计算机工程与设计ComputerEngineering andDesign 2010,31(6) 1219 ・信息安全技术・ 图书馆无线网络中用户身份认证技术研究 李涛, 柴乔林 (山东大学计算机科学与技术学院,山东济南250061) 摘 要:为了提高图书馆无线局域网中用户身份认证的质量,提出基于免疫否定选择的身份认证机制。该认证机制基于生 物免疫系统T细胞识别自体和非自体的原理,把合法用户的登录请求看作自体,非法用户的登录请求看作非自体,利用否定 选择过滤非法用户的登录请求。实验结果表明,该身份认证方法能够承受各种口令攻击,有效过滤非法用户的登录请求,具 有广泛的应用前景和推广价值。 关键词:无线局域网;用户身份认证;免疫识别;肯定选择;否定选择 中图法分类号:TP301;TP18 文献标识码:A 文章编号:1000—7024(2010)06—1219.03 Research on user identity authentication in WLAN of library LI Tao, CHAI Qiao—lin (School of Computer Science and Technology,Shandong University,Jinan 25006 1,China) Abstract:To improve the quality ofuser identiyt authentication in library wireless local area network(WLAN),a novel user identiyt authentication based on immune negative selection is presented.The identiyt authentication is inspired by the principle ofbiology immune T cell recognizing self and non-self,the login request of legal users are regarded as self,the login request of illegal users are regarded as non—self,and the login request of illegal users rae ifltered from the negative selection.Simulation tests show that the identiyt authen— tication system Can stand with password attacks,filtrate out invalid user login requests availably,and have advantages ofgood performance and applying prospect. Key words:wireless local area network;user identity authentication;immune recognition system;positive select;negative select 0引 言 1肯定选择身份认证机制的缺陷 无线局域网(wireless local area network,wLAN)具有可移 对无线网络而言,是为防止对网络资源进行非授权的访 动性好、安装简便等优点,目前在高校图书馆中得到了广泛应 问。访问控制直接支持了数据的保密性及完整性,是保护网 用。无线局域网通过无线电波在空中传输数据,所以在数据 络免受侵害的第一道措施。访问控制的功能有3种:阻止非 发射机覆盖区域内的几乎任何一个无线局域网用户都能接触 法用户进入系统;允许合法用户进入系统;使合法用户按照各 到这些数据。与此同时,要将无线局域网发射的数据仅仅传 自的权限进行各项信息活动。鉴权是对网络中的介入主体进 送给一名目标接收者是不可能的。与有线网络相比较,WLAN 行验证的过程。对主体进行鉴权的机制有多种,如基于用户 难以采用隔离等物理手段来满足网络的安全要求,因此保护 名和口令的用户身份认证机制、令牌卡机制、指纹或声像机制 WLAN安全的难度要远大于保护有线网络。基于用户名和口 等。但在无线网络中,最简单适用的鉴权方法是基于用户名 令的用户身份认证机制,被无线图书馆网络广泛采用,它在保 和口令的用户身份认证机制。 护网络系统安全性和用户隐私信息方面担负着重要的角色, 基于用户名和口令的用户身份认证机制认为只有合法的 但存在很多缺陷“ 。例如在认证工程中,需要读取用户信息数 用户才能通过认证登录系统,然而事实上并非如此,大量的安 据库给黑客留下了读取篡改用户信息的机会。 全事件表明攻击者通过一些技术手段可以方便地获得非认证 而基于否定选择的身份认证(即不读取用户信息数据库 访问,窃取网络系统信息 。 情况下,识别出非法用户)尚未见报道,基于此,受人体免疫系 基于口令的用户身份认证机制自身存在的隐患(如弱的 统识别自体和非自体原理的启发,本文提出了基于否定选择 口令加密算法、较短的用户口令、口令加密算法自身的缺陷), 的身份认证机制。 