網(wǎng)絡(luò)密碼認(rèn)證安全研究

焦東杰，王貞化

（1.漯河醫(yī)學(xué)高等?？茖W(xué)校，河南 漯河 462002；2.河南師范大學(xué)，河南 新鄉(xiāng) 453007）

網(wǎng)絡(luò)密碼認(rèn)證安全研究

焦東杰1，王貞化2

（1.漯河醫(yī)學(xué)高等?？茖W(xué)校，河南 漯河 462002；2.河南師范大學(xué)，河南 新鄉(xiāng) 453007）

針對(duì)網(wǎng)絡(luò)密碼認(rèn)證中存在的風(fēng)險(xiǎn)，提出一種基于瀏覽器的密碼安全認(rèn)證方法。該方法利用Windows消息傳遞機(jī)制和瀏覽器插件的特點(diǎn)并引入鉤子技術(shù)、散列函數(shù)，從而保護(hù)用戶密碼認(rèn)證安全，并為每一個(gè)站點(diǎn)生成惟一的認(rèn)證密碼。

瀏覽器插件；密碼認(rèn)證；鉤子技術(shù)；散列函數(shù)；網(wǎng)絡(luò)釣魚

隨著網(wǎng)絡(luò)的快速發(fā)展，各種各樣的黑客攻擊層出不窮，對(duì)用戶和網(wǎng)絡(luò)造成巨大的安全風(fēng)險(xiǎn)。由于絕大多數(shù)網(wǎng)站采用表單提交密碼的方式認(rèn)證用戶身份，進(jìn)而為之提供個(gè)性化服務(wù)，一旦黑客通過某些技術(shù)竊取用戶密碼等重要信息，那么黑客便可以用戶合法的身份登錄竊取用戶信息等資料。密碼認(rèn)證安全的研究有2個(gè)方向，一是基于客戶端，二是有服務(wù)器端參與。目前，國內(nèi)基于客戶端的研究較少，研究領(lǐng)域集中在交互協(xié)議方面來保護(hù)認(rèn)證密碼安全，如一次性密碼認(rèn)證協(xié)議[1]；國外在密碼認(rèn)證安全領(lǐng)域的研究有 PwdHash[2]、Spoofgard[3]和 Spyblock[4]等。在服務(wù)器的參與下，引進(jìn)交互認(rèn)證協(xié)議可以較好地保護(hù)用戶認(rèn)證密碼的安全，但實(shí)際中各服務(wù)站點(diǎn)不可能全部支持該協(xié)議。為此，本文分析國外幾種基于客戶端研究的優(yōu)、缺點(diǎn)，提出一種瀏覽器插件形式的客戶端密碼認(rèn)證安全方法。

1 網(wǎng)絡(luò)攻擊

1.1 弱密碼攻擊

面對(duì)眾多的Web服務(wù)網(wǎng)站，用戶為了便于記憶，通常對(duì)不同網(wǎng)站設(shè)置易記且相同的密碼，由于網(wǎng)站安全等級(jí)參差不齊，所以當(dāng)用戶在某網(wǎng)站的認(rèn)證密碼被竊取后，在其他網(wǎng)站的信息安全也可能遭到威脅。認(rèn)證密碼的復(fù)雜度在一定程度上影響用戶在該網(wǎng)站的信息安全，甚至是其他網(wǎng)站的信息安全，雖然一些網(wǎng)站在用戶登錄認(rèn)證時(shí)，用MD5對(duì)用戶的密碼進(jìn)行散列處理，但通過離線的字典攻擊，用戶的明文密碼仍能被破解。

1.2 鍵盤記錄攻擊

為了竊取用戶的密碼等信息，運(yùn)行在用戶主機(jī)上的惡意程序利用掛鉤監(jiān)控原理都具備鍵盤記錄功能，其能夠記錄用戶按鍵信息或?yàn)g覽器頁面密碼欄中的數(shù)據(jù)，直接或間接發(fā)送給黑客，從而使得黑客竊取用戶的密碼等重要信息。以木馬攻擊為例，它是目前最常見的鍵盤記錄的載體，能夠控制對(duì)方的鼠標(biāo)、鍵盤等，能夠監(jiān)視屏幕顯示信息、文件傳遞信息，控制對(duì)方信息的發(fā)送和接收等。

