国际计算机与通信工程创新研究杂志
菜单在线刊号(2320-9801)印刷刊号(2320-9798)
在线刊号(2320-9801)印刷刊号(2320-9798)
Pranal Tayade, Mahip Bartere教授
|
| 有关文章载于Pubmed,谷歌学者 |
更多相关文章请访问国际计算机与通信工程创新研究杂志
随着互联网及其服务的使用越来越多,许多组织都在使用密码来提供安全。密码是最方便的身份验证手段。但是现在一天的密码被攻击者破解了。为了提供更多的安全性,我们使用Kerberos和视频CAPTCHA作为身份验证技术。Kerberos是一种身份验证协议,CAPTCHA是一种(完全自动化的公共图灵测试,以区分计算机和人类)测试,它提供了一种将用户区分为人类和恶意程序的方法。验证码(CAPTCHA)已成为防止计算机自动程序攻击最广泛使用的标准安全技术。我们的目标是提出一个比现有的CAPTCHA更好的系统,并提供更高级别的认证。
关键字 |
| 验证码,Kerberos,视频验证码。 |
我的介绍。 |
| 互联网已经成为日常交易不可或缺的一部分,包括购物,教育,商业和工业部门。所有这些交易主要需要在某些注册表格中输入个人信息,然后只有用户才能访问该网站。但是有些人开发了一个程序,通过填写错误的信息进行虚假注册并访问网站。它导致了网络资源的浪费。因此,恶意程序员或机器人试图通过这种方式拒绝普通用户使用的服务。有各种各样的方法来防止这些攻击。庞大的注册数据对人类来说是很难检查的。有些方法是在计算机的帮助下实现的,以区分人类用户和计算机用户。为了区分人类和机器,使用了一种被称为图灵测试的测试,该测试通过向计算机提供智能来做出正确的判断。 |
| 第一次验证码是2000年由卡内基梅隆大学的John Langford, Nicholas J. Hooper和Luis Von Ahn[1]发明的。CAPTCHA是â ' Â的首字母缩写,完全自动化的公开转向测试,告诉计算机和人类Apartâ ' Â[2]。用于区分计算机和人类的完全自动化公共图灵测试(captcha)是一类自动挑战,用于区分互联网上的合法人类用户和计算机程序(“机器人”)。验证码有许多实际的安全应用,包括防止滥用在线服务,如免费电子邮件提供商。对更安全且用户友好的CAPTCHA的需求出现了。 |
| 验证码系统必须满足以下三个字符: |
| 1)人类可以识别内容并轻松通过。 |
| 2)调用它是为了防止机器人通过系统或通过持续攻击来增加处理成本。 |
| 3)它应该容易和快速地生成。验证码在实际安全方面有几个应用, |
| CAPTCHA是一种基于挑战响应认证的认证过程。CAPTCHA提供了一种机制,在这种机制的帮助下,用户可以通过进行简单的测试来保护自己不受垃圾邮件和密码解密的影响。在这个测试中,用户将看到通常是扭曲的图像或文本。如果CAPTCH是基于文本的,那么用户应该完全按照所显示的方式输入模式。如果验证码是基于图像的,用户应该输入正确的图像名称,以正确地象征图像。CAPTCHA用于主要关注身份验证访问的地方。 |
2相关工作 |
| 朱斌(Bin B. Zhu)、严杰夫(Jeff Yan)、鲍冠博(Guanbo)、杨茂伟(Maowei Yang)和徐宁(Ning Xu)提出了一种新的安全模式,一种基于CAPTCHA技术构建的新型图形密码系统,我们将其称为CAPTCHA图形密码(CaRP)。CaRP既是一种验证码,也是一种图形密码方案。CaRP解决了许多安全问题。值得注意的是,即使密码在搜索集中,也只能通过自动在线猜测攻击概率地找到CaRP密码。CaRP还提供了一种新颖的方法来解决流行图形密码系统中众所周知的图像热点问题,例如PassPoints,它经常导致弱密码选择。CaRP提供了合理的安全性和可用性,似乎很适合一些提高在线安全性的实际应用。AnimalGrid和ClickText比PassPoints和文本密码和CAPTCHA的组合更容易使用。AnimalGrid和ClickText都比传统的文本密码具有更好的密码记忆性。另一方面,可以根据用户的登录历史和用于登录[3]的机器使用不同难度级别的图像,从而进一步提高CaRP的可用性。 |