以及目前出现的先进的攻击方式(如暴力攻击、字典攻击、分 收稿日期:2009—04.10;修订日期:2009.06.12。 基金项目:国家自然科学基金项目(60575037)。 作者简介:李涛(1980一),男,山东济南人,硕士研究生,研究方向为网络与分布式技术、人工智能等; 柴乔林(1956一),男,山东青岛人 教授,研究方向为无线传感器网络、数字化校园应用等 E.mail:sdjinanlitao@163.tom 1220 2010,31(6) 计算机工程与设计Computer Engineering and Design 户信息)“: …dm, ∈U,M为抗原长度。检测器与抗原(用户 信息)的匹配采用r连续位匹配,如式(1)所示。 1,|iju,,6t= Ak=1,… 布式攻击、基于规则的攻击和混合攻击)和攻击工具(如THC Hydra、Rainbow Crack、Brutus、L0phtcrack等),使得口令攻击者 有很多机会实施攻击并获得成功。 目前,出现了许多加强认证机制安全性和鲁棒性的技术 手段,如,用户标识码技术、认证令牌技术、口令管理技术、一 (6, ) /\,一i≥ (1) 次性口令技术、哈希认证协议、图口令技术等[3-51这些技术在 一定程度上提高了用户身份认证机制的性能。但是认证机制 仍然采用的是肯定选择机制,即当一个用户试图登录到一个 系统时,若输入的用户名和密码与系统保存的用户信息匹配 成功的话,认证通过。 认证过程中包含2个主要步骤:用户身份标识(identiifca— tion),需要系统调出相应的用户信息数据库;用户身份验证 (veriifcation),验证登录者宣传的身份是合法的。从上面的认 证过程可看出,在认证过程中用户信息数据库是暴露在攻击 进程面前的,攻击进程可以读取用户信息数据库中的用户信 息,甚至通过恶意代码把新的用户信息写入该文件。这种基 于肯定选择认证机制的验证信息暴露缺陷,给网络系统的用 户身份认证带来了很多安全隐患。 2否定选择身份认证机制 免疫细胞识别抗原的能力是完备的,可随机形成大量的 抗原受体。抗原分为人体自身内的分子(自体)和外部入侵分 子(非自体)两类。免疫细胞对自己分子(自体)不应答现象被 称为免疫耐受。否定选择是使免疫系统具有免疫耐受功能的 重要机制。其过程是:未成熟的T细胞在胸腺中发育期问,若 与自体发生应答,则死亡;成熟后的T细胞分布在人体内循环 系统中,只与非自体结合,对自体难受 。受人体免疫耐受和 免疫识别原理的启发,Dasgupta和Forrest开发了否定选择算 法(negative select algorithm,NSA)”】。 该算法模拟了T细胞在胸腺中的难受过程和识别非自体 过程。非自体集是自体集的补集。在T细胞识别非自体过程 中,自体信息是隐藏的(即成熟后的T细胞与白体不匹配),T 细胞仅对非自体(否定的信息)识别。在用户认证过程尽量不 直接访问后端的用户信息数据库,才能保证认证过程本身的 安全。否定选择机制可以利用非法用户信息(非自体)进行否 定身份认证。 本文设计的否定选择认证机制如下: (1)自体和非自体 抗原空间记为U,自体集 定义为合法用户集,Sc ;非自 体集 定义为非法用户集,TCU。满足SAT= ,SUT=U。例如, 若取用户账号6位字符,口令6位字符,用字符的ASCII码对 应的二进制表示字符,则用户信息可表示为长度为96位的二 进制串, 为长度为96位的所有二进制串集。 (2)检测器(检测细胞) 检测器(检测细胞)6为长度为 的二进制串,检测器长度 是可以变化的。它融合了人休免疫系统中 细胞、 细胞和抗 体的性质,用于检测和识别非法用户。 (3)r连续位匹配 设检测器b=ClC2…Cf,c ∈(O,1),三为检测器的长度;抗原(用 人f ,kEN 0,otherwise (4)否定认证过程 在应用系统中,用户信息是经过加密处理后保存在用户 信息数据库中的。常采用哈希函数作为用户信息加密方式。 明码用户信息和哈希处理过的用户信息都是采用字符串表示 的(问题空间),而检测器对自体难受及对非自体结合过程都是 基于二进制字符串(编码空间)进行的,因此必须完成从问题空 间到编码 间的映射。 这种映射工作发生在两个情形: (1)检测器构造:随机产生的二进制串形式的检测器要经 过对自体难受后才能成为成熟检测器。此时,自体集必须完 成从问题空间到编码空间映射。 (2)检测器识别:应用系统的客户端收到一个用户登录请 求后,为了预防网络截获攻击,该请求经过加密处理后才送往 服务器端,服务器端必须完成从问题空间到编码空间的映射 后,驻留在服务器端的检测器才能识别非主体。 一般地,加密和解密可采用同样的MD5哈希算法。为了 提高映射速率,作者开发了一个映射函数,负责完成从问题空 间(长为l2位字符串空间)到编码空间(长为96位二进制串空 间)的映射。 