哈希算法在口令訪問控制模塊中的應(yīng)用研究

蔣志強

摘 要： 為了加強應(yīng)用系統(tǒng)用戶口令的安全性，本文在口令訪問控制模塊中引入了單向哈希算法，提出一個安全用戶認證模型，采取有效的數(shù)據(jù)加密技術(shù)來控制存取數(shù)據(jù)訪問。通過哈希算法把用戶身份認證信息加密后以密文的形式存放在數(shù)據(jù)庫中，進一步提高了系統(tǒng)的安全性。對于身份認證，相對于明文的驗證方式，哈希認證的單項散列特性使它更加具有安全性，對窮舉攻擊更具有抵抗性。

關(guān)鍵詞： 訪問控制； 身份認證； 哈希算法； 口令； 數(shù)據(jù)加密

中圖分類號：TP315 文獻標志碼：A 文章編號：1006-8228（2018）08-54-03

Application of Hash algorithm in password access control module

Jiang Zhiqiang

（Zhixing College Of Northwest Normal University， Lanzhou， Gansu 730070， China）

Abstract： In order to enhance the security of the user password of the application system， this paper introduces one-way Hash Algorithm to the password access control module， proposes a secure user authentication model and takes effective data encryption to control data access. The Hash algorithm is used to encrypt the user identity authentication information and the encrypted information is store as ciphertext in the database so as to further improve the security of the system. Compared with the verifying method of the plaintext， one-way hash characteristic of the Hash authentication makes it more secure and resistant to the exhaustive attack.

Key words： access control； identity authentication； Hash algorithm； password； data encryption

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和計算機應(yīng)用管理系統(tǒng)的普遍運用，信息安全越來越受到人們的高度關(guān)注。建立信息安全體系，目的是保證存儲在計算機及網(wǎng)絡(luò)系統(tǒng)中的數(shù)據(jù)只能夠被有操作權(quán)限的人訪問，而未被授權(quán)的人無法訪問到這些數(shù)據(jù)。身份認證是網(wǎng)絡(luò)安全中最令人關(guān)心的熱點問題之一，所謂身份認證，就是判斷一個用戶是否為合法用戶，從而確定該用戶是否具有對某種資源的訪問和使用權(quán)限，保障授權(quán)用戶的合法權(quán)益，防止非法用戶獲得資源的訪問權(quán)限[1]。身份認證技術(shù)是在計算機網(wǎng)絡(luò)中確認操作者身份的過程而產(chǎn)生的解決方法。目前身份認證的主要手段有靜態(tài)密碼，短信密碼，動態(tài)口令，生物識別，智能卡等。在這幾種身份認證方式中，基于口令的認證方式由于實施便捷、成本較低而應(yīng)用最為廣泛，這種簡單身份認證方式是系統(tǒng)通過比對用戶輸入的用戶名和口令，看其是否與數(shù)據(jù)庫系統(tǒng)中存儲的該用戶名和口令一致，來判斷用戶身份是否正確。對于用戶個人或者企業(yè)的身份認證信息，如果不使用有效的加密存儲技術(shù)，一旦數(shù)據(jù)庫被攻擊，身份認證的信息將完全暴露出來[2]。因此，必須采取加密措施來控制存取數(shù)據(jù)訪問。復雜一些的身份認證方式采用一些較復雜的加密算法，使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠更可靠、有效地執(zhí)行，進而保證系統(tǒng)和數(shù)據(jù)的安全性。

1 單向哈希算法概述

哈希算法是現(xiàn)代密碼學的中心，應(yīng)用于很多密碼系統(tǒng)中，現(xiàn)在常用的幾種Hash算法有MD5、SHA算法等[3]。單向哈希算法S（N）就是作用于任意長度的消息N，而返回一個固定長度的哈希值s，s=S（N），其中s長度為n。給定N，很容易計算s。給定s，根據(jù)S（N）=s計算N很難。給定N，要找到另一消息并滿足S（N）=S（N'）很難。也就是說，給定一個Hash值，求其逆是比較困難的，但通過給定的輸入計算Hash值是比較容易的，因此也稱Hash函數(shù)為單向Hash函數(shù)。

