基于Shadow DOM和改进PBE的安全口令管理器

doi:10.3969/j.issn.1671-1122.2015.09.060

信息网络安全 ›› 2015, Vol. 15 ›› Issue (9): 270-273.doi: 10.3969/j.issn.1671-1122.2015.09.060

基于Shadow DOM和改进PBE的安全口令管理器

姜国锋^1,²(), 高能¹, 江伟玉¹

1.中国科学院信息工程研究所信息安全国家重点实验室,北京 100093
2.中国科学院大学,北京 100049

收稿日期:2015-07-15 出版日期:2015-09-01 发布日期:2015-11-13
作者简介:
作者简介：姜国锋（1988-）,男,山东,硕士研究生,主要研究方向：Web安全;高能（1976-）,女,陕西,副研究员,博士,主要研究方向：信息对抗技术、云计算安全;江伟玉（1987-）,女,湖南,博士研究生,主要研究方向：云计算安全。
基金资助:
国家高技术研究发展计划（国家863 计划）[2013AA01A214]

Secure Password Manager Based on Shadow DOM and Improved PBE

Guo-feng JIANG^1,²(), Neng GAO¹, Wei-yu JIANG¹

1. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China
2. University of Chinese Academy of Sciences, Beijing 100049, China

Received:2015-07-15 Online:2015-09-01 Published:2015-11-13

摘要/Abstract

摘要：

针对客户端口令管理器的各类攻击给用户隐私和数据安全带来了严重的威胁。文章指出离线破解和页面输入窃取是当前主要的口令攻击手段,并且传统的口令保护方案已不足以保证客户端口令的安全。为了防止口令泄露危害用户数据安全,文章提出了一种安全的客户端口令管理器方案：利用改进的PBE加密方式和基于Shadow DOM的数据隔离措施全面有效地解决了客户端口令管理器面临的离线破解和页面输入窃取问题。

关键词: 口令保护, Web安全, Shadow DOM, 数据隔离

Abstract:

Several types of Attacks targeted at password managers seriously threaten user’s privacy and data security. This paper finds off-line cracking and password stealing from login page is the major types of password attack on the client side, and traditional password protecting methods no longer effectively protect passwords. To prevent password leakage and cracking endanger user’s data, this paper proposes a design of secure password manager: utilizing improved PBE encryption and Shadow DOM based data isolation method to effectively solve the urgent secure problems of password managers.

Key words: password protection, security of Web, shadow DOM, data isolation

中图分类号:

TP309

姜国锋, 高能, 江伟玉. 基于Shadow DOM和改进PBE的安全口令管理器[J]. 信息网络安全, 2015, 15(9): 270-273.

Guo-feng JIANG, Neng GAO, Wei-yu JIANG. Secure Password Manager Based on Shadow DOM and Improved PBE[J]. Netinfo Security, 2015, 15(9): 270-273.

图/表 2

参考文献 14

[1]	杨晨,游林. 可计算密文加密体制研究[J]. 信息网络安全,2014,(5):78-81.
[2]	Kontaxis G, Athanasopoulos E, Portokalidis G, et al.Sauth: Protecting user accounts from password database leaks[C]//Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security. ACM, 2013: 187-198.
[3]	Bonneau J, Herley C, Van Oorschot P C, et al. The quest to replace passwords: A framework for comparative evaluation of web authentication schemes[C]// Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012: 553-567.Herley C, Van Oorschot P. A research agenda acknowledging the persistence of passwords. Security & Privacy, IEEE, 2012, 10(1): 28-36.
[4]	Herley C, Van Oorschot P.A research agenda acknowledging the persistence of passwords[J]. Security & Privacy, IEEE, 2012, 10(1): 28-36.
[5]	Herley C, van Oorschot P C, Patrick A S. Passwords: If we’re so smart, why are we still using them?[M]. Financial Cryptography and Data Security. Springer Berlin Heidelberg, 2009: 230-237.
[6]	He W, Akhawe D, Jain S, et al.ShadowCrypt: Encrypted Web Applications for Everyone[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014: 1028-1039.
[7]	Zhao R, Yue C.Toward a secure and usable cloud-based password manager for web browsers[J]. Computers & Security, 2014, 46: 32-47.
[8]	Dimitri Glazkov, Hayato Ito..
[9]	Paul December. New 25 GPU Monster Devours Passwords In Seconds[EB/OL]. https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/, 2015-06-24.
[10]	Weir M, Aggarwal S, De Medeiros B, et al.Password cracking using probabilistic context-free grammars[C]//Security and Privacy, 2009 30th IEEE Symposium on. IEEE, 2009: 391-405.
[11]	吴茜,刘嘉勇,卿粼波. 基于VIPS算法和模糊字典匹配的网页提取技术研究[J]. 信息网络安全,2014,(10):49-53.
[12]	Bojinov H, Bursztein E, Boyen X, et al.Kamouflage: Loss-resistant password management[M]. Computer Security-ESORICS 2010. Springer Berlin Heidelberg, 2010: 286-302.
[13]	袁艳祥,游林. 基于身份加密的可认证密钥协商协议[J]. 信息网络安全,2014,(3):1-6.
[14]	He W, Akhawe D, Jain S, et al.ShadowCrypt: Encrypted Web Applications for Everyone[C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security. ACM, 2014: 1028-1039.

基于Shadow DOM和改进PBE的安全口令管理器

Secure Password Manager Based on Shadow DOM and Improved PBE

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 2

参考文献 14

相关文章 10

编辑推荐

Metrics

本文评价

[1]	黄娜娜, 万良, 邓烜堃, 易辉凡. 一种基于序列最小优化算法的跨站脚本漏洞检测技术[J]. 信息网络安全, 2017, 17(10): 55-62.
[2]	季玉香, 朱延, 唐晓强. 基于Web的软件安全分析与监测[J]. 信息网络安全, 2016, 16(9): 208-212.
[3]	李鑫, 张维纬, 隋子畅, 郑力新. 新型SQL注入及其防御技术研究与分析[J]. 信息网络安全, 2016, 16(2): 66-73.
[4]	张兴杰;池阳;朱潜;徐剑. 基于内核监控及过滤规则的网站防护系统[J]. , 2013, 13(9): 0-0.
[5]	许子先;卜哲;裴立军. 基于纵深防御的Web系统安全架构研究[J]. , 2013, 13(6): 0-0.
[6]	孙歆;韩嘉佳;唐秋杭. 自动化Web安全测试的局限及手工测试方法[J]. , 2013, 13(1): 0-0.
[7]	李馥娟. 从频发的信息泄露事件分析Web服务安全[J]. , 2012, 12(7): 0-0.
[8]	王剑;张玉清. 点击劫持漏洞攻防技术研究[J]. , 2011, 11(7): 0-0.
[9]	张伟;刘文庆;陈星亦. Google Web安全检测工具研究[J]. , 2011, 11(10): 0-0.
[10]	刘明华;任志考;董洪灿. 基于Web安全的电子商务安全模型研究[J]. , 2009, 9(4): 0-0.