本发明专利技术涉及一种基于honeyword的口令泄露查询系统,包括服务器、Honeychecker和客户端,查询过程包括预处理阶段与在线查询阶段两阶段,服务器存储有原始的泄露数据集,在预处理阶段对原始泄露的数据进行加密处理,将加密数据存储在服务器的后台数据库中;此外,服务器还需要在预处理阶段生成honeywords,使用honeywords协助检测后台数据库的数据泄露,并将原始泄露口令与原始泄露口令的变体在相应数据表的索引值交给Honeychecker储存;服务器在在线查询阶段完成与客户端的交互,告知客户端输入凭证的泄露情况。端输入凭证的泄露情况。端输入凭证的泄露情况。
【技术实现步骤摘要】
一种基于honeyword的口令泄露查询系统
[0001]本专利技术属于信息安全
,涉及计算机泄露检测方法,具体为一种基于honeyword的口令泄露查询系统。
技术介绍
[0002]作为应用最为广泛的身份认证方法,口令具有简单易用、成本低廉、容易更改等特性,在可预见的未来仍将是最主要的认证方法,因而口令安全在网络空间安全领域有着基础性的重要地位。但是,基于口令的身份认证系统需在服务器端维护一个用户口令数据库,这成为对攻击者极具价值的攻击目标。近年来,拖库、撞库等攻击手段导致大量口令数据泄露,势必给用户隐私及安全带来威胁。口令安全面临严峻挑战。
[0003]更为严重的是,很多网站往往难以及时发现这些口令泄露事件,导致攻击者有足够多的时间利用这些泄露数据发动攻击,甚至将其发布在网上以获取收益。例如,2008年发生3.6亿Myspace数据泄露事件历经8年才被发现;2014年发生的5亿Yahoo口令泄露事件直到其中部分数据在2016年被出售到暗网上才被察觉。此时再通知用户更新口令为时已晚。因此,及时向用户反馈口令泄露,降低泄露所带来的危害意义非凡。
[0004]为了实现系统的口令文件泄露后的及时检测,Juels和Rivest于2013年首次提出了诱饵口令(即“honeywords”)的思想。该方案对每个用户的帐户都关联一些honeywords,即使攻击者窃取了口令文件,并通过离线猜测攻击成功恢复出明文口令,真实口令仍隐藏在一组honeywords中。当honeywords生成算法足够好,做到与真实口令不可区分时,与目标服务器进行在线交互成为攻击者分辨真实口令的唯一手段。这样,进行在线登录尝试不仅会显著地延缓攻击者的猜测速率,而且服务器也可以通过攻击者登录时使用的honeywords觉察到口令文件的泄露。
[0005]为了防御撞库攻击,用于检查用户口令是否被泄露的第三方服务被不断提出,被称为C3服务。例如,Troy Hunt和CloudFlare在2018年部署了HaveIBeenPWned(HIBP),之后,Firefox、1Password等网站也陆续部署了该服务。2019年谷歌在Chrome中推出了一个口令检查的扩展Password Checkup(GPC),用来帮助Chrome用户检查他们的用户名和口令是否在谷歌收集的被破坏的凭据数据库中。2021年,微软在Edge中引入了口令监控功能Microsoft Password Monitor,据称这是第一个利用同态加密保护用户隐私的消费者应用程序。
[0006]然而,这些服务只检查确切的口令是否已经泄露,容易遭受最近提出的凭证调整攻击,即攻击者会猜测用户泄露口令的变体。在现实中,用户口令重用现象较为普遍,用户经常会在不同的网站上选择相似的口令(例如,根据网站策略将旧口令中的部分小写字母替换成大写字母,或简单地在旧口令后面添加一个“1”)。Pal等人通过模拟估计,尽管使用了C3服务,但这种凭证调整攻击者可通过不到10次猜测内破坏10%的已经泄露口令的用户的其他帐户。
[0007]为解决这个问题,Pal等人设计了“Might I Get Pwned”(MIGP)。该模型基于他们
the 2010ACMSIGSAC conference on computer and communications security,pages 176
–
186,2010.
[0022][13]Pal,Bijeeta and Islam,Mazharul and Bohuk,Marina Sanusi and Valenta,Luke andWood,Chris and Whalen,Tara and Sullivan,Nick and Ristenpart,Thomas andChatterjee,Rahul 2022.Might I Get Pwned:A Second Generation Password BreachAlerting Service.In 31th USENIX Security Symposium(USENIX Security 22)
[0023][14]Matt Weir,Sudhir Aggarwal,Breno de Medeiros,Bill Glodek.Password crackingusing probabilistic context
‑
free grammars[C].Proc.IEEE S&P 2009,pp.391
–
405
[0024][15]Krawczyk,H.:HMQV:A high
‑
performance secure Diffie
‑
Hellman protocol.In:Shoup,V.(ed.)CRYPTO 2005.LNCS,vol.3621,pp.546
–
566.