SHA算法是安全性很高的一種哈希算法，其主要功能是輸入長度小于2^64bit的明文消息，經(jīng)過預(yù)處理操作使數(shù)據(jù)的長度變成512bit的倍數(shù)，再按512bit為一個分組進行處理，最終得到固定長度為160bit的信息摘要，相比較MD4算法而言，主要增加了擴展變化，將上一輪的輸出送到下一輪。因此，只要輸入的明文發(fā)生細微的改變，信息摘要即散列值將會發(fā)生很大的變化，引起更快的雪崩效應(yīng)，而且，由于其160bit的輸出，對窮舉攻擊更具有抵抗性。

SHA-1算法實現(xiàn)的基本過程主要如下。

⑴ 將明文信息轉(zhuǎn)換成位字符串。

⑵ 對轉(zhuǎn)換后的位字符串進行補位操作。使得數(shù)據(jù)長度對512求余的結(jié)果為448，在位字符串后面先補一個1，1后面的其余位補0，直到長度滿足補位操作的要求?？傊?，無論在什么情況下，補位是至少補一位，最多補512位。

⑶ 補長度值。在明文信息后面增加一個64位的二進制數(shù)據(jù)，來表示原始明文信息的長度，然后添加到已經(jīng)進行了補位操作的信息后面。最終將原始信息的長度補到512位的倍數(shù)。

⑷ 初始化緩存。一個160位緩沖區(qū)用以保存中間和最終散列函數(shù)的結(jié)果。這個160位的緩沖區(qū)可以用5個32位的寄存器來表示，可以標識位：H0，H1，H2，H3，H4。在計算信息摘要之前初始化為：

⑸ 計算消息摘要。通過對補位和補長度兩步預(yù)處理操作后的消息進行多輪迭代運算，最終得到一個長度為160位的字符串，以下面的順序標識：

H0 H1 H2 H3 H4

2 哈希安全認證模型

目前的研究熱點主要集中在基于Hash函數(shù)的口令管理方式上，此方式的特點是真正的口令是由Hash函數(shù)計算產(chǎn)生，如Gabber等提出的LPWA，Ros等提出的PwdHash，Halderman等提出的PasswordMultiplier和Yee等提出的Passpet方案[4]。安全哈希算法的設(shè)計思想是將一段明文，以一種不可逆的方式轉(zhuǎn)換成一段位數(shù)固定的輸出序列即散列值的過程[5-6]。

為了方便記憶，大多數(shù)用戶在注冊時往往會選取一些自己或家人的生日、生活中常用的號碼以及比較短的、有意義的字母組合作為口令，但這些類型的口令數(shù)是有限的，也是極其不安全的，攻擊者可以利用電腦將所有可能的口令存放在數(shù)據(jù)字典中，然后快速地遍歷字典進行反復猜測與比對，并在很短的時間內(nèi)就有可能猜出一個用戶的口令。因此，可以在訪問控制模塊設(shè)計中，應(yīng)用哈希散列函數(shù)的性質(zhì)對用戶注冊時所輸入的明文密鑰進行散列操作，并把散列操作后的160位密鑰存放到數(shù)據(jù)庫中，以便提高系統(tǒng)的安全性。

在用戶注冊階段，系統(tǒng)會對用戶提交的注冊信息進行嚴格的審核，用戶的信息通過審核后，系統(tǒng)應(yīng)用SHA-1散列函數(shù)對用戶的密鑰進行操作，并把操作后的密鑰存到數(shù)據(jù)庫中，使密鑰的安全性不再依賴于數(shù)據(jù)庫的安全性，提高了系統(tǒng)的安全性。在之后用戶進行登錄時，系統(tǒng)會將用戶提交的密鑰進行SHA-1散列，并與數(shù)據(jù)庫中存儲的密鑰進行對比，若相等則為合法用戶，否則認證不通過。整個流程如圖1所示。

