互聯網場景身份網絡安全認證方法分析_第1頁
互聯網場景身份網絡安全認證方法分析_第2頁
互聯網場景身份網絡安全認證方法分析_第3頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

互聯網場景身份網絡安全認證方法分析

互聯網之前的身份認證身份認證是一個古老的話題,從最早的戶籍造冊,到今天的2代身份證或社會保險號碼,“我是誰”或“他是誰”的問題貫穿著人類社會的發(fā)展。身份認證的歷史,是辨識方式演進的歷史。辨識可能是基于個體,如懸賞緝拿畫影圖形,也可能是針對群體,比如兩軍對壘,要身著不同的盔甲以做混戰(zhàn)中的辨識。身份認證的歷史,也是與仿冒和竊取對抗的歷史,從兵符形狀相合到蓋在圣旨上的“皇帝之寶”圖章,都是在與詐符矯詔進行著斗爭。因此,互聯網身份認證,并不是孤立新生的技術,它具有傳統(tǒng)的特點,也具有新生的便利性,同時也帶來了新的困難與挑戰(zhàn)。如果說網絡對身份識別方式的最大挑戰(zhàn)是身份與物理實體的脫離,那么,一個開放的互聯網所帶來的最大挑戰(zhàn)就是身份的虛擬化一般來說,在現實社會中,一個合法公民的身份是唯一的、終身的,但在網絡上并非如此。對于大多數網絡應用,用戶都可以自由擁有多個身份,并可以隨時新建或廢止它們,當然也包括一不小心遺失它們。用戶名/口令最原始的用戶名/口令安全模式,據說出現在1962年MIT的CTSS計算機之上。其中用戶名用來保證虛擬身份唯一,口令則用于保證虛擬身份安全。用戶名一經建立不可改變,而密碼則可以隨時更改。沒有人發(fā)現這其中的革命性意義嗎?身份和憑證被區(qū)分開了,因為與現實世界一樣,身份是不變的,但憑證則可以更新。互聯網身份認證的威脅也與傳統(tǒng)安全要素一脈相承,包括驗證場景的安全性、傳遞通道的安全性、憑據的質量等。第一波威脅傳統(tǒng)的用戶名/口令機制遇到的威脅,多來自其圍繞著早期UNIX系統(tǒng)那種非常明顯的君子時代的痕跡,但回頭來看,這些威脅實際一直演化至今。口令猜測:早期系統(tǒng)可以在低權限條件下實現用戶名列表的獲取,而同時還有默認用戶名和內建賬戶的存在(默認口令可能為空),這就使口令猜測成為可能。依托某些信息,進行單點的密碼猜解是一直存在的安全威脅,并逐漸推演出,單用戶大密碼檔猜測、多用戶常見密碼猜測和今天的拖庫后的撞庫攻擊。登錄過程嗅探:對于Telnet、FTP這些非常原始的遠程行命令工具來說,其連接場景都不是基于加密協(xié)議的。而HUB設備本身卻基于廣播,Sniffer是非常容易的事情。而今天基于主機在TDI、NDIS等層次的本機Sniffer,基于ARP欺騙的監(jiān)聽,和針對無線信號的各種威脅都顯得更加普遍??诹钗募淖ト。罕M管早期的UNIX系統(tǒng)進行了基于MD5或DES的加密,但其權限配置經常相對薄弱,其Shadow文件易于抓取,之后就可以進行從容地猜測或者暴力破解,這也可以視為“拖庫攻擊”的雛形。但在1998-2000年,隨著Switch取代HUB提升了Sniffer的實施成本,隨著Server系統(tǒng)的安全性普遍提高,隨著SSL的逐步廣泛應用,安全威脅呈現出走向桌面的趨勢,圍繞著登錄場景的安全構成了對口令安全的第一輪攻擊。登錄場景的安全登錄場景的安全,焦點在于攻擊者通過木馬等手段,對系統(tǒng)輸入和輸出信息的獲取。其中包括KeyLog(鍵盤記錄)、錄屏、遠程控制等手段。