基于移动设备的视觉OTP认证

一种使用移动设备的可视一次性密码认证方案

摘要

密码在用户认证中的使用在我们的日常生活中已变得无处不在。然而，由于与密码相关的各种安全问题，密码窃取正变得越来越常见。因此，许多组织正在转向采用诸如一次性密码之类的替代方案，这些密码仅在单次会话中有效。尽管如此，各种一次性密码方案在其生成或传递方法上仍存在诸多缺陷。本文提出了一种挑战‐响应可视一次性密码认证方案的设计，该方案将与移动设备上的摄像头结合使用。所提出的方案的主要目的是能够通过公共信道发送挑战，使用户获取会话密钥，同时保护用户的长期密钥。本文介绍了认证协议、各项设计考虑以及该方案所提供的优势。

关键词 : 认证 · One-time密码 · Mobile设备 · 视觉密码学

1 引言

如今，密码已广泛应用于互联网上的用户认证。尽管已使用多年，但由于其便捷性和简单性，文本密码仍然是最主要的网络认证形式[26]。然而，密码的使用一直受到各种安全问题的困扰[2,3]。此外，多年来，许多安全攻击（如间谍软件和钓鱼攻击）被用于从计算机、电子邮件、欺诈性网站等渠道窃取敏感信息，导致密码窃取变得十分普遍。

因此，许多企业和组织正转向采用替代传统静态密码方法的解决方案。静态密码方法特别容易受到攻击，因为这些密码可能通过多种方式（例如键盘记录器、钓鱼攻击、木马程序等）被攻击者轻易窃取，并在密码所有者不知情的情况下被使用。这促使一次性密码（OTP）方案越来越流行，其中密码仅对单次会话有效。例如，谷歌使用两步验证的身份认证框架即采用了一次性密码（OTP）方法[7]。在谷歌的两步验证中，第一步是用户使用传统的用户名和静态密码进行认证。在第二步中，用户需要提供一个六位验证码（即一次性密码），该验证码可通过多种方式获取，例如通过短消息服务（SMS）短信、拨打预注册电话号码的语音电话、预生成的一次性代码列表，或安装在用户智能手机上的离线应用程序[7]。

生成和分发一次性密码（OTP）有许多常见方式。然而，有观点认为其中许多方法存在各种缺陷。例如，通过短信（SMS）向用户的手机发送一次性密码（OTP）并不能被视为安全[18]。一方面，短信一次性密码（SMS OTP）的安全性依赖于短信消息的机密性以及蜂窝网络的安全性，而这些都无法得到保障，因为已存在多种针对这些服务的潜在攻击。此外，已经出现了专门针对手机的木马程序，会破坏短信一次性密码（SMS OTP）方法的安全性[18]。再者，如果用户处于手机信号接收较差的区域，该方法的使用也会出现问题。

银行和金融机构普遍采用的一种方法是向用户提供可生成一次性密码的安全令牌。在安全令牌上生成一次性密码的技术之一是使用时间依赖的伪随机算法。该方法依赖于令牌与认证服务器之间准确的时间同步，因为采用此方法生成的一次性密码仅在短时间内有效。因此，该方法存在同步问题以及时钟偏移的可能性[23]。另一种在安全令牌上生成一次性密码的方法是使用哈希链形式的单向函数。然而，哈希链存在存储和计算复杂度问题[24]。

本文提出了一种挑战‐响应视觉OTP认证方案，该方案利用移动设备上的摄像头获取一次性密码。该方案的目的是能够通过公共信道发送挑战，使用户获得会话密钥，同时保护用户的长期密钥。我们的方法基于视觉密码学的概念，因此不依赖于手机网络信号，也无需在计算机与移动设备之间建立网络连接。本文介绍了认证协议以及在设计视觉OTP方案时必须考虑的各种实际问题。