1.3 Java Script腳本攻擊

在文檔對(duì)象模型（DOM）和其他瀏覽器的幫助下，Java Script能夠完善客戶端功能和網(wǎng)頁的外觀，使網(wǎng)頁更具有吸引力、互動(dòng)性和較快響應(yīng)速度。但是Java Script超強(qiáng)的能力也會(huì)給用戶帶來許多不便及安全威脅。一方面，它能降低用戶上網(wǎng)體驗(yàn)，如彈出廣告窗口和篡改瀏覽器配置；另一方面，它又能被黑客利用竊取用戶的敏感信息，例如釣魚攻擊[5]。特別是在釣魚攻擊中，它常被用來偽裝釣魚網(wǎng)站迷惑用戶，從而使黑客能夠成功誘騙用戶密碼等敏感信息。用此種攻擊的方式有鍵盤監(jiān)視、竊取表單域、“域重寫”等。

1.4 網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚通常利用含有虛假鏈接的電子郵件引誘用戶訪問一些和真實(shí)站點(diǎn)外觀幾乎一樣的Web站點(diǎn)來進(jìn)行網(wǎng)絡(luò)詐騙，意圖引誘受騙者泄露自己的私人資料，如信用卡號(hào)、銀行卡密碼、身份證號(hào)等內(nèi)容[5]。釣魚網(wǎng)站為了增強(qiáng)自身的可信度通常采用一些腳本技術(shù)隱藏容易暴露的線索，例如，修改URL、制作虛假的SSL、修改狀態(tài)欄等。另一種形式的釣魚攻擊（Spear Phishing）能夠向特定的組織或其內(nèi)部員工發(fā)送電子郵件，這種攻擊效率更高，且不易被反釣魚工具捕獲。當(dāng)黑客“控制”了用戶訪問網(wǎng)站的習(xí)慣后，使得用戶增強(qiáng)了對(duì)網(wǎng)站的信任，那么釣魚攻擊的成功率就會(huì)大大提升。

網(wǎng)絡(luò)中還有其他攻擊，如嗅探攻擊、會(huì)話劫持、“域中毒”、ARP欺騙攻擊等，這些攻擊需要服務(wù)器的參與。

2 理論基礎(chǔ)及相關(guān)技術(shù)

越來越多的服務(wù)商選擇B/S架構(gòu)，通過用戶密碼識(shí)別用戶身份，為用戶提供個(gè)性化服務(wù)。由于用戶密碼是用戶身份識(shí)別的惟一標(biāo)識(shí)，擁有該密碼就意味著擁有該賬戶的合法身份，因此用戶密碼成為黑客攻擊的首要目標(biāo)。

2.1 瀏覽器插件

瀏覽器插件BHO是微軟公司推出的作為瀏覽器對(duì)第三方程序員開放交互接口的業(yè)界標(biāo)準(zhǔn)，是實(shí)現(xiàn)特定接口的COM組件。借助于BHO，可以編寫一個(gè)進(jìn)程內(nèi)COM對(duì)象，注冊(cè)于注冊(cè)表中Browser Helper Object鍵下，這個(gè)對(duì)象在每次啟動(dòng)時(shí)都會(huì)加載該對(duì)象，這樣該對(duì)象就會(huì)在與之相同的上下文中運(yùn)行，并對(duì)可用的窗口和模塊進(jìn)行任何行動(dòng)，其通常以工具欄的形式出現(xiàn)在瀏覽器中。在Browser Helper Object鍵下列出的每一個(gè)CLSID，IE都會(huì)在相同的進(jìn)程空間，比如在瀏覽器中，調(diào)用Co Create Instance來啟動(dòng)一個(gè)新的BHO實(shí)例。如果這個(gè)BHO已經(jīng)注冊(cè)了自己的CLSID并且實(shí)現(xiàn)了IObjectwithSite接口，那么這個(gè)被IE啟動(dòng)的BHO就傳遞了一個(gè)指針給IE瀏覽器的IWebBrowser2接口。

通過這個(gè)接口，BHO可以控制并收到來自IE瀏覽器的事件及行為，比如“后退”“前進(jìn)”“刷新”等。利用BeforeNavigate2事件獲取IE當(dāng)前加載的URL，提交的Data，并且可以控制是否繼續(xù)刷新頁面。程序員也可以用代碼控制瀏覽器行為及當(dāng)前頁面DOM的數(shù)據(jù)，比如用戶在表單欄中的數(shù)據(jù)。此外，BHO還能夠安裝鉤子以監(jiān)控一些消息和動(dòng)作。本文就是利用BHO這個(gè)特性安裝鉤子程序，進(jìn)而抵御鍵盤記錄等惡意軟件對(duì)用戶密碼的攻擊。

2.2 鉤子技術(shù)