3 安全訪問控制模塊設(shè)計

訪問控制模塊實體認證的安全性主要集中在用戶名對應(yīng)的口令上。為了在口令管理方式上增強用戶口令的安全性，此處在用戶登錄模塊中采用口令機制結(jié)合單向哈希算法進行，如圖2所示。

為用戶注冊和登錄時輸入的明文口令H（）指哈希函數(shù)，即SHA-1散列函數(shù)，ID為用戶名，為經(jīng)過哈希函數(shù)運算后得到的散列值。

在用戶進行普通注冊時，客戶端把用戶名和密文密鑰發(fā)送給服務(wù)器，服務(wù)器進行哈希運算得到，然后以密文形式存儲在數(shù)據(jù)庫中，當用戶進行普通登錄輸入明文密鑰時，服務(wù)器再通過哈希函數(shù)運算得到，并根據(jù)用戶名在數(shù)據(jù)庫中找到與之對應(yīng)的哈希值，比較即可認證通過。這樣可保證在數(shù)據(jù)庫被攻擊的情況下，攻擊者得到的只是哈希值，就很難推測出用戶的口令原文。

這樣，在普通注冊登錄模塊中引入單向哈希算法時，注冊和登錄所輸入的明文密鑰經(jīng)過哈希散列函數(shù)多輪迭代運算后，最終得到一個160位哈希值的密鑰，并存放在數(shù)據(jù)庫的Password表中，該表用來存放用戶名和口令，這里實際存儲的是經(jīng)過哈希算法加密后的口令，如圖3所示，從而加大了密碼攻擊難度。

4 結(jié)束語

身份認證技術(shù)是現(xiàn)代網(wǎng)絡(luò)安全系統(tǒng)設(shè)計中必須要考慮的問題之一。本文先介紹了單向哈希算法以及哈希安全認證模型，再進行了安全性分析，著重對哈希算法在基于口令訪問控制模塊中的技術(shù)應(yīng)用進行了研究。在用戶注冊登錄模塊中引入SHA-1散列函數(shù)對用戶所輸入的明文密鑰進行了散列操作，并把經(jīng)過散列操作后的密文存放在數(shù)據(jù)庫表中，也就是說數(shù)據(jù)庫中存放的就是經(jīng)過加密后的用戶身份認證信息，即使非法用戶得到了數(shù)據(jù)庫中加密后的口令數(shù)據(jù)，也無法解析出口令原文，從而有效抵抗非法用戶的各種攻擊，進而提高了數(shù)據(jù)庫系統(tǒng)的安全性。隨著計算機技術(shù)的不斷發(fā)展，還有待我們改進哈希算法，并在口令訪問控制模塊中結(jié)合其他先進的加密算法對認證信息進行更為細微度的管理。

參考文獻（References）：

[1] 劉蔚洋.電子商務(wù)CA認證加密技術(shù)淺析[J].現(xiàn)代商業(yè)，

2016.11（1）：55-56.

[2] 高洪波，馬素萍.MD5算法及在用戶口令加密應(yīng)用中的改進[J].

物流技術(shù)，2010.30（9）：83-84

[3] 王鳳忠，呂亞飛等.軍事物流數(shù)據(jù)庫加密與AES算法的探究[J].

物流技術(shù)，2016.36（9）：164-168

[4] 黃偉，孟博等.基于口令的安全用戶認證模型[J].現(xiàn)代電子技

術(shù)，2003.27（21）：79-82

[5] 方宏.電子文件管理系統(tǒng)的設(shè)計與實現(xiàn)[D].湖北工業(yè)大學碩

士學位，2016.

[6] 徐安東.Visual C#程序設(shè)計基礎(chǔ)[M].清華大學出版社，2012.