2 相关工作

多年来，研究人员提出了各种不同的认证方法。在本章节中，我们回顾了与我们的工作相关的认证领域的研究。

2.1 视觉认证

利用人机密码学方法进行识别和认证的概念已经存在多年。这些方法通常依赖于挑战‐响应机制，要求人类用户以某种方式与计算机交互以完成认证。例如，松本[16,17]研究了以视觉图像形式向用户呈现挑战的人机密码学方案。他在研究中探讨的方法依赖于人类记忆和处理能力来解决简单的挑战。此后，其他研究人员和实践者也提出并开发了各种图形化密码方案。图形密码试图利用人类对视觉信息的记忆能力，其共享密钥与图像相关[1]。这利用了人类自然的记忆图像的能力，据信这种能力超过对文本的记忆能力[3]。然而，图形密码并不能免受安全攻击。例如，图形密码方案可能遭受肩窥攻击，即通过直接观察登录过程或使用记录设备录制该过程来窃取凭证[1]。

该领域提出的其他方案基于利用人类视觉系统来应对挑战。Naor和 Pinkas [19]提出了一种基于视觉密码学的认证与识别方法。视觉密码学由 Naor和Shamir [20]引入，作为一种使用图像隐藏信息的手段。视觉密码学的核心思想是将一幅秘密图像分割成一组份额，每份打印在单独的透明片上。每个份额单独看起来像是随机黑白像素，不泄露任何关于秘密图像的信息。当将适当数量的份额叠加在一起时，人类视觉系统会平均黑色和白色像素，从而感知到原始秘密图像。

叠加份额的白色像素贡献以恢复隐蔽信息。因此，隐蔽信息可以通过人类视觉系统进行解密，而无需计算机执行解密计算[4]。图1展示了Naor和Shamir的视觉密码方案的一个示例。秘密图像如图1(a)所示，被分成两个份额，分别如图1(b)和(c)所示。通过叠加这两个份额可以恢复秘密，如图1(d)所示。

在Naor和Pinkas提出的方案中[19], ，用户需要携带一张小型透明胶片，其尺寸小到可以放入钱包中，认证和识别过程只需将该透明胶片叠加在信息发送方发送的消息上，即可查看隐藏的信息。然而，在他们的方案中，除非用户携带一叠透明层，而这并不现实，否则同一张透明胶片将用于多次认证会话。

已有研究指出，由于基本视觉密码方案等同于一次性密码本，观察者通过重复观察最终可能获取用户的秘密[3]。此外，Naor和Shamir的视觉密码方案存在像素扩展问题，如图1所示，秘密图像中的每个像素在份额和恢复图像中被分割为四个子像素，因此份额的大小是秘密图像的四倍。

为了克服该方案中的诸多缺点，Tuyls等人[27]提出了一种方案，即为每位用户提供一个小型解密显示屏。他们的方法同样基于视觉密码学，其中小型解密显示屏用于取代对透明层的需求。该小型解密显示屏执行认证和安全操作所需的计算能力非常有限，并且由于用户需要随身携带自己可信的解密显示屏，因此不会被木马或病毒污染。然而，这种方法要求用户使用专用认证设备。

一种称为PassWindow [22]的商用方案采用了类似的方法，其中一块小型透明显示屏被嵌入身份证或某种支付卡中。透明显示屏上的图案会根据预生成的图案序列定期变化。为了进行认证，用户必须将卡片的透明显示屏叠加在一张图案化图像上

来自服务器的图像，并通过视觉识别出由于将卡片的显示屏叠加到图像上而形成的数字。然而，需要注意的是，屏幕上的图像可能因用户的显示设置不同而呈现不同的大小。该方法要求屏幕上显示的图像大小必须与卡片透明显示屏的大小完全相同。

2.2 使用个人设备的认证

许多其他已提出的认证方法利用了用户通常随身携带的个人设备（例如手机）。

在关于如何在使用不可信计算机时为用户提供认证通信的研究中，克拉克等人 [5]提出了一种使用配备摄像头的可信个人设备来监控不可信计算机屏幕的方法。所有通信随后由可信代理进行认证。该方法在监控通信所需的计算资源方面成本较高。

曼南和奥尔肖特 [15]提出了一种他们称之为MP‐Auth（Mobile Password Authentication）的协议，该协议使用移动设备来保护用户密码，防止其被轻易记录。在他们的方法中，假设移动设备不含恶意软件，因为用户将密码输入到移动设备中，而不是输入到不可信计算机中。郑等人[11],提出的一种方法中，用户使用一个应用程序将其加密密码存储在智能手机中，并通过该应用程序直接从智能手机发送密码，而无需用户通过计算机键盘输入密码。