| 随着互联网及其服务的日益普及,大量的组织正在利用它来提供和寻求使用这些服务的人的信息。这增加了攻击此类服务的机会,因为它们会中断向以编程方式提供这些服务的服务器发送多个请求。因此,一种利用自定义鼠标光标图像的新技术,优于一些最流行的验证码技术,如基于文本的验证码和以前的基于图像的验证码[4]。 |
| Baljit Singh Saini, Anju Bala,给出了一个验证码方案,可以用来区分人类和机器人,如恶意程序。谷歌和微软都使用基于文本的验证码进行身份验证。然而,所有基于文本的CAPTCHA都被打破了,因为它无法阻止光学字符识别(OCR)攻击,这种攻击可以自动识别CAPTCHA的单词。因此,新的验证码被提出来解决这个安全漏洞。例如,基于图像和基于音频的验证码是用于取代基于文本的验证码的新兴方案。在这里,他们提出了一种新的验证码方案(GeoCAPTCHA),该方案利用地理信息等个性化内容来防止第三方人为攻击。然后,我们对GeoCAPTCHA的可用性和安全性进行了安全性分析。GeoCAPTCHA可以增强谷歌和微软的CATPCHA系统的性能和安全性,旋转3D街景图像[8]。 |
| 随着许多基于文本的模式被OCR技术破解,一种新的3D验证码出现了。本文研究了国内领先的视频网站酷6采用的基于3D文本的验证码的鲁棒性,并首次对3D验证码进行了分析。该验证码方案的安全性依赖于一种新的抗分割机制,该机制结合了CCT策略和侧面,形成了字符的三维视觉效果,即使在字符之间有很强的重叠,[1]也具有良好的可用性。 |
| CAPTHA的普遍实现是二维静止图像验证码;人工智能和图像识别技术的发展使计算机程序通过CAPTCHA的测试成为可能。一个新的验证码的实现是基于计算机视觉的三维动画形式。基于图像识别和运动目标识别的攻击防范新方法[9]。 |
| 图灵测试将计算机和人类区分开来,成为防止恶意程序自动访问网络资源的关键。本文将提出一种新型的验证码系统。提出的方案名为Clickspell,结合了基于文本和基于图像的验证码的特性。Clickspell要求用户通过点击扭曲的字母来拼写一个随机选择的单词,以通过测试。用户可以了解所选单词的定义。点击法术可以添加广告图像,从而增加您的系统[7]的安全性。 |
| Baljit Singh Saini等人[2]在这篇论文中,他们研究了CAPTCHA及其工作和文献综述,他们还描述了CAPTCHA的分类及其应用领域和生成CAPTCHA的指南。实现CAPTCHA有三种方法:视觉法、OCR(光学字符识别)和非OCR视觉法。在本文中,它们是比较类型的验证码。本文对现有的各种CAPTCHA方案进行了文献综述,并对CAPTCHA的工作原理进行了描述。这也描述了各种CAPTCHA方案的分类。最后,介绍了验证码的各种应用,以及基于OCR和非OCR验证码的比较。 |
3算法 |
| A.系统实现 |
| 在一项建议工作中,我们将提出一个为web服务提供多层次安全的系统。在一个提议的系统中,我们使用身份验证协议,即Kerberos和视频CAPTCHA,为服务提供更高的身份验证和安全性。Kerberos是一种基于票据的身份验证协议,允许在网络上通信的节点以安全的方式相互证明自己的身份。验证码(CAPTCHA)是由计算机或程序为假定为人类的用户创建的一种转向测试。这项测试对人来说很容易,但对任何机器来说都很困难。用户需要对测试提供正确的响应,然后用户允许访问工作。当收到正确的响应时,则确认响应来自人而不是程序或机器。 |
