基于混合密碼體制的Ｗｅｂ用戶驗證安全策略

摘要：針對多數Web系統在用戶驗證時以明文傳輸賬戶信息帶來的安全隱患，提出了一種綜合使用對稱密碼體制、非對稱密碼體制、單向散列算法和一次一密技術來保障用戶驗證安全的策略。該方法在略微增加計算復雜度的前提下，就能夠有效防止用戶驗證過程遭受竊聽、重放等惡意攻擊；而對現有Web系統的改進僅涉及新用戶注冊、用戶登錄、密碼修改等操作，更新便捷。

關鍵詞：混合密碼體制；安全；Web；用戶驗證；加密

0 引言

隨著互聯網的發展和WWW技術的推廣應用，Web瀏覽已經成為廣大網民主要的網絡活動。CNCERT/CC網絡安全工作報告指出，2005年Web瀏覽所消耗的帶寬位居所有網絡應用之首(37.82％)。隨著WWW應用領域的擴大，Web應用所暴露的安全問題日益增多，這其中多數Web系統都必備的用戶驗證模塊就存在著重大的安全隱患。常見的Web服務，比如網絡論壇、網絡博客、Web郵箱，在為用戶提供服務前，服務器都需要根據用戶輸入的賬戶信息進行身份驗證。然而，經調查發現，多數Web服務(如新浪郵箱、新華論壇、博客天下、搜狐郵件等。調查日期：2007-1-6)在對用戶身份驗證時并沒有采取有效的保護措施，用戶的賬戶信息被直接以明文形式在網絡中傳送。于是，惡意攻擊者利用網絡嗅探技術將很容易得到他人的賬戶信息，甚至出現了專門的工具軟件用于竊取局域網中的賬戶信息。

1 用戶驗證的安全策略

由于設計時未考慮安全因素，HTTP協議是以明文方式傳送數據的。因此，Web通信的安全需要通過其他路徑來解決。

為了保證基于WWW服務的數據傳輸的安全，Netscape公司提出了稱為“Secure Sockets Layer”(安全套接字層，SSL)的Internet安全標準。SSL位于應用層(如HTFP)和傳輸層(TCP)之間，為客戶機與服務器間的數據傳輸建立了加密通道。然而Web服務器在執行SSL相關任務時，吞吐量顯著下降，運行速度比只執行HTTP1.0連接時慢50多倍。而且，除了網絡銀行等少數站點，多數Web應用并不需要運行SSL來為所有傳輸的數據加密。在這些Web系統中，可以采用綜合對稱密碼算法、非對稱密碼算法、單向散列算法和一次一密技術的混合密碼體制，在用戶驗證所涉及的新用戶注冊、用戶登錄、密碼修改等3個操作中為賬戶的傳輸提供保密措施。

新用戶注冊過程中，用戶輸入的賬戶信息(包括用戶名和密碼)將被安全地傳輸到服務器端用戶數據庫中存儲。這可以通過非對稱密碼體制(比如RSA)來實現。服務器端在運行初始階段生成并維護一對密鑰：公鑰用于瀏覽器對賬戶信息的加密，私鑰用于服務器端的解密。兩端的加解密分別用服務器端腳本和客戶端腳本實現。

為了防止服務器端用戶數據庫中賬戶信息(主要是密碼)的泄露，可以存儲通過單向散列函數(比如MD5)求得的密碼的摘要信息，而非密碼本身。

用戶登錄過程中，只要能驗證用戶的合法性即可，不必傳輸密碼信息。服務器將當前系統時間和一個隨機數傳輸給瀏覽器，瀏覽器以用戶輸入的賬戶信息為密鑰，用對稱加密算法(比如DES)對這兩個值加密后傳回服務器進行驗證。由于傳輸的是系統時間和隨機數的組合，實現了一次一密技術，可以有效預防重放攻擊。