Phoolproof 是一种使用手机进行认证的方案。Phoolproof 是一种双向认证协议，用于通过可信手机 [21] 防止钓鱼攻击。要使用该系统，用户必须通过带外通道与服务器建立共享密钥。该长期密钥存储在移动设备上。为了使用此协议，移动设备必须与网页浏览器建立安全蓝牙连接，以在移动设备和网站之间进行双向认证。

2.3 一次性密码

为了克服与静态密码相关的一些问题，OTP方法正越来越多地被用于认证。存在多种生成和分发一次性密码的技术。此外，还设计了若干方法将一次性密码与移动设备结合使用。

帕特森和斯特比勒 [23]研究了一种将一次性密码与一次性密码认证密钥交换（PAKE）协议结合使用的方法，以确保一次性密码更安全的使用。在孙等人提出的名为oPass的方案[26],中，可信手机通过短信与网络服务器通信，并通过无线网络或蓝牙与网页浏览器通信。用户无需将其密码输入网页浏览器，而是需要输入其长期密码输入到oPass程序中，该程序将生成一个一次性密码，并通过加密短信发送到服务器。

Mulliner等人[18]研究了针对基于短信的一次性密码的攻击，并指出针对蜂窝网络和手机的攻击表明，短信消息无法被视为安全。他们提出在手机操作系统内建立一个虚拟专用一次性密码通道，通过将这些消息从常规传递过程中移除并重定向到特殊的一次性密码应用程序，以防止木马程序截获一次性密码短信消息。

黄等人[9]提出了一种不使用移动设备的方案，该方案通过即时通讯服务传递一次性密码。该方法假设采用一次性密码认证方法的网站必须加入一个即时通讯网络，并通过该网络与用户进行通信。

3 视觉一次性密码认证系统的模型与定义

在本章节中，我们将首先定义视觉一次性密码认证系统及其场景，然后提出一种视觉认证协议。该定义扩展自Naor和Pinkas [19]提出的视觉认证方案。

视觉一次性密码认证场景 。在不失一般性的情况下，我们假设有三个参与方，即 H（亨利）、 S（桑德拉）和一个攻击者 E（埃文）。 H是人类，因此 H具备人类的视觉能力。视觉OTP认证系统的目的是使桑德拉能够验证在埃文存在的情况下亨利是否真实参与了协议。需要注意的是，埃文可以观察亨利与桑德拉之间所使用通信信道。系统涉及安全参数 k，使得桑德拉和埃文的存储容量和计算能力均关于 k呈多项式增长。

视觉一次性密码认证场景包含两个主要阶段。第一阶段是初始化阶段，在此阶段桑德拉可以通过一个埃文无法访问的离线私有初始化通道与亨利进行通信。在第二阶段，桑德拉通过公共信道与亨利通信，而埃文也可以访问该公共信道。

在第一阶段，桑德拉向亨利发放一个长期密钥 lk，其大小是安全参数 k的多项式函数。在第二阶段，桑德拉通过生成一个随机数 r来测试亨利是否已获得 lk，该随机数通过公共信道发送。随后，亨利将构造一个共享视觉密钥，它是 lk和 r的函数。为简便起见，此视觉份额记为 S1。接着，桑德拉生成一个短期密钥 sk，并构造其视觉版本 Ssk。然后，桑德拉将构造另一个视觉份额 S2，其中S2= Ssk− S1（生成 S1和S2可使用的算法示例见下文算法1）。随后， S2通过公共信道呈现给亨利。伊万可以访问公共信道，因此他可以获得 r和 S2。然而，伊万无法获取 S1。凭借他的视觉观察能力，亨利可以从S1和 S2获取短期密钥 sk。

视觉OTP认证协议 。 S希望与 H通信，以测试在存在攻击者 E的情况下， H是否能够重现短期密钥 sk。

– S选择一个随机的 r。
– S生成短期密钥 sk及其视觉表示 Ssk。
– S生成第一份额 S1，它是 lk和 r的函数。
– S计算第二份额 S2，该份额由 Ssk − S1计算得出。
– S通过公共信道将(r, S2)发送给 H。
– H需要从 lk和 r中复现 S1。
– H利用其视觉能力从 S1和 S2获取 Ssk ，从而获得 sk。

