米乐m6官方网站[理事长中钵良二](以下简称“AIST”)信息技术研究部[研究部负责人 Yoshio Tanaka] 高性能密码学研究小组高级研究员 Seihan Shin 和信息技术研究部首席研究员 Kazukuni Furuhara 开发了“AIST 密码身份验证方法”,该方法仅使用密码对用户和服务器进行安全的相互身份验证,从而能够检测网络钓鱼等攻击。ISO/IEC JTC 1/SC 27一项国际标准,该方法已被列为标准技术之一ISO/IEC 11770-4:2017已发布。此外,我们还向ISO/IEC JTC 1/SC 27提出了“AIST匿名密码认证方法”,在不识别用户身份的情况下认证用户具有特定的权限或属性,同时保证安全性。ISO/IEC 20009-4:2017已发布。
AIST密码认证方式(AKAM3) 仅使用密码等短秘密信息安全地实现用户和服务器之间的相互认证,因此与目前网络上广泛用于服务器认证的 SSL/TLS 通信等使用公钥证书的认证方法不同,不需要公钥证书验证处理,ISO/IEC 保证相同级别的安全性。与11770-4(第一版)中列出的现有认证方法相比,可以用更少的计算实现相互认证。现在AKAM3已经作为国际标准发布,预计该方法将被引入到终端的各种应用中,包括低计算能力的设备。
 |
| 图1 AIST密码认证方法 |
AIST匿名密码认证方法(SKI机制)允许服务器在密码验证时不识别用户而检查用户是否属于某个组匿名身份验证(见下图),可以方便地提供和使用匿名服务。现在,AIST匿名密码认证方法已作为国际标准发布,预计将被引入到各种需要安全相互认证同时确保用户隐私的互联网服务中。
 |
| 图2 AIST匿名密码认证方法 |
[AIST 密码身份验证方法]
密码身份验证广泛用作服务器和物联网设备在互联网等公共线路上对用户进行身份验证的方法,但为了验证服务器并发送和接收加密密码,它通常与称为 SSL/TLS 的协议结合使用,该协议使用公钥证书实现服务器身份验证和加密通信。然而,诸如当前流行的使用公钥证书的基于SSL/TLS的密码认证方法的现有方法具有以下问题之一,并且已经寻求这些问题的解决方案。
- 使用公钥证书进行身份验证需要花费时间和精力来获取和部署公钥证书,并且加密和解密所需的计算量较大,难以在处理器低功耗和可用功率有限的 IoT 设备中使用。
- 即使密码经过加密并通过公共线路发送,它仍然是密文离线详尽搜索允许密码恢复。
-
网络钓鱼攻击上的浏览器警告,他们的密码将被盗。
- 如果包括密码在内的数据从服务器泄露,则无需应用离线详尽搜索即可立即冒充用户。密码列表攻击的措施是必需的。
过去,已经提出了几个提案来解决这些问题,但是在旧方法中,提出了修改以仅避免已知的攻击方法,并且当发现新的攻击方法时,再次提出修改。
另一方面,近年来的研究表明,破译所提出的方法相当于解决了一个在现实中被认为不可能解决的数学难题,即它在数学上是安全的(可证明的安全性)是学术团体和标准化组织提出和选择新方法的要求之一。 AIST开发了“AIST密码认证方法”,可以解决上述问题并具有可证明的安全性,以实现登录各种互联网服务、应用程序和物联网设备的安全密码认证。
[AIST 匿名密码身份验证方法]
世界上有很多服务是用户希望匿名接受的(例如举报、匿名问卷、匿名咨询、匿名匹配等)。此外,服务提供商还需要确认一定程度的权限,以限制恶意行为和服务使用者。目前,还没有实现这些的标准方法。在这样的互联网社会中,除了用户和服务提供商的上述需求之外,随着未来来自熟悉设备(智能手机、平板电脑、智能家电等)的各种数据将在互联网上积累和搜索,确保一定程度的匿名性的需求预计将稳步增长。为了满足上述用户和服务提供商的需求,并为实现更安全的互联网社会做出贡献,AIST开发了“AIST匿名密码认证方法”,该方法可以在确保用户匿名的同时确认用户的权限和属性,并具有可证明的安全性。
