基于身份的雙服務(wù)器口令保護協(xié)議*

羅 敏, 孫艾穎, 陰曉光, 張 棟, 何德彪

1. 武漢大學(xué) 國家網(wǎng)絡(luò)安全學(xué)院, 武漢430072

2. 密碼科學(xué)技術(shù)國家重點實驗室, 北京100878

3. 國家電網(wǎng)大連供電公司, 大連116000

4. 國家電網(wǎng)鄭州供電公司, 鄭州450000

1 引言

口令認(rèn)證是目前互聯(lián)網(wǎng)上使用最廣泛的身份認(rèn)證機制. 其具有簡單易用、部署成本低、容易找回等特點[1]. 在更好的認(rèn)證機制出現(xiàn)之前, 口令仍將長期用于身份認(rèn)證[2,3]. 在實際使用中, 由于機器產(chǎn)生的口令長度大且復(fù)雜, 不易記憶, 使得多數(shù)情況下口令都由用戶自行選擇. 而為了便于記憶, 用戶傾向于選擇生日、電話號碼等容易被猜測到的有意義的字符串作為口令[4-6]. 同時, 口令的使用場景越來越豐富(如社交軟件、智能手機、電子郵箱等等), 使得口令管理愈發(fā)復(fù)雜, 而人類大腦能力有限, 只能記憶5-7 個口令,導(dǎo)致用戶在多個場景使用同一口令[6,7]. 這使得目前互聯(lián)網(wǎng)上存在大量簡單甚至重復(fù)的口令, 這些口令會帶來嚴(yán)重的安全威脅.

僅2016 年上半年, 就有多家知名廠商出現(xiàn)百萬級用戶賬戶泄漏事件, 包括LinkedIn[8]、MySpace[9]、Twitter[10]、VKontakte[11]、Tumblr[12]等. 口令泄漏的原因, 一方面與用戶的習(xí)慣有關(guān), 為方便記憶而采用低信息熵的弱口令, 攻擊者很容易猜測出來. 同時, 大量用戶在不同的網(wǎng)站使用相同的口令, 使得攻擊者一旦獲得某個網(wǎng)站的賬戶數(shù)據(jù), 即可用相同的賬戶口令去嘗試登錄其他網(wǎng)站(俗稱撞庫). 另一方面, 與廠商所采用的口令保護算法有關(guān). 通常被泄漏的賬戶口令都是密文形式的, 如果廠商僅采用簡單的哈希算法來保護口令, 攻擊者很容易使用統(tǒng)計學(xué)方法分析出部分弱口令的明文.

盡管自2013 年以來, 國際標(biāo)準(zhǔn)NIST SP800-63-2 已經(jīng)明確廢止在口令存儲時使用MD5、SHA-1 等通用哈希算法, 轉(zhuǎn)而建議使用更為安全的口令專用哈希如Bcrypt、PBKDF2 等(見NIST SP800-63B,2017[13]). 然而, 目前大部分發(fā)生數(shù)據(jù)泄露的網(wǎng)站并未及時更新口令存儲算法, 仍然采用MD5、SHA-1 等過時的算法來對用戶口令進行加密.

相比于對稱加密和公鑰加密, 哈希運算不需要密鑰, 且部署簡單、性能高效、操作便捷. 用戶輸入口令后, 客戶端對口令執(zhí)行哈希運算, 然后發(fā)送給服務(wù)器端, 服務(wù)器端比對收到的哈希值與數(shù)據(jù)庫中存儲的值是否一致, 若一致則身份認(rèn)證成功, 否則認(rèn)證失敗. 然而, 由于對相同的輸入, 哈希運算的輸出一定相同, 導(dǎo)致相同口令的用戶, 其口令哈希值相同, 使得口令猜測成為可能.

從目前口令數(shù)據(jù)泄漏的途徑分析, 泄漏主要是由于網(wǎng)站服務(wù)器數(shù)據(jù)庫被攻破或者管理不善導(dǎo)致的. 最終歸結(jié)于口令數(shù)據(jù)存儲以及口令認(rèn)證的中心化. 即所有口令的認(rèn)證及存儲都由單一的服務(wù)器或單一服務(wù)器集群完成, 一旦該服務(wù)器或集群被攻破, 所有口令數(shù)據(jù)均遭泄漏, 給用戶和廠商造成重大損失. 針對單一服務(wù)器的不足, 文獻(xiàn)[14-16] 給出了基于雙服務(wù)器的解決方案.

