資源描述:
《附加碼技術(shù)與口令保護(hù)》由會(huì)員上傳分享���,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫�。
1�、附加碼技術(shù)與口令保護(hù)北京圖形研究所冷巍摘要附加碼是一種原理簡(jiǎn)單安全技術(shù)��,在抵御網(wǎng)絡(luò)攻擊�����、保護(hù)口令等方面得到廣泛的應(yīng)用�。本文針對(duì)附加碼技術(shù)的特點(diǎn),討論了提高附加碼本身安全性的方法��,并分析了附加碼技術(shù)在抵御多種口令攻擊�����、增強(qiáng)口令安全性方面的作用�。關(guān)鍵詞附加碼;口令���;網(wǎng)絡(luò)安全隨著網(wǎng)絡(luò)應(yīng)用的高速發(fā)展����,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到社會(huì)生活的每一個(gè)領(lǐng)域�����,為社會(huì)發(fā)展帶來強(qiáng)大推動(dòng)力的同時(shí),突出的安全問題也嚴(yán)重地影響了網(wǎng)絡(luò)的健康發(fā)展�����,日益成為人們關(guān)注的焦點(diǎn)��。正如病毒的泛濫造就了反病毒技術(shù)的成功�����,黑客的猖獗推動(dòng)了入侵檢測(cè)與漏洞掃描等反制技
2���、術(shù)的發(fā)展,木馬技術(shù)的興起也促進(jìn)了反竊密技術(shù)的研究�,各種安全技術(shù)與理論的建立與不斷完善,為網(wǎng)絡(luò)與信息安全問題提供了有效的解決方案�����。附加碼技術(shù)作為近年來出現(xiàn)的一種簡(jiǎn)單而有效的安全技術(shù)�����,在維護(hù)網(wǎng)站安全�����、防御口令攻擊等方面得到了廣泛應(yīng)用。一����、附加碼技術(shù)1.什么是附加碼所謂的附加碼是應(yīng)對(duì)在線破解密碼口令的一種安全技術(shù),它是由服務(wù)器隨即生成的一個(gè)字符和數(shù)字序列�����,該字符串通常需要用戶進(jìn)行識(shí)別輸入��,作為用戶注冊(cè)登錄進(jìn)行認(rèn)證身份的附加信息��,常用的附加碼如圖1所示��。圖1常用附加碼2.附加碼的特點(diǎn)(1)附加碼是隨機(jī)生成的�。(2)附加
3、碼只是為防止程序猜測(cè)等目的而生成的無意義字符串�,不需要用戶記憶。(3)附加碼只對(duì)當(dāng)前服務(wù)有效���,并具備時(shí)效性�,只在一定時(shí)間內(nèi)有效。如一般網(wǎng)頁規(guī)定附加碼的有效時(shí)間為5分鐘���。3.附加碼安全附加碼作為一種安全技術(shù)���,其根本就在于其具備一定的信息隱藏性,使得一般程序化手段難以進(jìn)行提取��,因此�,提高附加碼的安全性,必須從增加信息提取難度入手��。(1)文本化的附加碼文本化的附加碼由服務(wù)器隨機(jī)產(chǎn)生�,但其基本不具備信息隱藏性,因此�����,在其生命周期的兩個(gè)階段都可能被截取而失效:在網(wǎng)絡(luò)傳輸階段���,攻擊者通過網(wǎng)絡(luò)嗅探工具很容易截獲和提取文本方式
4、傳輸?shù)母郊哟a����;對(duì)于附加碼的傳輸安全,雖然可以采用加密傳輸加以解決�����,但最終在客戶端的頁面顯示上,仍然很容易被提取���,因此文本方式的附加碼存在致命的缺陷�,在實(shí)際應(yīng)用中已經(jīng)被淘汰�。(2)圖形化的附加碼圖形化的附加碼首先是由服務(wù)器隨機(jī)產(chǎn)生文本序列,然后與背景圖片進(jìn)行信息融合生成最終的附加碼�����。圖形化附加碼的安全強(qiáng)度主要基于圖像識(shí)別的難度����。圖形化附加碼從兩個(gè)方面增加了信息提取難度:一方面,在信息傳輸和頁面顯示中不存在直接可提取的附加碼文本��,要進(jìn)行圖像—>文本的程序轉(zhuǎn)換必須通過圖像識(shí)別��;另一方面�,針對(duì)圖像識(shí)別技術(shù),可在信息融合
