期刊論文淺析改進的動態(tài)口令認證

　　【摘 要】身份認證是計算機信息安全中的重要問題,本文通過分析身份認證機制及安全特性,對傳統(tǒng)口令認證方法作了重要改進,在動態(tài)口令認證機制的基礎(chǔ)上,提出了一個基于計算機硬件信息實現(xiàn)的動態(tài)口令建模方法,并實現(xiàn)了這種認證的一個原型系統(tǒng)。彌補了傳統(tǒng)動態(tài)口令認證在安全上的缺陷,比原有的動態(tài)口令更安全,在信息安全上具有重要應(yīng)用價值。

　　【關(guān)鍵詞】建模;信息安全;動態(tài)口令

　　1.引言

　　計算機信息系統(tǒng)在信息社會已經(jīng)滲透到社會的各領(lǐng)域,在現(xiàn)代企業(yè)管理及辦公系統(tǒng)中起著重要作用。而信息安全問題一直是計算機系統(tǒng)需求設(shè)計中需要解決的問題之一,其原因一方面是由于信息系統(tǒng)自身的缺陷;另一方面是由于網(wǎng)絡(luò)具有的開放性和網(wǎng)絡(luò)病毒及黑客工具有意或無意地攻擊帶來的危害。傳統(tǒng)安全方案解決了一些特定的安全問題,但在許多方面仍不能滿足要求。

　　任何一個信息系統(tǒng)面臨的數(shù)據(jù)安全威脅主要有兩類:一類是運行環(huán)境、設(shè)備的物理安全問題;另一類是信息安全問題,主要體現(xiàn)在非法用戶登陸。系統(tǒng)信息安全的解決方法就是對系統(tǒng)建立一種有效的身份認證機制,本文主要針對后一類問題,基于身份認證提出一種基于計算機硬件信息實現(xiàn)的動態(tài)口令模型,安全性能好且容易實現(xiàn),有效解決了軟件系統(tǒng)中的信息安全問題。

　　2.身份認證

　　身份認證技術(shù)在信息安全中占有極其重要的地位,是實現(xiàn)網(wǎng)絡(luò)安全的主要機制之一。通過這種機制,認證服務(wù)器驗證網(wǎng)絡(luò)用戶身份與其所宣稱的是否一致,然后才能實現(xiàn)對于不同用戶的訪問控制,授予用戶不同的訪問權(quán)限,確定其對申請資源的操作行為。身份認證方式有基于生物特征的認證方式、基于智能卡的認證方式和基于口令的認證方式。

　　身份認證的本質(zhì)是被認證方有一些信息,除被認證方自己外,任何第三方不能偽造,被認證方能夠使認證方相信他確實擁有那些秘密,則他的身份就得到了認證。根據(jù)被認證方賴以證明身份的秘密的不同,大致上可分為用戶與主機間的認證和主機與主機之間的認證。用戶與主機之間的認證可以基于如下一個或幾個因素:用戶所知道的,如口令、密碼等;用戶擁有的,如印章、智能卡等;用戶所具有的生物特征,如指紋、聲音、簽字等。

　　基于口令的認證方式是一種最常見的技術(shù),但存在嚴(yán)重的安全問題。它是一種單因素的認證,安全性依賴于口令,口令一旦泄露,用戶即可被冒充,存在著諸多的安全隱患。動態(tài)口令認證是一種讓用戶的口令按時間或使用次數(shù)不斷動態(tài)變化,每個口令只使用一次的技術(shù),是目前較行之有效的一種認證方案,可有效地防止重放、竊聽、猜測等攻擊方式,在一定程度上能夠解決這些問題。特別在有些機密性比較高的場合,需要一種更強的口令機制。本文以異步方式的動態(tài)口令為基礎(chǔ),提出了一種改進的口令身份認證機制,很好的結(jié)合了動態(tài)口令機制和計算機硬件的特性。

　　3.改進的動態(tài)口令認證機制建模過程

　　3.1基本思想

　　首先,假定涉密的操作環(huán)境中,對于固定用戶使用的計算機也是相對固定的,在動態(tài)口令機制中增加對當(dāng)前用戶使用的計算機的識別。也就是通過對這臺計算機硬件的驗證,再加上對使用計算機的用戶進行驗證,實現(xiàn)對用戶更高強度的身份驗證。實際上對于每臺計算機,硬件的一些固有參數(shù)都不一樣,如網(wǎng)卡,每個網(wǎng)卡生產(chǎn)廠商都必須遵循生產(chǎn)規(guī)范,每個網(wǎng)卡的地址都應(yīng)該不一樣,并且網(wǎng)卡地址固化在芯片中不可更改。因此組合這些硬件的參數(shù)完全可以形成此計算機的全球唯一硬件標(biāo)識。

