浅析在大数据环境下用户口令密码验证风险分析
2016-03-24殷丽杰张硕硕
殷丽杰 张硕硕
作者简介:殷丽杰(1987.06-),女,河北保定,中粮海优(北京)有限公司,中国人民大学统计学院概率论与数理统计专业。
张硕硕(1987.07-),男,江苏徐州,京东金融,中国人民大学统计学院概率论与数理统计专业。
摘要:信息安全最主要的体现方式就是口令认证,但是我国目前许多互联网用户的口令设置都存在着设置不当的问题和风险。一方面,在针对我国目前用户的口令设置上存在的问题进行了针对性的研究,能够进一步提高在大数据环境下用户对于口令防护重要性的认识情况,另一方面能够利用大数据环境来针对用户口令进行设置攻防模型,从而进一步分析出指令攻击者利用大数据的技术来对于用户口令信息破译的能力。用户如果想要提高自己密码的安全性或者降低被风险攻击的要求,就需要通过设置更加有效的口令来进行身份信息的交叉认证。通过动态跟踪用户的信息,进一步确立信息系统能够访问用户行为,从而降低大数据的行为分析成本。只需要提供相对应的信息就能够根据用户的数据来进行模型构建,从而建立基于大数据环境下的信息系统用户的身份交叉认证的模式。通过信息身份交叉认证模式,能利用模拟实验来验证模型的有效性。
关键词:密码协议;身份认证协议;大数据环境环境;网络射频识别
大数据是基于移动互联网、云计算、人类社会活动等方面共同建立起来的结果。对于大数据研究的专门机构Gartner称大数据是需要新型的处理模式才能够具备更加强大的决策力、洞察力、优化能力的一种海量信息、增长效率高、资产多样化的信息资产。可以说,大数据时代的到来,既能够为人们获取信息提供更加便利的条件和方法,也能够为不法分子或者黑客提供窃取用户信息的方便。可以说,大数据环境是一把双刃剑,能够为人们提供更加便捷的同时带来意想不到的风险。尤其是大数据发展到目前的状态,对于用户的身份信息所采取的认知已经越来越被人们所重视,很多的学者也进行了深入的研究。针对大数据时代数据信息保密或者泄露的规模与数量正在呈现出不断扩大的趋势,本文通过实际的案例来针对大数据环境下数据信息泄露的一些相关特征,并且提出了安全策略。但本文并未详细分析大数据造成数据泄露的原因,所提出的安全管理策略加大了信息系统管理的力度,造成了用户对信息系统管理的难度。
一、大数据环境下用户口令密码验证机制
(一)用户口令密码验证原理
目前,密码认证,以确保用户仍然是一个主要的信息系统安全手段,是用户身份验证的主要方式之一,如用户电子邮件、微信、QQ群、电子商务交易系统、日常管理信息系统都是通过密码验证系统来实现其安全性。
(二)用户口令密码验证方式
1、使用连续或者同样的数字、字母、数字与字母相结合的组合串符来作为用户口令密码的验证方式,例如常见的“12345678”、“ABCDEFG”、以及“12345QWERTY”、“123456789abcdef”、“8888passageword”等方式。
2、使用应为短语、词汇或者词汇组合、习惯用语等具有词汇特征的字母串来作为用户口令密码的验证方式,例如“passage”、“mima”、“dragon”、“baseball”等。
3、使用手机号码、QQ号码等具有个人信息的数字串作为用户口令密码来进行验证,例如“131CODE1111”、“142CODE600”等。
4、使用与自身用户名、邮箱名、账户名等相同或者相近的数字串来作为用户口令密码的验证方式,例如用户名为“LIUYU1234”,则口令为“LIUYU1234”,用户名为“1550001234”,则口令为“1550001234”,用户名为“LIUYU@qq.com”
则口令为“LIUYU1234”等。
5、使用出生日期作为用户口令密码,例如“19880101”、“19900123”等。
6、使用自身姓名、生日等数字与字母组合的字符串作为用户口令密码,例如“LIUYU”、“LIUYU12345”。
二、用户口令密码验证实现过程及安全性分析
