2024-06-10 19:42 来源:本站编辑
“请在两分钟内输入密码。”一次性密码(otp)的概念已成为我们在敏感应用程序(如政府和金融服务)中安全用户验证程序的支柱。通常在多因素身份验证方案中发现,标准OTP通过对用户输入给定密码施加时间限制来抵御黑客攻击。
然而,面对日益增长的网络威胁,当前的OTP协议将慢慢被淘汰。设计一个更好的协议来加强用户信息的安全性和隐私性并不是一项简单的任务。
新加坡科技与设计大学(SUTD)的周建英教授和他的合作者最近提出了一个新方案,解决了现有OTP方法的一些缺点。这项研究的结果发表在《IEEE信息取证与安全学报》上的论文《动态组时间一次性密码》上。
有几种实现OTP方案的标准方法。一种被称为RFC 6238的方法,存储对称密钥来生成这些临时密码,这些密码应该与机构的服务器共享。另一种是Lamport'81方案,它要求用户设备和服务器具有单独的密码验证密钥。
然而,每种方法都有其自身的漏洞——rfc 6238容易受到服务器的破坏,而Lamport'81方案无法防止对每个用户身份的恶意跟踪。这为潜在的不法分子提供了一个诱人的宝藏:如果他们可以撬开服务器的裂缝,所有用户的安全信息都是他们的。
密码学领域的发展提出了各种方法来掩盖这个漏洞。周教授重点介绍了他之前与他的合作者提出的一个基于时间的小组OTP (GTOTP)方案。该方案涉及随机洗牌树状结构,用户在树的每个叶子上标记以进行验证。
然而,树形算法的结构在被植入之后是不能改变的。所有参与身份验证的用户必须从一开始就在场——他们不能离开,新用户也不能加入。
周教授表示:“以前的方案所假定的群体结构的静态性质,并没有反映出成员关系中常见的流动性,无论是在商业环境、合作项目还是社区环境中。”
在最新的工作中,周教授和他的合作者研究了一种可以在实际情况下实施的名为动态GTOTP (DGTOTP)的新方案。研究人员专注于克服动态用户环境困难的两个障碍:(1)小型设备的快速高效算法,以及(2)可塑用户池的组管理。
现代手持设备通常都很小,没有很强的计算能力。在设备上运行的任何算法都应保持紧凑和高效。研究人员提出了一种三方面的方法来减少计算开销。
“DGTOTP计划将密码生成和管理等任务外包,以减轻群组成员的计算负担。”此外,它通过增强消息身份验证功能来解决安全集成的挑战。”周教授解释说,重点介绍了轻量级匿名客户端身份验证方法。
该计划采用先问题后加入(IFJL)策略,作为交换交换的交换点,在不干扰其他组织成员的本地状态的情况下,可以无缝地处理加入行动。
此动态方案可应用于在动态组设置中进行安全高效身份验证至关重要的实际场景。例如,在团队经常更换成员或与外部合作伙伴一起工作的协作工作环境中,在促进安全入职和卸载的同时,拥有对共享资源的安全访问将会受益。在在线社区和论坛中,版主可以选择限制对某些部分或功能的访问。
周教授的建议只是加强隐私和安全的第一步,还有许多道路需要探索。在见证广泛采用之前,还有一些路要走。
他总结道:“在实际应用中,将我们的概念扩展到安全集成传输层安全(TLS)和DGTOTP,可能会导致建立相互匿名认证凭据通道的协议的发展。”
更多资料:曹雪莲等,动态组时间一次性密码,IEEE信息取证与安全学报(2024)。DOI: 10.1109/TIFS.2024.3386350由新加坡科技与设计大学提供引文:用“移动的树”增强网络安全(2024,5月29日)检索自2024年5月29日https://techxplore.com/news/2024-05-cybersecurity-trees.html本文档受版权保护。除为私人学习或研究目的而进行的任何公平交易外,未经书面许可,不得转载任何部分。内容仅供参考之用。