我们注意到公共信道对 E是可访问的。此外，只有 S能够生成有效的S2。 E在不知道 lk的情况下将无法生成有效的 S2。

定义 1. 安全性 。如果在观察了 S和 H用于通信的公共信道后， E无法获取 sk，则称该视觉OTP认证协议是安全的。

4 提出的视觉OTP方案

4.1 设计

提出的视觉OTP方案的整体设计描述如下。

初始化阶段 。 H向 S注册，其中 S将颁发一个在安全性参数 k中具有多项式大小的长期密钥 lk。 lk将通过安全且经过认证的通道传输给 H。在实际应用中， S可以使用传统公钥密码学（假设 H配备了公钥）或基于身份的加密（假设 H的身份已知——在智能手机场景中，可以通过手机的国际移动设备识别码 （IMEI）或电话号码实现）。

挑战‐响应阶段 。 在此阶段， S选择一个在安全性参数 k中具有多项式大小的随机数 r。然后， S将执行以下操作：

– 生成一个包含 r、 QRr的快速响应（QR）码。
– 生成一个短期密钥 sk及其视觉表示 Ssk。
– 生成第一个共享份额 S1，其由 lk||r推导而来，其中 || 表示拼接。
– 生成第二个共享份额 S2= Ssk − S1。
– 通过公共信道向 H呈现 QRr和 S2。

收到挑战(QRr, S2)后， H执行以下操作：
– 扫描二维码以获取 r。
– 使用长期密钥、 lk和 r生成 S1。
– 利用 H的视觉功能从 S1和 S2中提取 sk。
– 输出 sk。

请注意， sk的值是通过视觉获取的，且从未在任何地方存储。

图2描述了一个实际场景示例，其中视觉OTP方案可用于进行在线交易。该图概述了整个过程中涉及的不同组件之间的通信。在此场景中，用户必须首先通过安全私有通道将其移动设备注册到认证服务器。服务器随后将生成 lk并将其发送到用户的移动设备。注册仅需进行一次，以便服务器和移动设备建立一个长期密钥。此后，每当用户从网页浏览器发起在线交易时，服务器将生成并发送（QRr， S2）（即挑战），并在网页浏览器上显示。当接收到（QRr， S2）后，用户将使用其移动设备的摄像头扫描 QRr。利用 lk和r的值，用户的移动设备将能够生成 S1。在移动设备的显示屏上， S1将叠加在 S2之上，以生成 S′ sk（即在移动设备显示屏上对Ssk进行的视觉重建），用户将能够直观地获得sk（即响应/一次性密码）。只有服务器可以生成有效的 S2，而只有用户可以使用在移动设备上生成的 S1来获取 sk。

4.2 实际问题

在所提出的方案中， r需要通过公共信道发送给 H。虽然无需将 r编码并传输到二维码中，但我们发现这是最恰当且便捷的传递方式。二维码是一种由 DensoWave公司发明的二维码[6]。如今，二维码在互联网上无处不在，其包含的信息可轻易地通过带有摄像头的移动设备进行扫描。此外，二维码具有内置的错误检测与纠正机制，可用于正确解码可能包含某些错误的受损二维码。

此外，二维码包含多个图案，用于确定旋转方向和对齐。由于(QRr, S2)作为单个图像发送给 H，因此可以利用 QRr来辅助 S1和 S2的对齐。

众所周知，传统视觉密码学存在对齐问题，即在叠加共享时难以对齐份额 [14,30]。实际方法通常建议使用某种参考框架来对齐透明层[19]。然而，与使用物理透明层或令牌的传统方法不同，我们的方法依赖于使用智能手机或平板电脑等移动设备。因此，利用摄像头的视频流来捕获(QRr, S2)，并结合图像处理技术将 S1叠加到 S2上。这类似于增强现实所使用的技术