| 总体工作可分为以下几个模块: |
| 1.Kerberos的开发 |
| Kerberos是一种身份验证系统,它使用对称密钥加密来保护开放网络上的敏感信息。这是一个基于票据的系统,其中Kerberos服务器在用户登录时发出用用户密码加密的票据。它由三个政党组成。它们是客户机、服务器和密钥分发服务器。密钥分发中心由认证服务器和票据授予服务器组成。 |
| 2.视频数据集的收集。 |
| 在本模块中,将研究各种在线数据集,如trecvid,并将其用于一个项目。视频数据集是公开的。 |
| 3.用户注册过程。 |
| 在这个模块中,用户将根据用户名、密码、视频、视频序列对象进行注册。这将为用户保存整个视频序列到数据库。 |
| 4.用户登录。 |
| 在这个模块中,Kerberos认证与视频比较、视频序列比较、视频序列对象比较将用于登录用户。 |
| 5.结果评估与优化 |
| 在这个模块的结果将评估和系统将优化,如果需要。在这个模块中,我们将比较视频验证码和现有的验证码(即基于图像的验证码)的输出。 |
| B.提出的算法描述: |
| 提出算法的目的是为使用视频CAPTCHA和Kerberos作为标准认证协议的web服务提供安全性。我们的目标是提供两种方式的身份验证,提出系统一种是视频验证码,另一种是使用以下算法的Kerberos。 |
| L1: un, pwd, t1->请求提交时间。 |
| 如果un和pwd与database匹配 |
| 转到L2; |
| 其他的 |
| Goto L1; |
| L2: t2->登录时间, |
| 如果t2 - t1< maxtime; |
| Goto L3; |
| 其他的 |
| Goto L1; |
| L3:机票, |
| 如果Ticket匹配, |
| 授予服务访问权限 |
| 其他的 |
| Goto L1; |
| 该算法分为三级,第一级是用户在登录过程中输入用户名和密码。当用户名和密码与数据库匹配时,然后随着请求提交时间进入第二级。在第二级,t2,即登录时间。当t2-t1小于maxtime时,进入下一层。如果t2-t1大于goto level 1。在第三级中,向用户提供票据,票据中包含用户名、用户id、服务器id和生存时间。如果ticket的contains被匹配,那么ticket将被用于访问服务,否则它将进入一级。每次登录时间都是不同的。 |
| C.高级加密标准 |
| 高级加密标准(AES)是一种对称分组密码,由美国政府用于保护机密信息,并在世界各地的软件和硬件中实施,用于加密敏感数据。AES基于一种被称为替换-置换网络的设计原则,它结合了替换和置换,在软件和硬件上都是快速的。与它的前身DES不同,AES不使用Feistel网络。AES是Rijndael的变体,它的固定块大小为128位,密钥大小为128位、192位或256位。相比之下,Rijndael规范本身指定的块和键大小可以是32位的任意倍数,最小为128位,最大为256位。用于AES密码的密钥大小指定将输入(称为明文)转换为最终输出(称为密文)的转换轮的重复次数。重复次数为:128位键重复10次,192位键重复12次,256位键重复14次。每一轮由几个处理步骤组成,每个步骤包含四个相似但不同的阶段,其中一个阶段取决于加密密钥本身。应用一组反向循环,使用相同的加密密钥将密文转换回原始明文。在提议的系统中,我们使用128位密钥,用于加密由用户密码生成的密钥,也用于解密密钥。 Also we are using AES for encrypting and decrypting the ticket which is used by client for obtaining the ticket. |
四、设计方法 |
