基于身份的雙服務器口令保護協議*

羅 敏, 孫艾穎, 陰曉光, 張 棟, 何德彪

1. 武漢大學 國家網絡安全學院, 武漢430072

2. 密碼科學技術國家重點實驗室, 北京100878

3. 國家電網大連供電公司, 大連116000

4. 國家電網鄭州供電公司, 鄭州450000

1 引言

口令認證是目前互聯網上使用最廣泛的身份認證機制. 其具有簡單易用、部署成本低、容易找回等特點[1]. 在更好的認證機制出現之前, 口令仍將長期用于身份認證[2,3]. 在實際使用中, 由于機器產生的口令長度大且復雜, 不易記憶, 使得多數情況下口令都由用戶自行選擇. 而為了便于記憶, 用戶傾向于選擇生日、電話號碼等容易被猜測到的有意義的字符串作為口令[4-6]. 同時, 口令的使用場景越來越豐富(如社交軟件、智能手機、電子郵箱等等), 使得口令管理愈發復雜, 而人類大腦能力有限, 只能記憶5-7 個口令,導致用戶在多個場景使用同一口令[6,7]. 這使得目前互聯網上存在大量簡單甚至重復的口令, 這些口令會帶來嚴重的安全威脅.

僅2016 年上半年, 就有多家知名廠商出現百萬級用戶賬戶泄漏事件, 包括LinkedIn[8]、MySpace[9]、Twitter[10]、VKontakte[11]、Tumblr[12]等. 口令泄漏的原因, 一方面與用戶的習慣有關, 為方便記憶而采用低信息熵的弱口令, 攻擊者很容易猜測出來. 同時, 大量用戶在不同的網站使用相同的口令, 使得攻擊者一旦獲得某個網站的賬戶數據, 即可用相同的賬戶口令去嘗試登錄其他網站(俗稱撞庫). 另一方面, 與廠商所采用的口令保護算法有關. 通常被泄漏的賬戶口令都是密文形式的, 如果廠商僅采用簡單的哈希算法來保護口令, 攻擊者很容易使用統計學方法分析出部分弱口令的明文.

盡管自2013 年以來, 國際標準NIST SP800-63-2 已經明確廢止在口令存儲時使用MD5、SHA-1 等通用哈希算法, 轉而建議使用更為安全的口令專用哈希如Bcrypt、PBKDF2 等(見NIST SP800-63B,2017[13]). 然而, 目前大部分發生數據泄露的網站并未及時更新口令存儲算法, 仍然采用MD5、SHA-1 等過時的算法來對用戶口令進行加密.

相比于對稱加密和公鑰加密, 哈希運算不需要密鑰, 且部署簡單、性能高效、操作便捷. 用戶輸入口令后, 客戶端對口令執行哈希運算, 然后發送給服務器端, 服務器端比對收到的哈希值與數據庫中存儲的值是否一致, 若一致則身份認證成功, 否則認證失敗. 然而, 由于對相同的輸入, 哈希運算的輸出一定相同, 導致相同口令的用戶, 其口令哈希值相同, 使得口令猜測成為可能.

從目前口令數據泄漏的途徑分析, 泄漏主要是由于網站服務器數據庫被攻破或者管理不善導致的. 最終歸結于口令數據存儲以及口令認證的中心化. 即所有口令的認證及存儲都由單一的服務器或單一服務器集群完成, 一旦該服務器或集群被攻破, 所有口令數據均遭泄漏, 給用戶和廠商造成重大損失. 針對單一服務器的不足, 文獻[14-16] 給出了基于雙服務器的解決方案.

為了解決上述問題, 本文提出一種基于公鑰體系的口令保護協議, 在該協議中, 相同口令將會對應不同的密文. 同時, 為了避免單個服務器(集群) 存在內部惡意攻擊者或者被外部攻擊者攻陷的情況, 本文方案是基于雙服務器的, 用戶每次登錄均需依次經過兩個服務器的認證, 且任意一個服務器都無法單獨完成認證過程.

本文第2 節對口令在服務器端的存儲現狀以及等值判定協議等相關工作進行介紹. 第3 節介紹了雙線性對和困難問題等基礎知識. 第4 節給出了安全模型和系統模型. 第5 節給出了我們提出的協議及其正確性分析. 第6 節在隨機預言機模型下證明所提協議的安全性. 第7 節從計算開銷和通信開銷兩個方面對所提協議進行了性能分析. 最后在第8 節對全文進行總結.

2 相關工作

通過統計互聯網上已泄漏的賬戶信息可知, 目前用戶口令在服務器端的存儲方式主要有三種: 明文、明文的哈希值以及對稱加密. 哈希又可分為帶鹽值和不帶鹽值兩種. 不帶鹽值的哈希, 相同的口令得到的哈希值相同. 而帶鹽值的哈希, 相同的口令得到的哈希值不同.

