 節(jié)定義的安全模型下攻破我們提出的DS-IBPP 協(xié)議,則必存在一個(gè)IND-CCA敵手, 能夠攻破PubEnc1 協(xié)議. 其次, 在引理2 中我們定義PubEnc2 協(xié)議, 如果引理1 中的IND-CCA敵手存在, 則我們?cè)谝? 中證明, 存在一個(gè)IND-CPA 敵手, 能夠在選擇明文攻擊下攻破PubEnc2 協(xié)議.最后, 在引理3 中我們證明, 如果PubEnc2 協(xié)議不是IND-CPA 安全的, 則k-BDHI 假設(shè)不成立.

驗(yàn)證:r2·P=C2, 若成立, 則輸出明文m.

證明: 此引理可根據(jù)文獻(xiàn)[41] 的中的Fujisaki-Okamoto 轉(zhuǎn)換證明. BF-IBE 文獻(xiàn)[32] 中的定理4.5也有類似結(jié)論.

引理3 假設(shè)h2是隨機(jī)預(yù)言機(jī), 存在一個(gè)IND-CPA 敵手A, 能夠以概率ε(κ) 攻破引理2 中提出的PubEnc2 協(xié)議, 最多執(zhí)行q2次h2查詢. 則必存在一個(gè)算法B, 能夠至少以概率2ε(κ)/q2解決q1-BDHI問題.

證明: 此定理的證明可以利用文獻(xiàn)[40,42] 中的技術(shù), 與文獻(xiàn)[43] 的引理3 證明方法類似, 這里不再贅述.

7 性能分析

本節(jié), 我們將從計(jì)算開銷和通信開銷兩方面對(duì)DS-IBPP 協(xié)議的性能進(jìn)行分析.

為了評(píng)估協(xié)議性能, 我們?cè)隍v訊云服務(wù)器[44]上部署MIRACL 庫[45], 服務(wù)器配置: 操作系統(tǒng)為Ubuntu Server 16.04.1 LTS 64 位, CPU 為單核Intel(R) Xeon(R) CPU E5-26xxv3@2.3 GHz, 內(nèi)存1 GB.

在實(shí)驗(yàn)中, 我們使用了橢圓曲線以及Tate 雙線性對(duì). 橢圓曲線參數(shù)見表3. 經(jīng)過MIRACL 程序測(cè)試, 獲得各種基礎(chǔ)運(yùn)算的執(zhí)行時(shí)間, 見表4. 其中,M表示群中的乘法, PA 表示群上的點(diǎn)加法運(yùn)算,P表示Tate 對(duì)運(yùn)算, Exp 表示群上的冪運(yùn)算,H表示哈希到群上的階為q的點(diǎn),h表示普通哈希運(yùn)算.

表3 橢圓曲線參數(shù)Table 3 Parameters for ECC

表4 基礎(chǔ)操作執(zhí)行時(shí)間Table 4 Execution time of basic operations

根據(jù)統(tǒng)計(jì), 我們的DS-IBPP 協(xié)議各算法的計(jì)算開銷如表5 所示. 密鑰生成算法、陷門生成算法、加密算法、解密算法、前服務(wù)器判定算法、后服務(wù)器判定算法執(zhí)行一次的計(jì)算開銷分別為0.006 ms、0.006 ms、10.812 ms、7.439 ms、11.464 ms 和3.948 ms. 通信開銷見表6 所示. 設(shè)|W| 表示元素W所占的存儲(chǔ)空間.

表5 DS-IBPP 協(xié)議各算法執(zhí)行一次的計(jì)算開銷Table 5 Computation cost of proposed DS-IBPP scheme

表6 DS-IBPP 協(xié)議的通信開銷Table 6 Communication cost of proposed DS-IBPP scheme

8 結(jié)論

日益增多的互聯(lián)網(wǎng)用戶口令數(shù)據(jù)泄漏事件, 使得用戶口令保護(hù)問題備受關(guān)注. 針對(duì)該問題的其中一種解決方法是提高用戶口令數(shù)據(jù)的存儲(chǔ)安全性. 目前網(wǎng)絡(luò)上的用戶口令存儲(chǔ)主要是采用哈希算法. 該方式存在對(duì)于相同的輸入, 其輸出一定相同的問題. 特別是當(dāng)攻擊者擁有大量口令哈希(如獲取泄漏的口令數(shù)據(jù))時(shí), 大部分用戶口令將很容易被破解. 為了提高口令存儲(chǔ)的安全性, 同時(shí)避免單個(gè)惡意服務(wù)器(或服務(wù)器被攻陷) 的情況出現(xiàn), 本文首次提出了一種基于身份的雙服務(wù)器口令保護(hù)協(xié)議. 在隨機(jī)預(yù)言機(jī)模型下, 本文協(xié)議是IND-ID-CCA2 安全的. 與傳統(tǒng)的哈希算法相比, 盡管計(jì)算開銷和通信開銷都更大, 但是本文算法安全性更高. 即使攻擊者擁有大量口令密文樣本, 依然無法輕易破解大部分用戶的口令.