鉤子（Hook）是Windows平臺(tái)上的一種Windows消息處理機(jī)制，它可以設(shè)置子程監(jiān)視指定窗口的某種消息。當(dāng)特定的消息發(fā)出，在沒有到達(dá)目的窗口前，鉤子程序就先捕獲該消息，即鉤子函數(shù)先得到控制權(quán)。這時(shí)鉤子函數(shù)既可以加工處理（改變）該消息，也可以不作處理而繼續(xù)傳遞該消息，還可以強(qiáng)制結(jié)束消息的傳遞或發(fā)送一個(gè)其他消息到目的地。根據(jù)鉤子對(duì)消息監(jiān)視范圍的不同，分為系統(tǒng)鉤子和線程鉤子2類，且線程鉤子的優(yōu)先級(jí)別高于系統(tǒng)鉤子，線程鉤子只能監(jiān)視本進(jìn)程中某個(gè)指定線程的事件或消息，系統(tǒng)鉤子監(jiān)視系統(tǒng)中所有線程的事件或消息。鉤子子程是一個(gè)應(yīng)用程序定義的回調(diào)函數(shù)，編寫好相應(yīng)的功能函數(shù)后，利用Set Windows Hook Ex（）函數(shù)便可以指定鉤子、監(jiān)控事件及鉤子類型等。為了不影響用戶獲取鍵盤消息，本文采用線程鉤子，也就是線程鉤子只監(jiān)視瀏覽器頁面內(nèi)的擊鍵消息。

2.3 散列算法

散列算法就是把任意長度的輸入通過一個(gè)不可逆的散列算法，變換成固定長度的輸出。由于Hash算法是單向的，一旦數(shù)據(jù)被轉(zhuǎn)換，就無法再以確定的方法獲得其原始值，因此，除了應(yīng)用于數(shù)字簽名外，也廣泛應(yīng)用于加密和解密技術(shù)，典型的算法如MD5和SHA-1。理論上無法從散列值恢復(fù)出原文信息，但黑客通常使用“跑字典”的方式來破解散列值，其成功率較高。為此，本文采用帶密鑰的散列函數(shù)hmac_md5（pwd，key）對(duì)用戶密碼進(jìn)行散列，從而提高抵抗“跑字典”攻擊的能力。密鑰key選擇了當(dāng)前站點(diǎn)域名作為哈希密鑰。在釣魚頁面中，輸入的密碼將會(huì)和釣魚頁面的域名進(jìn)行哈希運(yùn)算，而在合法頁面中的密碼和合法頁面的域名哈希，由于二者域名不同，因此哈希值也不同，結(jié)合密碼指示燈便可更直觀地警示用戶輸入密碼時(shí)是否安全。

3 設(shè)計(jì)體系及流程

其由一個(gè)繼承IObjectWithSite的COM組件、一個(gè)作為IE工具欄加載的接口以及其他幾個(gè)響應(yīng)工具欄組件的模塊組成，2個(gè)窗口類實(shí)現(xiàn)CWindowImpl的接口來定義工具欄的外觀和用戶交互的界面，見圖1。

圖1 密碼助手指示燈

Warn Bar，當(dāng)用戶提交表單時(shí)檢查表單action的值是否改變，如果改變則向用戶提示；Reflection Wnd，CWindowImpl類實(shí)現(xiàn)了一個(gè)透明窗口，用來將用戶消息傳遞到彈出的警示窗口；Pwd Tool Bar，CWindowImpl類定義了密碼助手在工具欄中出現(xiàn)的形式，用戶的預(yù)置信息便保存在其中，最后存儲(chǔ)在注冊(cè)表中。Warn Bar需要Pwd Tool Bar的信息來決定密碼指示燈的顏色。