现实，以将虚拟内容叠加到真实世界的元素上[28]。采用此方法将允许移动设备适当地缩放和旋转S1以便与 S2对齐。

当在计算机屏幕上显示份额并尝试将打印在透明胶片上的对应份额放置于屏幕上方时，传统视觉密码学的另一个问题是，显示器之间可能存在很大差异，且计算机可能设置为不同的显示设置。因此，屏幕上显示的共享图像可能与打印在透明胶片上的份额大小不一致，这将导致无法正确叠加份额，从而无法恢复秘密。在本文提出的方案中，我们依赖移动设备对 S1和 S2进行虚拟叠加。这意味着无论 S2以何种尺寸显示，只要移动设备能够准确捕获 S2的图像，移动设备便可将其缩放至合适的尺寸。为了便于实现这一点， S2图像中方块的大小不应过小。

如图1所示，传统视觉密码学存在像素扩展问题，这会显著增加生成的共享的大小。尽管存在一些尺寸不变的视觉密码学方案，例如伊藤等人 [10]和杨 [29],提出的概率方法，但这些方案无法产生视觉OTP所需的理想视觉质量。因此，为了生成 S1和 S2，随机网格视觉密码方法被认为是最合适的方法。随机网格视觉秘密共享最初由凯夫里和克伦 [12],提出，且在随后的多年中，已对多种随机网格方法进行了研究 [8,25]。使用随机网格视觉密码方案，可以生成无像素扩展的共享。

在提出的视觉OTP方案中，共享图像 S1将由 lk||r和一个伪随机数生成器生成。因此， S1是一个随机网格。S1可与秘密图像 Ssk结合使用，以生成相应的挑战图像 S2。算法1给出了一个改编自Shyu [25],的随机网格视觉秘密共享方法的示例，该方法可用于提出的视觉OTP方案。在此方法中， Ssk中的黑色像素在 S′ sk中以100%重现，而白色像素（即透明像素）则以50%重现。图3展示了在秘密图像上应用算法 1的结果。秘密图像、份额1和份额2以及重建图像分别如图3(a)、(b)、(c)和(d)所示。

算法1。 一种从 Ssk生成 S1和 S2的算法

函数 GenerateShares(Ssk, lk, r)
    imgWidth ← Ssk宽度 
    imgHeight ← Ssk高度
    从 i= 1到 imgWidth执行 
        从 j= 1到 imgHeight执行
            /* 生成 S1作为随机网格 */
            S1[i, j] ← randomPixel(lk||r) /* randomPixel() 输出 0 或 1 */
            /* 生成 S2 */
            if Ssk[i, j]= 0 then
                S2[i, j] ← S1[i, j]
            else
                S2[i, j] ← ¬S1[i, j]
            end if
        end for 
    end for
结束函数

在实现视觉OTP方案时，另一个需要考虑的实际问题是用户在秘密图像的视觉重建中感知一次性密码的清晰程度。为此，我们应该考虑文本颜色和背景。如图4所示，存在两种可能的变化形式，其中图4(a) 显示使用黑背景上的白色文字重建的秘密图像，而图4(b) 显示使用白底黑字重建的秘密图像。有观点认为，对于包含细线的图像，黑背景上的白色文字能带来更好的感知的视觉质量 [13]。

5 讨论

5.1 视觉OTP方案的优势

提出的视觉OTP方案的基本目的是能够通过公共信道发送挑战，使用户获得可用作一次性密码的会话密钥，同时保护用户的长期密钥。在此方案中，用户也无需记住任何密码。

由于移动设备在当今时代无处不在，所提出的方案无需用户随身携带专用的认证卡或设备，也无需携带打印的一次性密码列表。此外，与基于短信一次性密码等认证方案不同，该方法中的认证不需要与手机网络进行任何形式的通信，因此手机网络信号问题不会影响使用。这也意味着视觉OTP方案可应用于任何配备摄像头的移动设备，而不仅限于智能手机。用户只需安装视觉OTP软件，并在认证服务器上完成注册即可。

尽管一次性密码可用于用户认证，但该方案提供的另一项功能是用户可以验证包含挑战的消息是由合法方发送的。这是因为在所提出的方案中，攻击者若不知道长期密钥，则无法生成有效的挑战。这也防止了攻击者篡改挑战图像，因为修改 QRr将导致移动设备无法生成正确的视觉模式（即 S1）来解决挑战，而修改 S2在将 S1叠加到 S2上时也不会产生有效结果。此外，此类事件会引发用户的怀疑，因为它表明挑战可能已被篡改。