当系统收到一个用户登录请求时,把该请求转换为一个 抗原(长度为96位的二进制串),提交给检测器集(抗原提呈) 进行r连续位匹配,若检测器集中的某个检测器与该抗原匹配 成功,说明该抗原为非自体,即该请求登录的用户为非法用 户,可采用蜜罐技术,将该非法用户引入陷阱区。 Matzinge在研究了人体免疫系统否定选择机制后,提出 了危险理论模型 ,他认为抗原提呈细胞(antigen presentation cells,APCs)不全是以自体一非自体为识别依据的,外界危险 信号存在与否及信号强度也影响着APCs的工作效能。在用 户身份认证过程中,若一旦用户信息与某个检测器匹配,就认 为是非法用户,这种判断过于武断。事实上,合法用户偶尔输 错口令是常有的事情。因此,本文借鉴了危险理论,把在一个 连续的时间段内(如30秒)同一个用户登录请求的用户信息与 检测器匹配成功的次数看作危险信号,只有当危险信号强度 超出阈值(例如连续输入错误的用户名和口令),才认为是非法 用户,从而使认证具有较好的智能性。 通过否定选择认证的用户登录请求,被送往正常的登录 验证进程,进行肯定选择认证。否定选择过滤了大量的非法 登录请求,屏蔽了恶意口令攻击(如暴力VI令攻击),而且由于 在否定选择认证中,不对用户信息数据库操作,攻击者没机会 读或写用户信息数据库,保证了认证过程的安全性。此时,非 法用户已经被过滤掉了,登录验证进程面对的是合法用户,此 时仅需要验证用户的权限就可以了。 李涛,柴乔林:图书馆无线网络中用户身份认讧技术研究 3检测器集构造算法 检测器集的构造是否定选择算法的关键,好的检测器集 可以降低误检(错误肯定)率和漏检(错误否定)率。检测器集 的构造应满足式(2)~(4) 2010,3 1(6) 1221 (5)当d遇到与之匹配的自体,则调整免疫耐受失败计数器 f一升1,并重新计算匹配阈值,;如果( O.1 )>1.0,转到步骤2; 否则转到步骤3。 在该流程中,通过免疫耐受失败计数器的值,间接地调整 匹配闽值r。设r的变化依次为, , ,…, ,共m个,且,。< <…< , (2) (3) (4) 为最大匹配阈值。匹配阈值的调整策略是ri ̄ri一 +Lro*0.1J,即 VbEB,Vs ̄S,f(6,S)=0 Vf∈ V6∈ 八,=(6, >∞ 式中:∞——漏检率阈值,0<∞<0.04。 一最大匹配阈值为 =tro 。匹配阈值的非均匀变化,更好地模 拟了生物免疫系统的T细胞免疫耐受过程。能够有效地减 jB】A .= AlB1l<l曰l 少黑洞数量。本算法是采用了探索性策略,初始时,匹配阈 式中: ——检测器集 覆盖的非自体空间。 说明:式(2)要求检测器集对自体集不覆盖(即检测器对自 体难受);式(3)要求检测器集对非自体集全覆盖(能检测出所 有的非自体);式(4)要求检测器集应是满足需求的规模最小的 检测器集。 本文借鉴了Zhou Ji和Dasgupta开发的实值否定选择算 法中检测器集构造思路 。根据认证应用中非自体空间的实 际情况,本文采用了变长的检测器,修改后的检测器生成算法 如图1所示。 Begin While(没有完全覆盖非自体空间) {随机产生一个长度为l(60<l<80)检测器b 对检测器b进行自体耐受: if(耐受失败)跳出本次循环: 在检测器集 中对检测器b进行查新; If(6是新检测器) B=Bnf6); 计算当前非自体空间覆盖率: ) End 图1 检测器集生成算法 由生物免疫系统的多样性机理可知,抗体与抗原之间并 不是绝对的一一对应的关系,抗体具有泛化能力和联想记忆 能力,这样就使得少量的抗体有能力去匹配千变万化的抗原, 也就是说,抗体与抗原之间的匹配是模糊匹配。生物免疫系 统中偶尔出现的对自体过敏现象说明免疫T细胞在胸腺中成 熟过程中,对自体的耐受并不是精确的耐受,也是一种模糊耐 受。基于此,本文模拟T细胞在胸腺中对自体的模糊难受过 程,在检测器对自体的匹配过程中,采用阈值可调的模糊匹 配思想。 符号集记作F,由,个符号组成的模式串 = … xIEFA 1,2,…,,。长度为,的模式串空间记为U,自体集记为& Selfc 非自体集记为Nonself,NonselfcU。满足SelfnNonself= ASe/fUNonself=U。 基于r可变模糊匹配规则的检测器产生流程如下所示: (1)定义自体为一长度为,的字符串集合 (2)初始匹配阈值为ro,模糊度系数为 ,免疫耐受失败计 数器i=0,检测器集D= ; (3)随机产生一长度为,的字符串d作为候选检测器,将字 符串d依次与集合 中的自体进行 =Lro*( 0.1 f】J)连续 位匹配; (4)根据匹配规则,如果d不与&种任何自体匹配,则 成 熟,将d与匹配阈值加入到检测器集中,D=Du( ,若生成的 检测器已经足够多,则结束;否则转到步骤3; 值较小,当检测到黑洞后,调整匹配阈值,若调整后仍检测到 黑洞,则继续调整匹配阈值,直至检测出所有黑洞,或达到检 测需求。 4仿真实验 本文设计的否定选择认证系统,其认证过程是在传统的 肯定认证之前进行的,因此它可以方便地部署,而不需要对现 有的认证系统进行修改。为了验证本文设计的身份认证系统 的效能,在C++环境下,编程实现了否定选择算法和用户信息 映射函数,并设计了用户信息数据库进行测试。 