為了解決上述問題, 本文提出一種基于公鑰體系的口令保護協(xié)議, 在該協(xié)議中, 相同口令將會對應(yīng)不同的密文. 同時, 為了避免單個服務(wù)器(集群) 存在內(nèi)部惡意攻擊者或者被外部攻擊者攻陷的情況, 本文方案是基于雙服務(wù)器的, 用戶每次登錄均需依次經(jīng)過兩個服務(wù)器的認(rèn)證, 且任意一個服務(wù)器都無法單獨完成認(rèn)證過程.

本文第2 節(jié)對口令在服務(wù)器端的存儲現(xiàn)狀以及等值判定協(xié)議等相關(guān)工作進行介紹. 第3 節(jié)介紹了雙線性對和困難問題等基礎(chǔ)知識. 第4 節(jié)給出了安全模型和系統(tǒng)模型. 第5 節(jié)給出了我們提出的協(xié)議及其正確性分析. 第6 節(jié)在隨機預(yù)言機模型下證明所提協(xié)議的安全性. 第7 節(jié)從計算開銷和通信開銷兩個方面對所提協(xié)議進行了性能分析. 最后在第8 節(jié)對全文進行總結(jié).

2 相關(guān)工作

通過統(tǒng)計互聯(lián)網(wǎng)上已泄漏的賬戶信息可知, 目前用戶口令在服務(wù)器端的存儲方式主要有三種: 明文、明文的哈希值以及對稱加密. 哈希又可分為帶鹽值和不帶鹽值兩種. 不帶鹽值的哈希, 相同的口令得到的哈希值相同. 而帶鹽值的哈希, 相同的口令得到的哈希值不同.

表1 列出了近年來部分賬戶資料遭泄漏的網(wǎng)站及其口令存儲方式[8,9,11,12,17,18]. 其中部分網(wǎng)站如RockYou、天涯、CSDN、Plenty of Fish、Sony Online Entertainment、the UN、Yahoo、Billabong、Cupid Media、Barracuda Networks、VKontakte 的口令使用明文存儲, 安全性最低, 攻擊者獲取到口令后可直接登錄, 且可用來嘗試登錄其他網(wǎng)站. 而eHarmony、LinkedIn、the Australian Broadcasting Company、MySpace 等網(wǎng)站使用了不帶鹽值的哈希, 由于相同的口令哈希值也相同, 攻擊者可以結(jié)合其他明文口令庫的頻率統(tǒng)計分析結(jié)果猜測出部分用戶的口令, 且只要有一個用戶口令被破解, 則與其相同的口令均被破解.

表1 已泄漏賬戶口令的存儲方式Table 1 Password storage mode for leaked accounts

同時, 由于部分用戶會在不同的網(wǎng)站使用相同的口令, 攻擊者也可以使用其他已泄漏的口令庫中相同賬戶名的口令嘗試登錄. GawKer、Evernote、Tumblr 等網(wǎng)站使用了帶鹽值的哈希, 比前兩種更安全, 攻擊者破解一次只能獲取一個口令. 但是在某些情況下, 攻擊者依然可能獲取口令(比如從泄漏出來的口令提示問題和答案進行推測). 表中最安全的是Adobe 公司使用的ECB 模式的3DES, 其對口令進行了三輪DES 加解密, 破解難度最高.

根據(jù)相關(guān)統(tǒng)計, 目前互聯(lián)網(wǎng)上的各種口令存儲方式使用比例如表2 所示[18]. 從表中可知, 哈希函數(shù)依然是服務(wù)器端口令存儲的主流方式. 然而, 通過上述分析可知, 哈希后存儲的口令易被破解, 已經(jīng)不足以滿足用戶的安全需求.