| 本节重点介绍用于实现所提议的系统的方法。所提出的系统着重于提高web服务的安全性,以避免被滥用。系统的体系结构由以下子系统组成。 |
| •客户端注册与视频验证码。 |
| •服务器提供给客户端的认证票据。 |
| A.使用视频CAPTCHA注册客户端 |
| 当用户需要使用服务时,用户需要注册服务。在该系统中,我们使用了视频验证码作为安全机制,增强了现有的安全性。如现有系统中基于文本的验证码,基于图像的验证码,图形验证码。我们正在提高安全性,在视频CAPTCHA用户需要输入用户名,密码,联系方式和电子邮件进行注册过程。雷竞技网页版在注册过程中,用户输入用户名、密码和用户点击加载视频。然后视频应该加载,从加载的视频帧提取并分配一个标签,该标签被保存。在登录时,用户需要输入正确和准确的标签。如果匹配了enter标记,那么它将进一步处理服务。如果输入的标签不匹配,则转到登录页面,重复相同的过程。提取的帧可以是按顺序的,或者我们可以跳过帧并保存标签。 User had to set the three frames compulsorily, and if user wants to set more frames then user can set the frame. |
| B.服务器提供给客户端的认证票据 |
| 因为我们将为web服务提供多层次的安全性。首先使用视频验证码,其次使用基于授权票据的Kerberos来使用服务。Kerberos的工作基于票据。Kerberos由票据授予服务器和身份验证服务器组成,前者向用户提供使用服务的票据,后者验证用户的详细信息并解密票据的内容。Kerberos由密钥分发中心和应用程序服务器组成。然后用户将这个用密钥加密的TGT发送给TGS,以提供使用服务的票据。然后用户可以使用密钥解密,并查看包含用户名、用户id、服务器id和生存时间的票据详细信息。然后用户使用此票据,并输入它,如果匹配,然后用户能够使用服务。否则,重复相同的过程。 |
| 在第一阶段,客户机向Kerberos身份验证服务器(AS)发送请求,请求在第二阶段与票据授予服务器(TGS)一起使用票据授予票据。AS将应答一条消息,该消息由票据授予票据和包含新的会话密钥的加密组件组成,该组件将在客户端和TGS之间共享。 |
| 在第二阶段,客户端将票据授予票据以及在第一阶段获得的会话密钥加密的验证器转发给TGS,请求在第三阶段与应用服务器一起使用的服务票据。TGS将响应一条由应用服务器票据和加密组件组成的消息,该组件包含在客户机和应用服务器之间共享的会话密钥。 |
| 在第三阶段,客户端转发应用服务器票据,以及使用在第二阶段(应用服务器)中获得的会话密钥加密的新验证器,请求某些服务。应用程序服务器票据加上秘密会话密钥是客户端要验证到特定应用程序服务器的凭据。如果所有凭据都有效,应用服务器将对客户机进行身份验证并提供服务。 |
| C.系统流程图 |
 |
五、结论与未来工作 |
| 各种验证码的替代方案正在不断出现,这场竞赛将继续下去,并取得更大的进展。CAPTCHA的基本思想是区分计算机和机器,这个概念值得被发现有几个原因。我们提出了第一个使用视频理解来区分人类和机器的CAPTCHA。为了提高网络安全领域的自动化挑战和应对自动化程序发出的攻击,我们提出了一个更健壮的基于视频的CAPTCHA。由于弱CAPTCHA实现只能提供一种虚假的安全感,我们一直在解决有助于以有效方式提供更安全挑战的主要特性。我们探索了视频CAPTCHA的安全性和可用性,并提出了一个比现有CAPTCHA更好的系统,同时使用Kerberos提供更高级别的身份验证。 |
| 在未来,我们可以为用户提供多种挑战,从而提高安全性。我们还将尝试在android操作系统的手机中实现这一点。视频验证码有更多的未来范围,视频质量应该提高,并尽量减少内存空间。 |
参考文献 |
|