5�����、過程中添加干擾信息,同時(shí)進(jìn)行圖像混雜����、扭曲或變形處理,增加圖像識(shí)別的難度�����,從而提高圖像識(shí)別的算法復(fù)雜度����,降低識(shí)別正確率,以達(dá)到用戶可識(shí)別���,而無法進(jìn)行程序化識(shí)別的最終目標(biāo)��。提高圖形化附加碼安全強(qiáng)度的方法主要有:a)背景干擾�����。選擇變化的背景圖片,是降低圖像識(shí)別率的基本方法���。通常有不同的背景色��、背景點(diǎn)����、背景圖、漸變背景色����、網(wǎng)格背景等等,如圖2所示:圖2背景干擾圖b)前景變形��。通過對(duì)前景圖形(通常是數(shù)字�����、字符�、漢字等)進(jìn)行傾斜、膨化�����、波浪化��、風(fēng)化�、背景圖形凹凸����、球狀扭曲等等效果來形成�,如圖3所示:圖3前景變形c)信息碼
6、變換�����。通過改變字符�����、數(shù)字等的字體�����、顏色�����、位置��、大小和增加多余線條來干擾圖像的識(shí)別�����。如圖4所示:圖4信息碼變換二��、附加碼抵御口令入侵抵御網(wǎng)絡(luò)口令入侵��,避免有不良用戶使用程序猜測(cè)其它用戶密碼保護(hù)資料是當(dāng)前附加碼的主要應(yīng)用�。附加碼可以防止攻擊者采用窮舉攻擊或者字典攻擊的方式來實(shí)施口令入侵。窮舉攻擊是指攻擊者通過遍歷口令空間的所有口令�����,從而找出正確口令的方法��,使用窮舉攻擊方法破解口令所需要的時(shí)間是該口令長(zhǎng)度的幾何函數(shù)�����,也取決于口令的幾處字符集的大小等因素�����;字典攻擊則是一種針對(duì)弱口令的攻擊方法����,自動(dòng)從計(jì)算機(jī)字典中取出所有
7、條目��,逐次作為口令進(jìn)行嘗試,最終破解正確口令����。以上的這些攻擊都完全依賴于高度的程序化和自動(dòng)化,以及計(jì)算機(jī)的高速計(jì)算能力����,現(xiàn)代計(jì)算機(jī)已經(jīng)可以實(shí)現(xiàn)在幾分鐘甚至幾秒內(nèi)破解8-16位用戶口令,任何基于簡(jiǎn)單口令的安全在口令入侵面前不堪一擊���。采用附加碼可以很好地抵御窮舉攻擊和字典攻擊��。由于每次頁面訪問的附加碼都不相同�,同時(shí)安全程度較高的附加碼使得程序化的信息提取變得不可能����,而必須由用戶進(jìn)行識(shí)別輸入。由于人工因素的引入��,使得原本單位時(shí)間內(nèi)高密度的攻擊驟減���,由基于計(jì)算機(jī)計(jì)算能力的高頻攻擊轉(zhuǎn)化為基于人工輸入的低頻攻擊����,針對(duì)簡(jiǎn)單口
8、令的窮舉攻擊和字典攻擊都將會(huì)耗費(fèi)大量的時(shí)間和人力�,從而導(dǎo)致口令遍歷的攻擊方式失效;同時(shí)��,為提高口令的安全����,還可以采用帳號(hào)鎖定的功能����,當(dāng)嘗試破解密碼達(dá)到一定的次數(shù)時(shí),自動(dòng)將帳號(hào)暫時(shí)鎖定起來��,以便使黑客無法進(jìn)行密碼破解�����。這兩種技術(shù)本質(zhì)上都是增加進(jìn)行口令攻擊的時(shí)間耗費(fèi)����,從而提高用戶口令的安全性。當(dāng)前����,有許多專門的破解工具可以在線破解口令(如BBS口令�����、在線郵件口令等)���,造成了極大的安全威脅,