表2 口令存儲方式比例Table 2 Proportion of password storage

2.1 等值判定協(xié)議

作為公鑰可搜索加密的一部分, 公鑰等值判定協(xié)議首先由Yang 等人[19]首次提出. 該類協(xié)議專注于比較兩段密文對應(yīng)的明文是否相同(即使加密兩段密文所用的公鑰不相同),且在比較過程中不泄露明文的任何信息. 隨后, 一系列基于傳統(tǒng)PKI 體系的等值判定協(xié)議被提出[20-27], 這些方案分別從訪問控制、代理授權(quán)、判定委托等角度進行了研究. Xu 等人[28]在5G 網(wǎng)絡(luò)環(huán)境中設(shè)計了一種帶結(jié)果驗證的公鑰密文等值判定協(xié)議. 然而, 這些方案存在PKI 體系固有的證書管理問題. 為了解決這個問題, Ma 等人提出了基于身份的公鑰等值判定協(xié)議[29]. 在此基礎(chǔ)上, Wu 等人通過減少對HashToPoint 的使用, 提出了一個更高效的基于身份的等值判定協(xié)議[30]. 為了解決基于身份密碼系統(tǒng)存在的密鑰托管問題, Qu 等人[31]設(shè)計了基于無證書的密文等值判定協(xié)議. Lee 等人[32,33]在標(biāo)準(zhǔn)模型下設(shè)計了公鑰等值判定協(xié)議. 文獻(xiàn)[34-38]對基于屬性的密文等值判定協(xié)議的設(shè)計及其安全性進行了研究. 為了提高性能, Zhu 等人[39]設(shè)計了一個不使用雙線性對的密文等值判定協(xié)議.

然而, 在以上這些協(xié)議中, 所有的等值判定過程都由一個服務(wù)器單獨完成, 無法抵抗內(nèi)部惡意服務(wù)器或者外部攻擊者的攻擊.

3 預(yù)備知識

本節(jié)介紹雙線性對以及困難問題k-BDHI.

雙線性對: 設(shè)G1,GT是階為素數(shù)q的循環(huán)群,P是群G1的生成元. 定義e=G1×G1→GT為雙線性對, 其同時滿足以下三個條件:

4 模型

4.1 系統(tǒng)模型

此系統(tǒng)由三個角色組成, 括密鑰生成中心、用戶、服務(wù)提供商(前服務(wù)器和后服務(wù)器). 如圖1 所示.

密鑰生成中心(KGC): 負(fù)責(zé)系統(tǒng)初始化, 給用戶生成公私鑰對并通過安全信道將私鑰發(fā)送給用戶.

用戶: 是系統(tǒng)的使用者, 每個用戶均需在密鑰生成中心注冊. 用戶可以向系統(tǒng)發(fā)送登錄請求, 系統(tǒng)驗證通過后即登錄成功. 登錄前用戶需要將自己的陷門發(fā)送給服務(wù)器, 服務(wù)器才能對用戶發(fā)送的請求進行驗證.

圖1 系統(tǒng)模型Figure 1 System model

服務(wù)器: 分為前服務(wù)器和后服務(wù)器, 結(jié)合用戶的陷門, 前服務(wù)器進行判定計算, 而后由后服務(wù)器驗證用戶的登錄請求是否合法. 服務(wù)器無法獲取用戶口令除密文以外的任何有效信息.

4.2 安全模型

5 基于身份的雙服務(wù)器口令保護協(xié)議DS-IBPP

本節(jié)給出協(xié)議的具體內(nèi)容及其正確性分析. 常用符號如下.

5.1 協(xié)議具體內(nèi)容

該協(xié)議由以下8 個算法組成, 初始化算法、密鑰生成算法、陷門生成算法、口令加密算法、解密算法、前服務(wù)器判定算法、后服務(wù)器判定算法、口令更新算法.

5.2 協(xié)議正確性分析

故, 若等式(EA)YB=(EB)YA成立, 則MA=MB.

6 安全性分析

本節(jié)我們結(jié)合第4 節(jié)提出的安全模型, 在隨機預(yù)言機模型下證明此協(xié)議的安全性.

定理1 如果h1,h2,h3是隨機預(yù)言機且k-BDHI 問題是困難的, 則本文提出的基于身份的口令保護協(xié)議是IND-ID-CCA2 安全的. 假設(shè)存在一個敵手A能夠在多項式時間內(nèi)以不可忽略的概率ε(κ) 攻破本文提出的口令保護協(xié)議, 且最多執(zhí)行了qd次解密查詢、qi次hi查詢(1≤i ≤3), 則存在一個算法C, 能以概率AdvB(k) 解決k-BDHI 問題.

在隨機預(yù)言機模型中, 本文提出的基于身份的口令保護協(xié)議在適應(yīng)性選擇密文攻擊下具有不可區(qū)分性.