攻擊者利用這些手段截取用戶名和口令的輸入過程,從而可以在另一地點冒用身份進行登錄,或者在用戶本機進行非用戶本人的操作。而隨著主流桌面系統(tǒng)日趨復雜,更容易遭到相關手段的威脅,根據不完全整理,上述威脅點如表1所示。從場景安全的角度出發(fā),安全工作者和應用開發(fā)者想到了很多方法來改善場景安全,除了主機檢查、主機加固和反病毒軟件外,也對登錄過程的安全做了有針對性的嘗試。軟鍵盤:用以對抗Keylog,通過鼠標點擊進行密碼輸入,其主要問題是不能抵御遠程錄屏。加擾:在輸入過程加入擾動和解碼兩部分內容,使原始的Keylog獲取不到真正的鍵盤記錄信息,其主要問題在于擾動和解碼代碼本身難以有效對抗逆向分析,同時攻擊者總能實現更底層的獲取,實現在加擾前或者解碼后獲得真實的信息。前置檢查:用以在登錄過程之間進行安全檢查,包括環(huán)境檢查(一般是針對Keylog的各個掛接點)和病毒檢查兩部分。而病毒檢查有獨立檢查和外調反病毒軟件兩種。對于獨立檢查,由于不能掛載完整的反病毒引擎和庫,一般都采用的是有針對性的小規(guī)則集或者采用云檢測技術。盡管有很多產品,聲稱已經徹底解決了登錄過程的安全問題,但多數安全研究者依然傾向認為,在主機環(huán)境安全無法有得到效保障的前提下,很難實現這樣一種安全登錄方案—其過程是高安全等級的,并能與其他應用良好的兼容。因此,安全工作者開始尋找其他方法,從雙因數的思想出發(fā),尋覓不依賴于主機場景的安全機制。密???矩陣卡密保卡/矩陣卡作為一度在網游保護中普遍應用的產品,顯然是受到了傳統(tǒng)密碼本思路的啟發(fā)。其基本思想是,服務商建立若干組不同的位置+信息數據,每組數據對應唯一ID,這個ID與位置+信息的數據以印刷的方式制成物理介質分發(fā)給用戶,用戶將相關ID與自身賬號建立關聯綁定。之后,服務商則不僅要求用戶登錄過程中輸入用戶名和密碼,亦會要求用戶輸入在該介質上的一些位置信息。這是一種典型的雙因數安全思想。其密鑰分發(fā)通過傳統(tǒng)的銷售渠道來進行,從而不具備在網絡上監(jiān)聽的可能。而其自身又通過了刮刮卡等方式保護ID信息,來避免在分發(fā)渠道中遭遇翻拍記錄等威脅。但該機制很快遭遇到了安全挑戰(zhàn),那就是所謂的位置累計攻擊。由于用戶登錄場景安全難以保證,每次位置詢問的信息均難以避免不被獲取,特別是為了避免對單個位置信息的猜測式破解,一般該機制都是同時生成多個位置,要求用戶輸入對應信息。因此,攻擊者可以對相關位置信息進行累計。當信息累計到一定程度,攻擊者就可能進行多次登錄試探,當全部位置都落入攻擊者之手,攻擊者就進入系統(tǒng),取消用戶賬戶與密保/矩陣卡的關聯。這其實反映出了矩陣卡面臨的主要問題,就是其口令空間明顯受到了“工藝”和紙張大小的約束,使其為有限集。為了對抗這種攻擊,服務商只能通過增加張數的方式來增加密碼本的厚度,比如每月一張甚至每周一張。如果我們從傳統(tǒng)密碼學的角度看待這種問題,亦能找到原因。目前只有一種密碼機制具備者理論證明級的安全,那就是一次一密。但這一機制由于受到密碼空間的限制,因此顯然是“偽一次一密”。完全是民用級別的安全性。當然由于成本、易于攜帶等因素,其應用依然十分廣泛。有人認為由于矩陣卡基于印刷技術,因而成本低廉,但實際并非完全如此。與一般印刷不同,任何兩張密??ǖ膬热荻疾煌?,同時還需要在印刷后準確切割。因此密保卡都需要特制設備印刷。在密??