(一)用户口令密码验证实现过程
我们假设登录用户名为李明,登陆密码为1234,则通过相关的LABEL空间以及captain属性设置相对应的用户名与密码,添加command控件,设置属性为确定,于是用户口令验证密码的实现过程如下:
IF TEXT1.TEXT=OR TEXT2.TEXT=“用户名与密码不能为空”
THEN MSGBOX“请输入用户名和密码”
ELSE
IF TEXT1.liming=OR TEXT2.1234=“用户名与密码不能为空”
THEN MSGBOX“登陆成功”
ELSE
MSGBOX“密码错误”
END IF
(二)用户口令密码验证实现过程及安全性分析
1、我们假设攻击者与防御者都是具有正常理性思维的正常人,所以攻击者的攻击能力就是攻击者自身存在的攻击意图以及攻击期望收益;防御者的防御能力就是防御者自身对于非法攻击的预防能力。
2、我们假设攻击者的攻击成本为C1,攻击能力为F1,攻击收益为P1,攻击失败概率为Q1。防御者的防御成本为C2,防御能力为F2,防御收益为P2,防御失败概率为Q2。
3、我们假设供给成本对攻击能力所产生的影响系数为K1,则防御成本对于防御能力造成的影响系数为K2。
4、假设如果在不适用大数据分析技术的情况下,攻击者的攻击能力为F10,攻击成本为C10,攻击收益为P10,攻击失败概率为Q10。防御者的防御成本为C20,防御能力为F20,防御收益为P20,防御失败概率为Q20。而在使用大数据分析技术的情况下,攻击者的攻击成本为C11,攻击能力为F11,攻击收益为P11,攻击失败概率为Q11。防御者的防御成本为C21,防御能力为F21,防御收益为P21,防御失败概率为Q21。则攻击者与防御者在使用大数据分析技术后的相关数据进行分析之后可以得出结论,即P、Q数值不会发生变化,但是C11≥C10,C21≥C20,F11≥F10,F21≥F20.
5、假设攻击者的成功概率函数值为F(A,B,AB),所以攻击者的攻击意图以及攻击成功概率直接由AB决定,这种情况下对于AB的取值影响可以基本忽略,这样F(A,B,AB)就能够直接简化为F(AB),我们既能够把攻击者的攻击意图以及攻击成功的概率看成是AB值的增函数。于是可以表示为:
A1=A0+(F11-F10)-K1(C11-C10)
B1=B0+(F21-F20)-K2(C21-C20)
AB=A0+(F11-F10)-K1(C11-C10)/B0+(F21-F20)-K2(C21-C20)
=(A0-F10=K1C10)=(11-K1C11)0(/B0-F20+K2C20)+(F21-K2C21)
因为AB是增函数,所以K1C1会随着F11增大而增大,但是增大的绝对值要小于F11,否则就会出现F11的某一取值增大之后会放弃对于F11的继续增大。
当A增加时,B也要相应增加,以确保AB′≤A0B0,否则信息系统的安全性风险会增大,攻击者的攻击意愿及信息系统被攻击成功的概率函数值F会增大。其解决的办法是B0、F21增大或者K2C21减小,即要提高防御者的基础防御技术,提高防御者借助大数据的防御攻击能力,或者通过降低信息系统大数据分析成本来实现信息系统的安全性。
三、大数据环境下用户口令密码验证风险现状
大数据环境下,攻击者可以利用大数据分析技术获取用户的姓名、出生日期、手机号码、身份证号码、资格、机构等毕业结构化信息,还可以获得用户的喜好、习惯、工作表现等非结构化信息,用户还可以获得相应的社会群体结构化和非结构化信息。此信息将在一定程度上反映用户设置信息系统的密码,因此攻击者通过大数据技术对攻击者的信息进行解密,将大大提高用户的密码分析的概率,即利用大数据环境简单的密码保护信息系统的安全性将大大降低。当用户在多个信息系统,他们使用相同或类似的设置密码验证,一旦信息系统密码被破解,其他信息系统风险被破译的密码将迅速提高。因此,大数据通过密码认证用户身份信息系统安全性提出了新的挑战。大数据信息系统用户密码认证带来了新的机遇,用户可以利用一个庞大的信息系统数据来获得用户姓名、出生日期、教育、职业、电话号码、收入、爱好、社会团体、设备类型、输入频率的登录时间、登录和长、跨实现用户身份验证的身份认证。