所提出的方案的另一个优点是，挑战无需通过电子方式传输。例如，如果银行想要向已在该银行注册的个人发送信件，银行可以寄送一封包含打印在纸上的挑战的信件。个人可以验证该信件确实来自银行（因为只有银行才能生成有效的挑战），同时还能收到可用于与银行进行认证目的的一次性密码。

在其他认证方法中，用户需要将透明胶片或认证令牌叠加到另一个图案上，这些图案的尺寸必须完全匹配，否则用户将无法通过叠加不同尺寸的图案来恢复秘密。而在所提出的方案中，这一问题并不存在，因为移动设备将负责对图案进行缩放和对齐。因此，挑战图案可以以任意尺寸显示，只要能够被移动设备的摄像头捕获即可。移动设备随后将使用增强现实技术将虚拟图案叠加到挑战图案的图像上。

需要注意的是，人类用户通过视觉通道获取一次性密码，且该一次性密码不会存储在任何设备上。这可以防止键盘记录器或甚至设计用于监控用户活动的恶意软件获取一次性密码。此外，该一次性密码仅单次使用有效。另外，移动设备上的视频流将用于叠加视觉图案，并实时向用户呈现。如果存在旨在监控用户活动的软件，则需要将大量信息传输给攻击者，这将显著降低系统性能，并使用户察觉到可疑活动。

此外，与可能遭受肩窥攻击的传统图形密码不同，这一问题在提出的视觉方案中并不存在。肩窥攻击是指攻击者站在用户身后，甚至可能录制用户的交互过程，从而观察并检测出图像中的某些图案或用户交互中的规律，进而破坏视觉密码的安全性。在提出的视觉OTP方案中，移动设备为解决特定挑战而生成的视觉图案仅对该挑战有效。对于不同的挑战，移动设备将生成不同的视觉图案。

5.2 局限性

在本章节中，我们将讨论所提出的视觉OTP方案的一些局限性。

与所有视觉挑战或密码一样，所提出的方案依赖于人类视觉系统。这意味着它不适用于盲人或视力障碍者，也无法被有视觉障碍的个人使用。另一个潜在的缺点是，挑战图像必须以特定尺寸显示，以便移动设备的摄像头能够准确捕获挑战图像中包含的信息。虽然这一点并非被视为一个严重问题，可能会影响消息、文档或网页的布局或美观性。

需要注意的是，所提出的方案并未处理中间人或类似攻击。为了应对此类攻击，可将该方案与其他旨在防范中间人攻击的安全协议结合使用。此外，该方法也未解决认证服务器被黑客入侵的情况。服务器需自行负责其安全性，并假设所有必要的安全机制均已到位。

在所提出的方案中，移动设备通过其视频流捕获挑战图像，并负责将虚拟图像叠加到挑战图像之上。因此，假设该移动设备具备实时处理增强现实技术所需的计算能力。此外，由于必须使用移动设备来视觉呈现挑战的解决方案，因此需要采用单独的方式来显示挑战。换句话说，如果用户希望通过网页浏览器进行在线交易，则不能使用移动设备的网页浏览器，因为该移动设备本身必须与挑战的显示屏配合使用以获取一次性密码。然而，这一要求与本文第2节中先前介绍的其他几种认证方案并无不同，这些方案同样需要使用网页浏览器和一部独立的手机来进行认证。

6 结论

本文提出了一种挑战‐响应视觉OTP认证方案的设计。使用该方案时，挑战会发送给注册用户，可通过网页浏览器甚至印刷媒体进行传输，用户可利用其移动设备的摄像头和显示屏获取挑战的解决方案。该方法可在多种移动设备（如手机和平板电脑）上实现，主要要求是设备必须配备摄像头。挑战本身可以通过公共信道传输，而无需担心被攻击者窃取，因为攻击者既无法正确生成也无法解决该挑战。因此，该方案避免了影响一次性密码生成与传递的常见问题，例如手机信号接收、哈希链复杂性或时间同步机制。此外，该方案不受肩窥攻击或键盘记录器等安全问题的影响，因为移动设备会针对特定挑战生成相应的视觉模式，并在面对不同挑战时生成不同的视觉模式。