表1 列出了近年來部分賬戶資料遭泄漏的網站及其口令存儲方式[8,9,11,12,17,18]. 其中部分網站如RockYou、天涯、CSDN、Plenty of Fish、Sony Online Entertainment、the UN、Yahoo、Billabong、Cupid Media、Barracuda Networks、VKontakte 的口令使用明文存儲, 安全性最低, 攻擊者獲取到口令后可直接登錄, 且可用來嘗試登錄其他網站. 而eHarmony、LinkedIn、the Australian Broadcasting Company、MySpace 等網站使用了不帶鹽值的哈希, 由于相同的口令哈希值也相同, 攻擊者可以結合其他明文口令庫的頻率統計分析結果猜測出部分用戶的口令, 且只要有一個用戶口令被破解, 則與其相同的口令均被破解.

表1 已泄漏賬戶口令的存儲方式Table 1 Password storage mode for leaked accounts

同時, 由于部分用戶會在不同的網站使用相同的口令, 攻擊者也可以使用其他已泄漏的口令庫中相同賬戶名的口令嘗試登錄. GawKer、Evernote、Tumblr 等網站使用了帶鹽值的哈希, 比前兩種更安全, 攻擊者破解一次只能獲取一個口令. 但是在某些情況下, 攻擊者依然可能獲取口令(比如從泄漏出來的口令提示問題和答案進行推測). 表中最安全的是Adobe 公司使用的ECB 模式的3DES, 其對口令進行了三輪DES 加解密, 破解難度最高.

根據相關統計, 目前互聯網上的各種口令存儲方式使用比例如表2 所示[18]. 從表中可知, 哈希函數依然是服務器端口令存儲的主流方式. 然而, 通過上述分析可知, 哈希后存儲的口令易被破解, 已經不足以滿足用戶的安全需求.

表2 口令存儲方式比例Table 2 Proportion of password storage

2.1 等值判定協議

作為公鑰可搜索加密的一部分, 公鑰等值判定協議首先由Yang 等人[19]首次提出. 該類協議專注于比較兩段密文對應的明文是否相同(即使加密兩段密文所用的公鑰不相同),且在比較過程中不泄露明文的任何信息. 隨后, 一系列基于傳統PKI 體系的等值判定協議被提出[20-27], 這些方案分別從訪問控制、代理授權、判定委托等角度進行了研究. Xu 等人[28]在5G 網絡環境中設計了一種帶結果驗證的公鑰密文等值判定協議. 然而, 這些方案存在PKI 體系固有的證書管理問題. 為了解決這個問題, Ma 等人提出了基于身份的公鑰等值判定協議[29]. 在此基礎上, Wu 等人通過減少對HashToPoint 的使用, 提出了一個更高效的基于身份的等值判定協議[30]. 為了解決基于身份密碼系統存在的密鑰托管問題, Qu 等人[31]設計了基于無證書的密文等值判定協議. Lee 等人[32,33]在標準模型下設計了公鑰等值判定協議. 文獻[34-38]對基于屬性的密文等值判定協議的設計及其安全性進行了研究. 為了提高性能, Zhu 等人[39]設計了一個不使用雙線性對的密文等值判定協議.

然而, 在以上這些協議中, 所有的等值判定過程都由一個服務器單獨完成, 無法抵抗內部惡意服務器或者外部攻擊者的攻擊.

3 預備知識

本節介紹雙線性對以及困難問題k-BDHI.

雙線性對: 設G1,GT是階為素數q的循環群,P是群G1的生成元. 定義e=G1×G1→GT為雙線性對, 其同時滿足以下三個條件:

4 模型

4.1 系統模型

此系統由三個角色組成, 括密鑰生成中心、用戶、服務提供商(前服務器和后服務器). 如圖1 所示.

密鑰生成中心(KGC): 負責系統初始化, 給用戶生成公私鑰對并通過安全信道將私鑰發送給用戶.

用戶: 是系統的使用者, 每個用戶均需在密鑰生成中心注冊. 用戶可以向系統發送登錄請求, 系統驗證通過后即登錄成功. 登錄前用戶需要將自己的陷門發送給服務器, 服務器才能對用戶發送的請求進行驗證.

圖1 系統模型Figure 1 System model

服務器: 分為前服務器和后服務器, 結合用戶的陷門, 前服務器進行判定計算, 而后由后服務器驗證用戶的登錄請求是否合法. 服務器無法獲取用戶口令除密文以外的任何有效信息.

4.2 安全模型

5 基于身份的雙服務器口令保護協議DS-IBPP

本節給出協議的具體內容及其正確性分析. 常用符號如下.

5.1 協議具體內容

該協議由以下8 個算法組成, 初始化算法、密鑰生成算法、陷門生成算法、口令加密算法、解密算法、前服務器判定算法、后服務器判定算法、口令更新算法.

