基于Shadow DOM和改进PBE的安全口令管理器

270

基于Shadow DOM 和改进PBE 的安全口令管理器

姜国锋1,2，高能1，江伟玉1

（1.中国科学院信息工程研究所信息安全国家重点实验室，北京 100093；2.中国科学院大学，北京 100049）

摘　要：针对客户端口令管理器的各类攻击给用户隐私和数据安全带来了严重的威胁。文

章指出离线破解和页面输入窃取是当前主要的口令攻击手段，并且传统的口令保护方案已不足

以保证客户端口令的安全。为了防止口令泄露危害用户数据安全，文章提出了一种安全的客户

端口令管理器方案：利用改进的PBE 加密方式和基于Shadow DOM 的数据隔离措施全面有效

地解决了客户端口令管理器面临的离线破解和页面输入窃取问题。

关键词：口令保护；Web 安全；Shadow DOM ；数据隔离

中图分类号：TP309 文献标识码： A 文章编号：1671-1122（2015）09-0270-04

中文引用格式：姜国锋，高能，江伟玉. 基于Shadow DOM 和改进PBE 的安全口令管理器[J].信息网络

安全，2015，（9）：270-273.

英文引用格式：JIANG G F, GAO N, JIANG W Y. Secure Password Manager Based on Shadow DOM and

Improved PBE[J]. Netinfo Security, 2015, (9) : 270-273.

Secure Password Manager Based on Shadow DOM and Improved PBE

JIANG Guo-feng 1,2, GAO Neng 1, JIANG Wei-yu 1

(1. State Key Laboratory of Information Security, Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China ; 2. University of Chinese Academy of Sciences, Beijing 100049, China )

Abstract: Several types of Attacks targeted at password managers seriously threaten user’s privacy

and data security. This paper finds off-line cracking and password stealing from login page is the major

types of password attack on the client side, and traditional password protecting methods no longer

effectively protect passwords. To prevent password leakage and cracking endanger user’s data, this paper

proposes a design of secure password manager: utilizing improved PBE encryption and Shadow DOM

based data isolation method to effectively solve the urgent secure problems of password managers.

Key words: password protection; security of Web; shadow DOM; data isolation 收稿日期： 2015-07-15

基金项目： 国家高技术研究发展计划（国家863 计划）[2013AA01A214]

作者简介： 姜国锋（1988-），男，山东，硕士研究生，主要研究方向：Web 安全；高能（1976-），女，陕西，副研究员，博士，主要研究方向：信息对抗技术、云计算安全；江伟玉（1987-），女，湖南，博士研究生，主要研究方向：云计算安全。

通讯作者： 姜国锋 jiangguofeng@https://www.wendangku.net/doc/329440348.html,

doi ：10.3969/j.issn.1671-1122.2015.09.060

0引言

口令管理器是一种十分常用的客户端工具，旨在减轻用户记忆口令和频繁输入口令的负担[1]。目前，基于口令的认证方式在Web 服务领域仍处于主导地位[2-6]，而日益增多的Web 服务口令给用户记忆和管理口令带了较大的负担。因此，包括IE、Firefox、Chrome 在内的主流浏览器均提供了口令管理器功能，通过客户端安全存储和自动填写登录口令的方式实现了多种不同用户口令的管理。口令管理器给用户带来方便的同时也承受口令攻击的威胁。口令管理器所受的安全威胁主要为口令离线破解和页面输入窃取。当攻击者得到用PBE （Password Based Encryption ）算法加密后的口令表后,可以用字典