▌倓偱d起的時期,相關印刷設備均價值百萬。只有在印量足夠大的情況下,相對電子令牌才有成本優(yōu)勢。當然,作為一種頻繁更換的產品,它也為網游廠商創(chuàng)造了一種增值服務的形式。手機動態(tài)口令對采用一次一密思路的體系來說,最大的困難不只在于大量密鑰的生成和管理,如何低成本安全地傳遞密鑰也是關鍵。在PKI體系中,公鑰算法被作為在同一個信道下可以實施安全會話密鑰傳遞的方案。但落實到目前的節(jié)點安全場景來看,無論是PrivateKey本身,還是用以保護它的Passphrase,都可能被入侵者非常容易地獲取。因此,PKI除非依托專用硬件,保證PrivateKey不被獲取,否則在解決登錄場景不安全條件下的登錄安全的問題方面,并無優(yōu)勢可言。由于手機的普及,使用文字短信作為動態(tài)口令分發(fā)的方法,成為一種可行的方案。它的優(yōu)點是不需要增加其他動態(tài)口令設備的成本,而只依托現有電信服務就可以解決問題。但這樣的問題,也是明顯的:第一,如果短信有一定滯后,用戶等待的體驗并不理想,開玩笑地說,手機動態(tài)口令最普遍的場景是運營商的網上營業(yè)廳,因為只有運營商能保證自己的短信及時到達;第二,對GSM網絡來說,其監(jiān)聽成本日趨低廉,在定向攻擊中,采用GSM動態(tài)口令的安全性,可能反而不如PC+靜態(tài)口令安全。第三,相對更大而更尷尬的問題出在手機上,傳統(tǒng)手機的安全性在一定程度上來自于其簡單。當它不再是那個只能進行語音通話和文字短信的無線終端,而變成一個掌上平臺,當各種木馬開始捆綁進入官方和非官方的AppStore或電子市場,當越來越多的預裝和復制的應用難以確定其安全性和真實來源時,手機安全性已經明顯呈現出比PC更差的趨勢。動態(tài)口令卡/令牌/電子密保能否建立一種機制,既能保證動態(tài)口令的一次性,同時又不產生密鑰傳遞的成本呢?如果動態(tài)口令的體驗能不依賴于第二信道的實時性,就更為理想。這就要求,在服務器和登錄者之間或者存在一個巨大的共有碼表,或者擁有一個具有隨時一致的元素。顯然,后者最理想的,就是時間。為此,基于隨機數種子+時間的動態(tài)口令/令牌機制產生了,其工作機理為,服務商為用戶分發(fā)一個帶有口令生成機制+顯示屏的電子設備。該設備在交付給用戶時完成初始化,生成用于與時間結合生成動態(tài)口令的唯一參數,該參數在服務端保存,從而完成一個依賴于時鐘的動態(tài)口令機制。有趣的是,這樣一個動態(tài)口令機制在歷史上依然出現過問題。由于考慮到時鐘誤差、用戶操作時間等因素,這個機制必須能保證在一個較短時差之內(默認一般為五分鐘)的登錄有效,而攻擊者則利用某廠商設計上的疏漏,即允許五分鐘之內采用相同憑據重復登錄,來獲取用戶輸入內容,之后登錄進去取消與動態(tài)口令卡的關聯,或者竊取用戶虛擬物品、修改密碼等。這是一個有趣的違反基本原則的設計案例,動態(tài)口令卡的設計初衷是保證登錄憑據向一次一密的思想靠攏,具有一次性,但這種問題卻明顯違背了這一原則。動態(tài)口令卡的安全性遇到的最大危機是2011年RSA公司被入侵后,計劃召回全球超過3000萬個電子令牌。USBKEYUSBKEY顯然是從加強場景安全的角度來入手的。它利用了USB接口設備內置的算法芯片,實現對數字的加密和簽名,通過電路控制,確保憑證不可被遠程獲取。攻擊者即使獲得了用戶名和密碼,也無法在其他位置登錄。