密碼修改操作首先需要驗證用戶現用密碼的正確性，然后以新密碼更新用戶數據庫。服務器將兩個參數(系統時間和一個隨機數)傳輸給瀏覽器，瀏覽器端以現用密碼為密鑰，用對稱加密算法加密新密碼和服務器端傳來的兩個參數。于是服務器端可根據傳回的兩個參數值驗證用戶后更新數據庫。

2 用戶驗證的實現細節

Web系統中涉及密碼傳輸的主要有三個操作：新用戶注冊、用戶登錄和密碼修改。

2．1 新用戶注冊

服務器端在第一個用戶注冊前生成一對密鑰：公鑰PK和私鑰SK——這對密鑰可供所有新注冊用戶使用，為安全起見，也可定期更新。瀏覽器以PK為密鑰對賬戶信息進行加密。待密文傳輸到服務器端后，服務器端即可以SK為密鑰解密并獲得賬戶信息。用戶注冊過程有以下幾個步驟：

(1)用戶瀏覽新用戶注冊頁面(Reg)，如圖1的①；

(2)服務器端生成一個隨機數R，將R和系統時間T保存到當前連接的會話Session中，并將Reg頁面(內含T、R和PK)發送到瀏覽器，如圖1的②；

(3)用戶輸入用戶名UN、密碼PWD，并單擊“提交”按鈕；

(4)Reg頁的客戶端腳本以PK為密鑰采用非對稱加密算法AE將T、R、UN和PWD加密為密文：AE_PK[T+R+UN+PWD]；

(5)瀏覽器將密文傳輸到服務器端，如圖1的③；

(6)服務器端將當前時間和保存在Session中的T進行比較，若超時，則提示用戶并轉到“(2)”； (7)服務器端腳本利用SK對AE_PK[T+R+UN+PWD]進行解密，得到T’、R’、UN和PWD；

(8)服務器端將T’和R’與Session中的T和R進行比較。若不同，則提示失敗并轉到“(2)”；

(9)服務器端判斷UN是否已被他人注冊使用，若已用，則提示用戶并轉到“(2)”；

(10)服務器端將賬戶信息保存到用戶數據庫，并提示用戶注冊成功。為防止用戶數據庫泄密，服務器端可將UN和PWD用單向散列算法H進行散列，將得到的H[UN+PWD]存儲到密碼字段——此處包含UN是為了防止不同用戶碰巧采用同一密碼而導致密碼泄露。

2．2 用戶登錄

每當用戶需要登錄系統時，服務器將當前的系統時間T和一個隨機數R發送給瀏覽器。瀏覽器以用戶輸入的賬戶信息為密鑰采用對稱加密算法SE對T和R進行加密，然后將密文傳輸到服務器。服務器端用數據庫中的賬戶信息將密文解密后，比對前后的T和R以驗證用戶的合法性。詳細過程如下：

(1)用戶瀏覽用戶登錄頁面(Login)，如圖2的①；

(2)服務器端生成一個隨機數R，將R和系統時間T保存到當前連接的會話Session中，并將Login頁面(內含T和R)發送到瀏覽器，如圖2的②；

(3)用戶輸入賬戶信息UN和PWD；

(4)Login頁的客戶端腳本用單向散列算法H對UN和PWD進行散列，求得H[UN+PWD]；

(5)Login頁的客戶端腳本以H[UN+PWD]為密鑰采用對稱加密算法SE對T和R進行加密，得到S_{EH[UN+PWD][T+R]}；

(6)瀏覽器將密文和UN一起發送到服務器端，如圖2的③；

(7)服務器端將當前時間和保存在Session中的T進行比較，若超時，則提示用戶并轉到“(2)”；

(8)服務器端根據UN在用戶數據庫中找到H[UN+PWD]，以其為密鑰解密收到的密文，獲得瀏覽器傳回的數據T’和R’；

(9)服務器端將T’和R’與Session中的T和R進行比較，若相同則登陸驗證通過，完成隨后的一系列工作(如在Session中保存UN)，并清除Session中的T和R——以免遭受重放攻擊，若不同，則提示失敗并轉到“(2)”。