四、大数据环境下用户口令密码验证风险控制机制的应用
(一)统一用户口令密码验证系统
本文以邮件系统为例进行仿真和分析,现有邮件系统的基本思想在未来的功能扩展。与用户邮件系统相关的信息:用户邮箱的基本识别信息,并通过大数据分析系统数据分析技术获取用户身份信息和行为信息,通过大数据分析技术获取用户身份信息的用户身份信息,补充,用户邮箱信息的行为是用户邮箱的功能,如邮箱内容、用户行为等,通过大数据分析技术获得来自其他数据来源的信息描述用户个性特征、生活内容、信息作为用户的标签、用户数据的形成的肖像,这将是一个大型邮件系统的数据分析系统,用于记录和保管。
(二)模拟用户口令密码验证系统的设计与实现
1、系统整体设计
当未经授权的用户窃取合法用户输入密码的操作的信息系统,信息系统将按照路线非法用户的行为逐步确定用户和合法用户的数据操作行为一致的肖像(同一变量,相应的数据,整个操作过程是否有记录的只有一次的不同),临界值不匹配数据的权重计算加入的差异比较预设邮箱系统逐步完成相应的口令认证。
3、系统详细设计
邮件系统用户数据分为静态数据和动态数据,静态数据包括:用户注册、基本身份资料(姓名、出生日期、电话号码)(SAD)和行为数据(收入(sbd1)、爱好(SBD重组),社会团体(SBD3));动态数据的内容包括:基本数据:设备模型(aad1),登录邮箱地区(aad2),输入频率(输入aad3)和行为数据(登录时间范围(abd1),当你登录的长度(要),使用行为特征的邮箱(abd3),经营主体的邮件类别(abd4))。可变数据的邮箱系统用户分析,伤心,aad1,aad2可变数据的正确或错误的结果只有两个,用户进入系统后,就可判断对错;sbd1,SBD重组,SBD3,输入aad3,abd1,要,abd3,abd4可变数据属于顺序,或在随着大小或可变数据来确定用户对系统的访问是一个合法的用户范围,按照所需的数据范围。
3、系统实现代码
将这些数据取值范围进行划分,然后形成一系列的编号,从而获得代码:如表一、表二、表三所示。
我们从几所高校中进行随机抽取300名进行问卷调查,在实验过程中,一个自己的邮箱名称”a@qq.com”和密码“**********”告诉其他300个学生。通过这300个学生登录单独使用邮箱系统,我们将使用记录过程中相关的数据量的静态和动态行为的数据值在变量。由于不同的阈值δ1=0.3,2=0.5δ,δ3=0.8(特别是应用过程中可根据系统要求设置不同的δ1δ2δ3值),对实验结果进行了分析,90.7%的用户需要填写第一层用户密码(确定为非法用户,即ΔL=|L L|≥δ1=0.3人),70.3%的用户需要填层用户密码(即ΔL=|L L|≥δ2=0.5人),11%的用户需要填写一个3层的用户密码(即ΔL=|L L|≥δ3=0.8人)。这说明,90.7%的非法用户都会进行身份验证,即使个人用户密码打通了第一层,原来70.3%的非法用户还需要2层密码验证,有的还需要3层密码验证,这样的多层密码认证系统大大提高了用户的信息系统非法防御力度。为了防止在非传统的行为信息系统采用多级密码认证使用不便造成合法用户,信息系统设置的阈值δδ1,2,3δ进行初步研究,尽量做到合理,关键是建立价值的模拟真实世界的应用,没有形成确凿的理论。