當(dāng)IE瀏覽器啟動(dòng)后，它調(diào)用IObjectWithSite接口中的Set－Site方法初始化密碼助手，密碼助手收到一個(gè)指向網(wǎng)頁瀏覽器對(duì)象的指針，并通過ReflectionWnd和Pwd Tool Bar使密碼助手不斷檢查內(nèi)容瀏覽器事件。IE的DWebBrowserEvents2類導(dǎo)出BeforeNavigate2和Document Complete事件處理程序。因?yàn)锽eforeNavigate2事件發(fā)生在navigate事件之前，這就使得Warn Bar在瀏覽器跳轉(zhuǎn)之前獲取表單的URL并有機(jī)會(huì)取消跳轉(zhuǎn)頁面。當(dāng)鍵盤鉤子偵測(cè)到密碼鍵或密碼前綴時(shí)，密碼助手判定當(dāng)前活動(dòng)元件是否是密碼型控件，若不是，則警告用戶；若是，則密碼助手截取所有鍵盤輸入的可打印字符，直到焦點(diǎn)離開該密碼型元件域。鍵入的字符將會(huì)存放在密碼助手指定的內(nèi)存中，當(dāng)偵測(cè)到焦點(diǎn)離開密碼型元件域后，然后結(jié)合預(yù)置信息對(duì)用戶鍵入的密碼進(jìn)行散列加密運(yùn)算，并放在該地址的內(nèi)存中。這樣也允許用戶在密碼欄中回退、刪除密碼，而不會(huì)導(dǎo)致數(shù)據(jù)出錯(cuò)，也不會(huì)影響用戶上網(wǎng)體驗(yàn)。

在用戶提交表單之前，密碼欄中一直存放的是鍵盤鉤子返回的偽字符串（并不是用戶在該網(wǎng)站的真實(shí)認(rèn)證密碼）。當(dāng)用戶提交表單時(shí)，密碼助手便可利用BeforeNavigate2處理程序攔截提交事件。由于IE瀏覽器不允許密碼助手在BeforeNavigate2處理程序中直接編輯表單數(shù)據(jù)，因此就需要撤銷原始Before－Navigate2事件，并創(chuàng)建一個(gè)含有用戶真實(shí)密碼數(shù)據(jù)的新BeforeNavigate2事件。密碼助手包含這么一個(gè)數(shù)據(jù)結(jié)構(gòu)，即用于識(shí)別BeforeNavigate2事件是被密碼助手撤銷，還是被用戶撤銷，避免密碼助手重復(fù)轉(zhuǎn)換表單中的數(shù)據(jù)，使之進(jìn)入死循環(huán)。

4 功能測(cè)試與分析

在IE瀏覽器6.0上安裝密碼助手后，經(jīng)測(cè)試，鍵盤記錄軟件、腳本捕獲的是偽字符串。在釣魚攻擊中，假定http：//localhost/Tlogin.aspx為真實(shí)網(wǎng)站，http：//localhost/Flogin.aspx為釣魚網(wǎng)站，輸入相同的認(rèn)證密碼登陸后，發(fā)現(xiàn)數(shù)據(jù)庫中存放了2個(gè)不同的散列值，結(jié)果符合開發(fā)初的構(gòu)想。將國外2個(gè)同類軟件與密碼助手對(duì)比分析可以得出，密碼助手優(yōu)于其他2個(gè)軟件（見表1）。

表1 密碼助手功能對(duì)比分析表

總之，本文旨在研究一種基于客戶端的密碼認(rèn)證安全的方法，利用底層鉤子優(yōu)先捕獲擊鍵事件，而瀏覽器插件最后捕獲頁面事件的特性，設(shè)計(jì)了一種能夠有效保護(hù)用戶認(rèn)證密碼，使其不受本地鍵盤記錄、網(wǎng)頁腳本、網(wǎng)絡(luò)釣魚等攻擊的插件。鑒于Web服務(wù)的不確定性，本文的設(shè)計(jì)未與服務(wù)器進(jìn)行信息交互，所以其還不能抵御網(wǎng)絡(luò)嗅探、會(huì)話劫持、“域中毒”等攻擊，這也是本課題以后要研究的內(nèi)容。

[1]Bin Li，Shaohai Hu.A practical one-time password authentication implement on Internet[C].Hangzhou，2006.

[2]Blake Ross Collin，Jackson Nick，Miyake.Stronger Password Authentication Using Browser Extensions[EB/OL].http：//crypto.stanford.edu/Pwd－Hash，2008-12-20.

[3]Neil Chou，Robert Ledesma.Client-side defense against web-based identity theft webspoof[EB/OL].http：//crypto.stanford.edu/webspoof，2008-03-25.

[4]Collin Jackson，Dan Boneh，John Mitchell.Spyware Resistant Web Authentication Using Virtual Machines spyblock[EB/OL].http：//crypto.stanford.edu/spyblock/spyblock-2.pdf，2008-12-30.

[5]Legon，Jeordan.“Phishing”scams reel in your identity[EB/OL].http：//www3.cnn.com/2003/TECH/internet/07/21/phishing.scam，2009-01-10.

TP311

A

1671-1246（2010）15-0155-03

國家自然科學(xué)基金項(xiàng)目（60873208）工程信息中心小世界效應(yīng)研究