　　3.2建模過程

　　根據(jù)上述思想,在建模實現(xiàn)時只需將上述用戶口令采用用戶的輸入口令與計算機硬件標(biāo)識結(jié)合的方式。

　　3.2.1用戶注冊

　　首先客戶必須離線方式到服務(wù)商處申請身份認證注冊,并向服務(wù)商提交用戶的相關(guān)可信資料CI,服務(wù)商核實客戶資料后交給用戶唯一注冊碼M和客戶唯一標(biāo)識名字CID。注冊過程如下:

　　(1)用戶在線向注冊服務(wù)器注冊,提交注冊碼M和用戶相關(guān)信息CI,為保密用戶的個人資料,將用戶資料用密鑰M加密傳給注冊服務(wù)器RS。

　　(2)注冊服務(wù)器收到CID,KM{CID,CI,S}后解密,得到CID、CI、S的值,然后驗證CID、CI、M信息的正確性。用戶身份核實正確后,通知客戶端下載客戶端代理程序。

　　(3)客戶端下載代理程序,安裝完代理程序后,由代理程序搜索客戶機的硬件信息(如網(wǎng)卡、硬盤)參數(shù),將參數(shù)串連后形成HI,用戶提交密碼Passwd和用戶名Username。代理程序?qū)�HI和Passwd串聯(lián)起來,計算TP=Hash(HI||Passwd),并在客戶端本地記錄UserName與CID之間的對應(yīng)關(guān)系,這樣用戶就可以取一個簡單的名字,隨機生成一個數(shù)N,防止發(fā)生重放攻擊。注冊服務(wù)器收到CID,KM{CID,TP,N,S}后,解密得到TP、N、S,計算PF = F(CID,TP),將CID、PF、S存儲在注冊服務(wù)器端。其中F為單向函數(shù)。

　　(4)注冊服務(wù)器給客戶發(fā)送應(yīng)答消息。

　　客戶端收到后KM{CID,N+1,S},解密,檢查N +1的值是否一致,防止RS發(fā)生欺騙和重放攻擊,注冊過程完成。

　　3.2.2身份認證過程

　　身份認證過程如下:

　　(1)客戶C向服務(wù)器S申請服務(wù)。

　　(2)服務(wù)器作出應(yīng)答,服務(wù)器要求驗證客戶端的身份,激活客戶端的代理程序,并與客戶端代理程序建立連接,同時為了防止發(fā)生重放攻擊,生成一個隨機數(shù)N,捎帶發(fā)送給客戶C。

　　(3)代理程序?qū)崟r收集客戶機的計算機硬件參數(shù)信息HI,用戶輸入的Passwd和UserName,代理程序計算TP=Hash(Passwd+HI), 由用戶名Username找到對應(yīng)的CID,計算PF=F(CID,TP),PG=G(PF,N) 傳送CID、PG給S。其中的F、G 為單向函數(shù),至于計算PF、PG的目的在上文動態(tài)口令機制中已經(jīng)闡明。

　　(4)服務(wù)器S收到CID、PG值之后,傳送CID、PG、N給認證服務(wù)器AS。認證服務(wù)器AS驗證客戶身份,從口令數(shù)據(jù)庫或文件中取出PF的值,計算PG = G(PF,N),將計算的PG與S傳送過來的PG比較,如果一致則確認客戶的身份正確,否則客戶的身份驗證不正確。

　　(5)AS將驗證結(jié)果發(fā)送給消息給服務(wù)器S,身份認證過程完畢。

　　4.結(jié)束語

　　本文在動態(tài)口令機制上做了改進,提出了一個基于計算機硬件信息實現(xiàn)的動態(tài)口令認證建模方法,并實現(xiàn)了這種認證的一個原型系統(tǒng)。在此原型系統(tǒng)設(shè)計中,對傳統(tǒng)口令認證方法作了重要改進,安全性建立在動態(tài)口令機制之上,增加了對特定主機的認證,保證了特殊業(yè)務(wù)只能在特定主機上進行,比原有的動態(tài)口令更安全。而且不需要額外增加硬件設(shè)備,節(jié)約了項目成本。在一定程度上能夠有效防止非法用戶登陸系統(tǒng),從而保證系統(tǒng)中重要數(shù)據(jù)的安全。

　　參考文獻

　　1 馮登國. 《計算機通信網(wǎng)絡(luò)安全》[M] 清華大學(xué)出版社,2001,3

　　2 苗高峰 王思昭.動態(tài)身份認證系統(tǒng)[J]飛行器測控學(xué)報,Vol.21,No.2,Jun.2002

　　3 Tsuji L Shimizu A.One-time Password Authentication Protocol Against Theft Attacks[J].IEICE Trans.Commun,2004,E87-B(3):523-529

轉(zhuǎn)載請注明來自發(fā)表學(xué)術(shù)論文網(wǎng)：http:///dzlw/3371.html