在分布式可信系统的多因素认证
基本信息
标题 | MPCAuth: Multi-factor Authentication for Distributed-trust Systems |
---|---|
作者 | Sijun Tan, Weikeng Chen |
期刊 | IEEE Symposium on Security and Privacy (SP) |
发表日期 | 2023 |
关键词 | 安全和隐私、分散匿名支付、区块链、加密货币、法规执行 |
摘要信息
背景: 具有分布式可信的系统已经吸引了越来越多的研究关注,并且被越来越多的行业采用。在这些系统中,关键机密分布在N台服务器上,计算使用安全多方计算(SMPC)私下执行。
研究目的: 这些分布式信任系统的认证面临两个挑战。
第一个挑战是易用性。也就是说,身份验证协议如何在不牺牲安全性的情况下维护其用户体验?为了避免中心攻击点,客户端需要分别向每台服务器进行身份验证。然而,这将要求客户端为每个身份验证因素进行N次身份验证,这极大地妨碍了可用性。
第二个挑战是隐私,因为客户端的敏感配置文件现在暴露给不同信任域下的所有N台服务器,这为配置文件数据创建了N倍的攻击面。
研究方法: 我们介绍了MPCAuth,这是一个用于分布式信任应用的多因素身份认证系统,可以解决这两个挑战。
研究结果: 我们的系统使一个客户端能够独立地向N个服务器进行身份验证,只需进行一次身份验证。此外,我们的系统是配置文件隐藏,这意味着客户的身份验证配置文件,如她的电子邮件用户名,电话号码,密码和生物特征不会被泄露,除非所有的服务器都被破坏。我们为一系列广泛采用的身份验证因素提出了安全实用的协议,包括电子邮件密码、SMS消息、U2F、安全问题/密码和生物识别。我们的系统在加密货币托管和协作机器学习领域找到了实际应用,并有利于分布式信任应用的未来采用。
主要贡献
- 我们提出了一种新的分布式信任应用的多因素认证系统。我们的系统通过完成一次认证的工作,使客户端能够独立地向N台服务器进行认证。
- 我们为一组全面的身份验证因素设计了安全、实用和隐藏配置文件的结构。作为其中的一个子部分,我们提出了TLS-in-SMPC,一种在SMPC建立TLS连接的有效协议,作为我们支持的一些因素的重要构建模块。
- 我们提供了所有认证协议的有效实现和实验评估,并展示了它们的实用性。特别是,我们的TLS-in-SMPC协议比没有针对特定应用进行优化的简单实现快8倍。因此,当N=5时,我们的电子邮件身份验证协议只需要1.81秒来执行TLS握手和发送电子邮件有效负载,这足以有效地避免TLS超时,并成功地与未修改的TLS电子邮件服务器通信。
系统模型
角色:
TLS-in-SMPC邮件/短信验证的应用程序。N服务器共同创建一个TLS端点连接到客户的电子邮件/短信服务器。然后,N个服务器生成一个密码并发送它通过TLS通道;客户接收到从她的邮件/短信服务器密码进入她的客户应用程序,它向前回N个服务器。
大致流程:
系统工作如下:
在TLS-in-SMPC, N个服务器共同参与使用未经修改的TLS TLS连接服务器。
由于这些N服务器不相互信任,任何其中一个必须无法解密交通通过TLS连接发送。
这些N的洞察力是服务器内,共同创建一个TLS客户端端点SMPC能够与TLS通过TLS连接服务器进行通信。
如图2所示,N个服务器运行一个TLS SMPC内客户,建立一个与修改的TLS TLS连接服务器。
TLS会话密钥是唯一已知的TLS服务器。
N服务器作为TLS端联合举办SMPC内会话密钥,但每个人都不能访问密钥。因此,N个服务器必须共同参与此TLS连接。
参考论文
Tan 等 - MPCAuth Multi-factor Authentication for Distribut.pdf