USBKEY目前的主要問題是,攻擊者可能是通過遠程控制在被害者主機上進行操作的,而此時對于USBKEY體系來說,則無能為力。這一問題不僅對USBKEY存在,在用戶已經完成登錄過程的情況下,遠端系統(tǒng)都無法識別出操作來自用戶還是來自Backdoor。而我們必須嚴肅指出的是,目前最大的風險是一部分USBKEY并不是真正的帶有加密芯片的設備,而是所謂的隱藏數據U盤,但這種偽安全沒有得到足夠的揭露和警示。生物識別在傳統(tǒng)的物理安全領域,無論我們是否情愿,都不得不遇到一些生物識別的場景。比如我們在辦理某些國家簽證時,必須留下掌紋;有很多單位使用指紋打卡;電影里那些要害部門更是使用虹膜作為入門憑證。生物識別的最大意義,在于其與實體身份先天具備的不可脫離的對應關系。從這個意義上,生物識別與互聯網基本匿名原則存在某些對立。但包括Fackbook等互聯網巨頭在內,也莫不對臉部識別興趣十足。對生物識別的崇尚和批判,在安全領域一直都沒有停止過。一些反對者認為,至少對于臉部識別和指紋識別來說,這是更容易在完全無知覺、也無法追溯條件下套取的憑據。這比傳統(tǒng)口令只在輸入過程中才有被Keylog或者Sniffer的風險相比,要高得多。當然,復制這些憑據的成本自然也高得多,無論是制作指模,還是對面部的3D打印。而我認為,生物識別技術不適用于互聯網場景的最關鍵原因,在于它是一種可能被獲取,但卻不可廢止的憑據。我們只有兩個虹膜、兩個掌紋和十個指紋,而這使生物識別與上述任何一種安全機制相比,都處于明顯的劣勢。傳統(tǒng)的物理安全場景,基本保證了我們的指紋打卡機、虹膜檢驗儀是可靠的(即使只生成簽名數據,不保留原始數據)的,但如果這些手段泛化到一般性的應用,則這種保障就不復存在。而同時,由于生物識別是在高等級的安全部門普遍采用的,如果互聯網普遍使用,也就加大了敏感人員的個人生物信息被通過釣魚等方式獲取的風險。當然,虹膜、骨像等認證基本不太可能出現在互聯網的日常應用中,而盡管一些筆記本本身已經默認帶有指紋識別,但攝像頭肯定是最普適的生物識別設備。因此,臉部識別的爭論和博弈,就會成為焦點。但實際上,露一面就上網,或者像刷一下指紋就進電腦一樣,其實就是一個登錄過程的Agent,充其量是解決了方便性問題而已。如果真的采用這個信息完成登錄過程,那么無疑還是要生成相關的簽名數據傳遞過去,只要有這個生成和傳遞過程,就有被獲取的可能,因此并不需要用3D打印再造一張臉,只要實現一個簽名數據的重放即可。巨頭們真正對臉部識別感興趣的原因,絕不是其安全性,而是其巨大商業(yè)圖謀。當圖像識別出登錄者臉上的雀斑時,就能定向投放祛斑霜的廣告,這是多么精準的投放!尾聲安全威脅就像一個永遠不能被抓獲的流竄犯,只能被我們趕來趕去,當我們認為隨著動態(tài)口令卡、USBKEY等的廣泛使用,基于PC的關鍵性互聯網業(yè)務安全開始獲得一定保障時,安全威脅仿佛又轉入到了對Server端的威脅。而同時在終端上我們亦無法解決一切問題,盡管登錄過程已經有了保護,但信息交互的全程并不是僅靠加密就能保護的。五年前,當我們分析一個并不盜號的網銀木馬時,驚詫地發(fā)現,它就是截獲用戶轉款操作,把目標賬戶改為預設的賬戶。顯然這是上述任何機制都不能絕對解決的問題,即使USBKEY是基于公鑰簽名算法的,也無法判定讓其簽名的數據是否合

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論