从图2可以看出,在基本数据进行静态变量数据(SAD1,SBD1,SBD2SBD3)重组出现差异的数据占比较小,说明用户访问邮箱时将小静操作记录变量的数据;abd1, abd2,abd3,abd4,出现差异会计数据较小,但这些变量的权重值小,说明这些变量数据检查非法用户的行为是不敏感的。AAD1、AAD2、AAD3出现差异数据的比例相对较大,权重也较大,说明如果用户是一个真实的用户身份验证这些变量更有效。因此,通过研究未来的模拟,尝试使用更有效的认证敏感变量时,设置验证变量不敏感,重新定位的变量是不必要的变量在模型中的证书应被排除。在整个实验过程中,对邮件系统的特性进行了仿真,用户数据变量和权重集有很多主观性,提取了300个学生样本量小,特征也表现出单一的特征,其定量的数值结果没有实际应用的指导,而通过研究仿真也可以很好地说明用户邮箱系统中的大数据分析技术交叉用户身份认证的价值。因此,在大数据分析技术迅速发展的时代,邮件服务商必须顺应信息时代的发展,以大数据分析技术不断完善监控非法入侵的合法用户和管理用户信息邮件系统。有关密码认证系统的其他信息,还可以进行研究,参照上述方法,不再做过多说明。
五、结束语
本文通过设计相关的邮箱密码验证案例来进行具体说明系统的密码信息。当前功能安全性差,密码认证研究分析,攻击者和环境信息系统信息系统之间的新的大数据之间的简易关系,提出了大数据环境下的口令认证与使用的相应对策。通过家族以及肖像、思维等数据进行分析之后建立数据信息系统用户身份认证模型通过仿真模型的验证。目前,因为大数据分析技术相应的理论研究和应用技术尚处于起步阶段,系统失效系统的实施,只有一个模拟分析,未来将继续在这方面进行建立大型邮件系统仿真与数据分析系统研究研究结果使用。(作者单位:1.中粮海优(北京)有限公司;2.中国人民大学统计学院)
参考文献:
[1]陈静、刘永春,《网上银行——技术风险及管理》,人民出版社,2001-1:115
[2]冯登国.网络安全原理与技术.北京:科学出版社,2003.
[3]StinsonDR.密码学理论与实践[M].冯登国,译.电子工业出版社,2003.
[4]Schneier B.Applied Cryptography:Protocols,Algorithms and Source Code inC.New York:John Wiley&Sons,1995.
[5]沈昌祥,张焕国,冯登国,等.信息安全综述[J],中国科学,2007,37129-152,
[6]邱卫东,黄征,李祥学,等.密码协议基础[G].北京:高等教育出版社.2009.
[7]中国密码学会.中国密码学发展报告2008.北京:电子工业出版社,2008.
[8]乔红,《网络银行的技术风险与防范》,金融理论与实践,2004-9:1-3
[9]Basel Committee on Banking Supervision,Risk Management for Electronic Bankingand Electronic Money Activities,1998-3
[10]Basel Committee on Banking Supervision,Risk Management Principles for ElectronicBanking,2003-7
[11]http://www.icbc.com.cn/guanggao/2005nian/0929/udun_050929.html
[12]张世永,《网络安全原理与应用》,科学出版社,2003-5:279-282
[13]Dieter Gollmann,COMPUTER SECURITY,POST—TELECOM PRESS 2003-12
[14]ISO DIS 8730.“Banking-Requirements for Message Authentication,”Associationfor Payment Clearing Services.London.Jul 1987
[15]W.Diffie and M.E Hellmen.“New Directions in Cryptography,”IEEE Transactionson Information Theory.v.IT-22.n.6.Nov 1976:644-654