实验参数设置:用户名和口令组成的用户信息字符串长 度在10至2O字符之间,则对应的二进制表示的抗原(用户信 息)字符串长度1,80</<160;检测器字符串长度m,80<m<160;由 于检测器集中各个检测器长度可能不相同,r取为抗原字符串 长度的90%。考虑到认证系统的实际情况,用户信息数据库 存储了10000个用户,其中50%用于训练系统,另50%用于测 试系统对未知合法用户的识别情况。采用人工输入合法用户 信息,口令攻击工具自动产生非法用户信息,合法与非法用户 信息的比例为1:100,依次进行了4组实验,每组实验分别做 100次取平均结果,依次测试平均漏检率和误检率。实验结果 如表1所示。 表l不同参数下的实验结果 漏检率/% 误检率/% 抗原长度, 检测器长度m 平均 方差 平均 方差 固定:l=120 固定:m=120 2.3 5.3 2.1 2.5 固定:,=120 可变:80≤m≤160 1.6 3.4 1.1 1.7 可变:8O≤,≤160 固定:m=120 3_2 7 7 2.5 4.2 可变:8O≤,≤160 可变:80≤ ≤160 0 9 1.4 0.8 1.6 表1表明,无论抗原长度固定与否,可变检测器的检测效 果都优于固定长度检测器:当抗原长度和检测器长度均可变 时,由于检测时可以根据当前抗原长度情况从检测器集中选 择最优检测器进行检测,此时平均漏检率和误检率达到最小 值,分别是O.9%¥I1 0.8%。而在抗原长度可变检测器长度固 定情况下,检测效果最差,其平均漏检率和误检率分别为 3.2%和2.5%,这也比系统要求的漏检率(4%)偏小些。这说 明,设计的检测算法可以满足需求。实验是在模拟超恶劣环 境下进行的,如模拟网络瞬间遭到大量的口令攻击,若本文 设计的认证算法工作在真实的网络环境中,性能表现会比实 验时要好一些。 (下转第l225页) 马海英,王占君:完全匿名的动态短群签名方案 2010,31(6) 1225 (上接第1221页) 5结束语 图书馆无线局域网中用户身份认证的作用是安全地标 识一个系统用户。目前存在认证机制是基于肯定匹配合法 冉丽,沈镇林,赵勇.基于信号量的双重身份认证策略[J].计算机 工程与设计,2008,29(6):1437—1439. Smith R E.Authentication:From passwords to public keys[M]. New York:Addison—Wesley,2002. 用户的,认证过程必须读取用户数据库,认证过程本身的脆 弱性使得口令攻击工具有机会对用户数据库进行读写,给 认证安全带来隐患。本文设计的否定认证机制,由于在认 证过程中,不需要对用户数据库读取,可以过滤掉大量的口 Thorpe J,Pvan Orschot.Towards secure design choices for im— plementing graphical passwords[C].Tucson,Arizona:20th An— nual Compu ̄r Security Applications Conference(ACSAC), 2004. Birget J C,Hong Dawei.Graphical passwords based on robust 令攻击。经过否定认证后的用户,再提交给传统的肯定认 证系统,这种双重认证机制,可以有效地杜绝非法用户对系 统的非授权访问,提高了认证系统的鲁棒性。当然,本认证 系统仅保证非法用户力访问系统,若黑客利用其它手 段(如截获了管理员无意间泄露的用户信息)偷取了合法用 户信息,登录系统后实施内容攻击,本认证系统对此为 discrimination[C].IEEE Transactions on Information Forensics and Securiy,t2006:395・399. 朱锡华.生命的卫士一免疫系统[M].北京:科学技术文献出版 社,2004. Dipankar Dasgupta,Forrest S.Artiicifal immune systems and 力。对此种攻击,可采取用户行为监控技术解决,这不是本 文研究内容。 heitr applications[M].Berlin:Springer-Verlag,1999. Matzinger P.The danger model:A renewed sense of self[J]. 参考文献: [1] 白莉娜.无线网络在图书馆应用的安全分析与防范策略[J].图 Science,2002,296(5566):301—305. Zhou Ji,Dipankar Dasgupta.Real—valued negative selection using variable-sized detectors[c】.Seattle,Washington:Genetic and Evolutionary Computation Conference(GECCO),2004. 书馆学刊,2008(2):134.136.