5.2 協議正確性分析

故, 若等式(EA)YB=(EB)YA成立, 則MA=MB.

6 安全性分析

本節我們結合第4 節提出的安全模型, 在隨機預言機模型下證明此協議的安全性.

定理1 如果h1,h2,h3是隨機預言機且k-BDHI 問題是困難的, 則本文提出的基于身份的口令保護協議是IND-ID-CCA2 安全的. 假設存在一個敵手A能夠在多項式時間內以不可忽略的概率ε(κ) 攻破本文提出的口令保護協議, 且最多執行了qd次解密查詢、qi次hi查詢(1≤i ≤3), 則存在一個算法C, 能以概率AdvB(k) 解決k-BDHI 問題.

在隨機預言機模型中, 本文提出的基于身份的口令保護協議在適應性選擇密文攻擊下具有不可區分性.

證明: 我們通過三個引理來證明定理1. 首先, 在引理1 中定義PubEnc1 協議, 如果存在一個INDID-CCA 敵手,能夠在4.1 節定義的安全模型下攻破我們提出的DS-IBPP 協議,則必存在一個IND-CCA敵手, 能夠攻破PubEnc1 協議. 其次, 在引理2 中我們定義PubEnc2 協議, 如果引理1 中的IND-CCA敵手存在, 則我們在引理2 中證明, 存在一個IND-CPA 敵手, 能夠在選擇明文攻擊下攻破PubEnc2 協議.最后, 在引理3 中我們證明, 如果PubEnc2 協議不是IND-CPA 安全的, 則k-BDHI 假設不成立.

驗證:r2·P=C2, 若成立, 則輸出明文m.

證明: 此引理可根據文獻[41] 的中的Fujisaki-Okamoto 轉換證明. BF-IBE 文獻[32] 中的定理4.5也有類似結論.

引理3 假設h2是隨機預言機, 存在一個IND-CPA 敵手A, 能夠以概率ε(κ) 攻破引理2 中提出的PubEnc2 協議, 最多執行q2次h2查詢. 則必存在一個算法B, 能夠至少以概率2ε(κ)/q2解決q1-BDHI問題.

證明: 此定理的證明可以利用文獻[40,42] 中的技術, 與文獻[43] 的引理3 證明方法類似, 這里不再贅述.

7 性能分析

本節, 我們將從計算開銷和通信開銷兩方面對DS-IBPP 協議的性能進行分析.

為了評估協議性能, 我們在騰訊云服務器[44]上部署MIRACL 庫[45], 服務器配置: 操作系統為Ubuntu Server 16.04.1 LTS 64 位, CPU 為單核Intel(R) Xeon(R) CPU E5-26xxv3@2.3 GHz, 內存1 GB.

在實驗中, 我們使用了橢圓曲線以及Tate 雙線性對. 橢圓曲線參數見表3. 經過MIRACL 程序測試, 獲得各種基礎運算的執行時間, 見表4. 其中,M表示群中的乘法, PA 表示群上的點加法運算,P表示Tate 對運算, Exp 表示群上的冪運算,H表示哈希到群上的階為q的點,h表示普通哈希運算.

表3 橢圓曲線參數Table 3 Parameters for ECC

表4 基礎操作執行時間Table 4 Execution time of basic operations

根據統計, 我們的DS-IBPP 協議各算法的計算開銷如表5 所示. 密鑰生成算法、陷門生成算法、加密算法、解密算法、前服務器判定算法、后服務器判定算法執行一次的計算開銷分別為0.006 ms、0.006 ms、10.812 ms、7.439 ms、11.464 ms 和3.948 ms. 通信開銷見表6 所示. 設|W| 表示元素W所占的存儲空間.

表5 DS-IBPP 協議各算法執行一次的計算開銷Table 5 Computation cost of proposed DS-IBPP scheme

表6 DS-IBPP 協議的通信開銷Table 6 Communication cost of proposed DS-IBPP scheme

8 結論

日益增多的互聯網用戶口令數據泄漏事件, 使得用戶口令保護問題備受關注. 針對該問題的其中一種解決方法是提高用戶口令數據的存儲安全性. 目前網絡上的用戶口令存儲主要是采用哈希算法. 該方式存在對于相同的輸入, 其輸出一定相同的問題. 特別是當攻擊者擁有大量口令哈希(如獲取泄漏的口令數據)時, 大部分用戶口令將很容易被破解. 為了提高口令存儲的安全性, 同時避免單個惡意服務器(或服務器被攻陷) 的情況出現, 本文首次提出了一種基于身份的雙服務器口令保護協議. 在隨機預言機模型下, 本文協議是IND-ID-CCA2 安全的. 與傳統的哈希算法相比, 盡管計算開銷和通信開銷都更大, 但是本文算法安全性更高. 即使攻擊者擁有大量口令密文樣本, 依然無法輕易破解大部分用戶的口令.