即可将网页分享至朋友圈
近日,我校计算机科学与工程学院(网络空间安全学院)许春香教授团队的硕士研究生宋雅晴以第一作者在网络与信息安全领域顶级期刊IEEE Trans. on Information Forensics and Security(CCF A类)上发表题为《Hardening Password-Based Credential Databases》的论文,许春香教授、张源研究员为论文通讯作者,电子科技大学为该论文唯一作者单位。
口令认证是目前最便捷高效的认证方法,被广泛应用于诸多场景中。然而,口令认证凭证数据库泄露导致的用户口令泄露是企业数据库最常发生的安全事件。例如,2012年,LinkedIn遭到黑客攻击,导致全球近650万用户的口令被泄露;2020年,有超过50万个Zoom用户的口令被黑客窃取并出售。该论文调研了现有三种口令凭证数据库保护机制(如图1所示)。由于口令本身固有的低熵特性,基于哈希函数的口令凭证保护机制无法抵御针对口令的离线字典猜测攻击。简单的“加盐”保护机制一定程度上可以增强对口令凭证的保护,然而一旦“盐值”泄露,敌手依然可以通过字典猜测攻击或者彩虹表攻击获得用户口令。
图1 现有口令凭证数据库保护框架设计
针对上述问题,该论文提出了一个针对口令凭证数据库的保护机制,该机制仅部署在服务器端,由一组密钥服务器以门限方式分布式存储盐值,以增强对口令认证凭证的保护,使得敌手无法通过窃取口令认证凭证数据库进而恢复用户口令。该机制对用户完全透明且不改变用户端的交互模式,能够兼容现有口令认证系统。同时,该论文采取了两种前设防御机制,使得服务器在保持用户透明性的同时更新盐值或更换密钥服务器,进一步增强了系统安全保障。
许春香,教授,博士生导师。中国密码学会理事,中国保密协会隐私保护专委会常务委员,电子科技大学第八届、第九届学术委员会委员。研究方向包括应用密码学、隐私保护、云计算安全、物联网安全、区块链技术、人工智能安全等。近十年来,主持国家自然科学基金面上项目3项,国家重点研发计划子课题2项;在IEEE TIFS、 IEEE TDSC、IEEE TMC、IEEE TCC、IEEE TSC等重要国际学术期刊和会议上发表论文100多篇;荣获顶级期刊IEEE Trans. Cloud Computing年度最佳论文奖。
论文链接:https://ieeexplore.ieee.org/document/10285125
编辑:李果 / 审核:李果 / 发布:陈伟