2．3 密碼修改

成功登錄后的用戶需要修改密碼時，服務器端給瀏覽器發送當前系統時間T、隨機數R和Session中的UN。瀏覽器以用戶輸入的現用密碼OPWD和UN為密鑰，對T、R和用戶輸入的新密碼NPWD采用對稱加密算法SE進行加密，然后將密文傳輸給服務器。服務器通過比較前后的T和R驗證用戶的合法性，更新用戶密碼。以下是修改密碼的過程：

(1)用戶瀏覽修改密碼頁面(chgPwd)，如圖3的①；

(2)服務器端生成一個隨機數R，將R和系統時間T保存到當前連接的會話Session中，并將ChgPwd頁面(內含T、R和Session里的UN)發送到瀏覽器，如圖3的②；

(3)用戶輸入現用密碼OPWD和新密碼NPWD；

(4)ChgPwd頁面里的客戶端腳本用單向散列算法H對UN和OPWD進行散列，求得H[UN+OPWD]；

(5)ChgPwd頁面里的客戶端腳本以H[UN+OPWD]為密鑰采用對稱加密算法SE對T、R和NPWD進行加密，得到SE_{H[UN+OPWD][T+R+NPWD]}；

(6)瀏覽器將密文發送到服務器端，如圖3的③；

(7)服務器端將當前時間和保存在Session中的T進行比較，若超時，則提示用戶并轉到“(2)”；

(8)服務器端根據Session里的UN在數據庫中找到H[UN+PWD]，以其為密鑰解密密文，獲得瀏覽器傳回的數據T’、R’和NPWD；

(9)服務器端將T’和R’與Session中的T和R進行比較，若相同則用戶合法，計算H[UN+NPWD]并更新用戶數據庫，提示成功，同時清除Session中的T和R，若不同，則提示失敗并轉到“(2)”。

3 性能分析

3．1 安全性能分析

用戶驗證的安全策略至少可以應對以下幾種攻擊：

密碼竊聽 用戶驗證過程中沒有明文傳輸密碼，而且在用戶登錄操作中就根本無需傳輸密碼，從而避免了密碼被竊聽的威脅。

數據篡改 瀏覽器端傳回的密文中包含了隨機值，若數據被篡改則服務器端能在驗證時及時發現。

已知明文攻擊 用戶驗證過程中傳輸的數據都包含了隨機值，可以避免明文數據模式的泄露。

重放攻擊 用戶驗證中傳輸的數據都包含了系統時間值，時間錯誤和超時都不能完成操作，從而杜絕了重放攻擊的發生。

3．2 計算性能分析

密碼算法的引入必然會增加系統的計算復雜度，其中以非對稱密碼算法的復雜度最大。不過，只有新用戶注冊時需要執行非對稱密碼算法。由于新用戶注冊操作相比用戶登錄操作要少很多，用戶驗證的3個操作在Web系統整個運行期間也只占很小的比重；而且，完成用戶驗證后，系統就可按常規(明文)方式通信。因此用戶驗證的改進策略對Web服務的計算性能影響不大。

4 結束語

綜合了多種密碼學技術的Web用戶驗證策略可以有效解決存在于現今多數Web服務中的賬戶信息安全隱患。不僅如此，還可以借鑒這一策略來實現Web服務中其他一些敏感數據的安全傳輸。當然，該方法只是解決了賬戶信息明文傳輸可能造成的威脅，并沒有涉及驗證通過后的訪問安全性。而且Web服務還存在其他一些安全問題，比如用戶登錄成功后，系統一般利用Session中的數據來識別用戶的合法性，因此，存在會話被第三方劫持等威脅。這些卻需要通過其他技術解決。