[0025][16]J ARECKI,S.,K IAYIAS,A.,AND K RAWCZYK,H.Round
‑
optimal password
‑
protectedsecret sharing and t
‑
pake in the password
‑
only model.In ASIACRYPT(2014),Springer,pp.233
–
253.
技术实现思路
[0026]本专利技术的目的是提供一种口令泄露查询系统,该系统能够提供口令泄露查询服务,即用户输入用户名与口令,系统会向其反馈口令是否已经被泄漏的各种情形,在此服务基础上,本专利技术还引入了honeywords技术来增强服务器端检测泄露的及时性。技术方案如下:
[0027]一种基于honeyword的口令泄露查询系统,包括服务器、Honeychecker和客户端,查询过程包括预处理阶段与在线查询阶段两阶段,服务器存储有原始的泄露数据集,在预处理阶段对原始泄露的数据进行加密处理,将加密数据存储在服务器的后台数据库中;此外,服务器还需要在预处理阶段生成honeywords,使用honeywords协助检测后台数据库的数据泄露,并将原始泄露口令与原始泄露口令的变体在相应数据表的索引值交给Honeychecker储存;服务器在在线查询阶段完成与客户端的交互,向客户端传输客户端的输入凭证可能存在的数据表数据;Honeychecker一方面储存原始泄露口令与原始泄露口令的变体在原数据表的索引值,另一方面在在线查询阶段,与客户端完成交互,告知客户端输入凭证的泄露情况;客户端是面向互联网用户的平台,用户在客户端输入用户名
‑
口令凭证对,由客户端完成与服务器、honeychecker的交互,最终向用户反馈输入凭证的泄露情况。
[0028]进一步地,预处理阶段,服务器使用其私钥k对原始的泄露数据集进行预处理加本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于honeyword的口令泄露查询系统,包括服务器、Honeychecker和客户端,查询过程包括预处理阶段与在线查询阶段两阶段,服务器存储有原始的泄露数据集,在预处理阶段对原始泄露的数据进行加密处理,将加密数据存储在服务器的后台数据库中;此外,服务器还需要在预处理阶段生成honeywords,使用honeywords协助检测后台数据库的数据泄露,并将原始泄露口令与原始泄露口令的变体在相应数据表的索引值交给Honeychecker储存;服务器在在线查询阶段完成与客户端的交互,向客户端传输客户端的输入凭证可能存在的数据表数据;Honeychecker一方面储存原始泄露口令与原始泄露口令的变体在原数据表的索引值,另一方面在在线查询阶段,与客户端完成交互,告知客户端输入凭证的泄露情况;客户端是面向互联网用户的平台,用户在客户端输入用户名
‑
口令凭证对,由客户端完成与服务器、honeychecker的交互,最终向用户反馈输入凭证的泄露情况。2.根据权利要求1所述的口令泄露查询系统,其特征在于,预处理阶段,服务器使用其私钥k对原始的泄露数据集进行预处理加密,原始的泄露数据集数据集由已经泄露的用户名与口令成对组成,加密完成后将加密数据储存到后台数据库,设已经泄露的用户名为u,已经明文泄露的口令为pw,对其预处理包括如下步骤:A1.对于已经明文泄露的口令pw,生成它的honeywords,将口令pw与生成的honeywords共同组成用户u的honyelist;A2.对honeylist遍历,对列表中的每条口令生成n个口令变体;A3.对honeylist中的每个口令pw和其n个变体按照OPRF加密算法进行加密,得到一个与用户u相关联的加密数据列表,将该加密数据保存到与用户u对应的数据表中,数据表的表名根据用户u的用户名生成;A4.在得到的加密数据列表中,找出用户口令pw及其n个相似变体在数据表中的一组索引值,将这组数据索引值发送给负责口令泄露检测的Honeychecker,由Honeychecker存储。3.根据权利要求2所述的口令泄露查询系统,其特征在于,用户进行口令泄露的在线查询,经过如下步骤:B1.用户在客户端输入查询的用户名与口令对,客户端生成随...
【专利技术属性】
技术研发人员:汪定,许明浒,黄竞彰,
申请(专利权)人:南开大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。