證明: 我們通過三個引理來證明定理1. 首先, 在引理1 中定義PubEnc1 協(xié)議, 如果存在一個INDID-CCA 敵手,能夠在4.1 節(jié)定義的安全模型下攻破我們提出的DS-IBPP 協(xié)議,則必存在一個IND-CCA敵手, 能夠攻破PubEnc1 協(xié)議. 其次, 在引理2 中我們定義PubEnc2 協(xié)議, 如果引理1 中的IND-CCA敵手存在, 則我們在引理2 中證明, 存在一個IND-CPA 敵手, 能夠在選擇明文攻擊下攻破PubEnc2 協(xié)議.最后, 在引理3 中我們證明, 如果PubEnc2 協(xié)議不是IND-CPA 安全的, 則k-BDHI 假設(shè)不成立.

驗證:r2·P=C2, 若成立, 則輸出明文m.

證明: 此引理可根據(jù)文獻(xiàn)[41] 的中的Fujisaki-Okamoto 轉(zhuǎn)換證明. BF-IBE 文獻(xiàn)[32] 中的定理4.5也有類似結(jié)論.

引理3 假設(shè)h2是隨機預(yù)言機, 存在一個IND-CPA 敵手A, 能夠以概率ε(κ) 攻破引理2 中提出的PubEnc2 協(xié)議, 最多執(zhí)行q2次h2查詢. 則必存在一個算法B, 能夠至少以概率2ε(κ)/q2解決q1-BDHI問題.

證明: 此定理的證明可以利用文獻(xiàn)[40,42] 中的技術(shù), 與文獻(xiàn)[43] 的引理3 證明方法類似, 這里不再贅述.

7 性能分析

本節(jié), 我們將從計算開銷和通信開銷兩方面對DS-IBPP 協(xié)議的性能進行分析.

為了評估協(xié)議性能, 我們在騰訊云服務(wù)器[44]上部署MIRACL 庫[45], 服務(wù)器配置: 操作系統(tǒng)為Ubuntu Server 16.04.1 LTS 64 位, CPU 為單核Intel(R) Xeon(R) CPU E5-26xxv3@2.3 GHz, 內(nèi)存1 GB.

在實驗中, 我們使用了橢圓曲線以及Tate 雙線性對. 橢圓曲線參數(shù)見表3. 經(jīng)過MIRACL 程序測試, 獲得各種基礎(chǔ)運算的執(zhí)行時間, 見表4. 其中,M表示群中的乘法, PA 表示群上的點加法運算,P表示Tate 對運算, Exp 表示群上的冪運算,H表示哈希到群上的階為q的點,h表示普通哈希運算.

表3 橢圓曲線參數(shù)Table 3 Parameters for ECC

表4 基礎(chǔ)操作執(zhí)行時間Table 4 Execution time of basic operations

根據(jù)統(tǒng)計, 我們的DS-IBPP 協(xié)議各算法的計算開銷如表5 所示. 密鑰生成算法、陷門生成算法、加密算法、解密算法、前服務(wù)器判定算法、后服務(wù)器判定算法執(zhí)行一次的計算開銷分別為0.006 ms、0.006 ms、10.812 ms、7.439 ms、11.464 ms 和3.948 ms. 通信開銷見表6 所示. 設(shè)|W| 表示元素W所占的存儲空間.

表5 DS-IBPP 協(xié)議各算法執(zhí)行一次的計算開銷Table 5 Computation cost of proposed DS-IBPP scheme

表6 DS-IBPP 協(xié)議的通信開銷Table 6 Communication cost of proposed DS-IBPP scheme

8 結(jié)論

日益增多的互聯(lián)網(wǎng)用戶口令數(shù)據(jù)泄漏事件, 使得用戶口令保護問題備受關(guān)注. 針對該問題的其中一種解決方法是提高用戶口令數(shù)據(jù)的存儲安全性. 目前網(wǎng)絡(luò)上的用戶口令存儲主要是采用哈希算法. 該方式存在對于相同的輸入, 其輸出一定相同的問題. 特別是當(dāng)攻擊者擁有大量口令哈希(如獲取泄漏的口令數(shù)據(jù))時, 大部分用戶口令將很容易被破解. 為了提高口令存儲的安全性, 同時避免單個惡意服務(wù)器(或服務(wù)器被攻陷) 的情況出現(xiàn), 本文首次提出了一種基于身份的雙服務(wù)器口令保護協(xié)議. 在隨機預(yù)言機模型下, 本文協(xié)議是IND-ID-CCA2 安全的. 與傳統(tǒng)的哈希算法相比, 盡管計算開銷和通信開銷都更大, 但是本文算法安全性更高. 即使攻擊者擁有大量口令密文樣本, 依然無法輕易破解大部分用戶的口令.