[AIST 密码身份验证方法]
在2014年4月举行的ISO/IEC JTC 1/SC 27会议上,讨论了国际标准ISO/IEC 11770-4:2006(第一版)的修订,包括密码认证方法。 AIST的Seihan Shin在2014年10月举行的ISO/IEC JTC 1/SC 27会议上结合ISO/IEC 11770-4:2006(第一版)的修订提出了AIST密码认证方法,经过各阶段审议,于2017年4月在ISO/IEC JTC 1/SC上获得批准。在第27次会议上,收到了包括AIST密码认证方法在内的国际标准最终草案一致通过,国际标准ISO/IEC 11770-4(第二版)发布。
[AIST 匿名密码身份验证方法]
2012年10月召开的ISO/IEC JTC 1/SC 27会议上,讨论了匿名密码认证方法的国际标准化,并决定征集提案。据此,AIST的Kazukuni Furuhara在2013年4月举行的ISO/IEC JTC 1/SC 27会议上提出了AIST匿名密码认证方法。经过各个阶段的审议,在2017年4月举行的ISO/IEC JTC 1/SC 27会议上,包括AIST匿名密码认证方法在内的最终国际标准草案以多数票通过,国际标准ISO/IEC 20009-4被通过。发表。
该国际标准化活动的一部分基于 AIST 标准基础研究“使用密码的匿名身份验证/属性身份验证国际技术标准化(2014-2016)”和科学研究资助基金,“基于短秘密信息的认证技术和密钥管理技术的研究与开发(2016-2018)。”
[AIST密码验证方法]
“AIST 密码身份验证方法”现已作为国际标准发布,允许用户和服务器、用户和物联网设备通过互联网等公共线路安全地相互验证。其特点是仅使用密码实现相互认证,无需使用公钥证书,广泛用于服务器认证和通信通道加密。另外,在“AIST密码认证方法”中,客户端(用户的终端设备)和服务器(占计算时间的大部分)的计算量为求余运算) 的执行次数是最低的(参见相关文章)。即,在该方法中,通过不使用公钥证书,可以减少余数计算量。
另外,在识别密码时,通过采用无法将确认认证时使用的值与随机数区分开的结构,即使进行彻底的离线搜索,也无法确定攻击者是否成功地搜索了密码。此外,通过与添加的随机数而不是密码本身交换信息,可以防止通过网络钓鱼攻击进行密码欺诈。
AIST密码认证方法与传统的密码认证方法一样,可以应用于需要用户认证的各种服务,例如电子邮件、电子商务、网上银行、应用程序以及未来重要的物联网设备登录。消息队列遥测传输)。
[AIST 匿名密码身份验证方法]
13773_14161秘密搜索、秘密匹配。
这次,AIST密码认证方法(AKAM3)和AIST匿名密码认证方法(SKI机制) 已分别作为国际标准 ISO/IEC 11770-4 和 ISO/IEC 20009-4 发布,从而更容易确保不同服务提供商实施的客户端和服务器之间的通信兼容性。我们将继续通过在学术会议、其他标准化组织和各种实施项目上的演讲和公关来展示AIST认证方法的优势,并通过联合研究和其他活动继续提供实施知识,旨在普及AIST的认证方法。
国立产业技术综合研究所
信息技术研究部高性能密码学研究组
首席研究员 Seonghan Shin 电子邮件:seonghanshin*aistgojp(发送前请将 * 更改为 @。)
信息技术研究部
主管 Kazukuni Furuhara 电子邮件:kobara_conf-ml*aistgojp(发送前请将 * 更改为 @。)