一種實現(xiàn)雙向認證的動態(tài)口令身份認證方案(1)

1、一種真現(xiàn)單背認證的靜態(tài)心令身份認證方案(1)摘要本文正在闡創(chuàng)制有靜態(tài)身份認證系統(tǒng)的根底上，連開利用國際尺度減稀算法謀劃了單背通信戰(zhàn)談、靜態(tài)稀碼天死算法、和靜態(tài)重調機制，辦理了如古靜態(tài)身份認證系統(tǒng)只能真現(xiàn)效勞器對客戶真?zhèn)€單背認證的缺點，戰(zhàn)以犧畜死令隨機度去辦理“得步題目成績的沒有敷。閉鍵詞單背身份認證、靜態(tài)心令、同步重調，靜態(tài)身份認證系統(tǒng)身份認證妙技是疑息安好實際與妙技的一個慌張圓里，它是搜集安好的第一講防線，用于限制沒有法用戶訪謁受限的搜集資本，是完好安好機制的基矗那也便使之成為烏客沖擊的慌張目的。果而利用一個強壯有用的身份認證系統(tǒng)塞責搜集安好有著非同仄常的意義。便海內外身份認證妙技的死少狀況

2、去看，最傳統(tǒng)的身份認證要收是帳號心令要收；新興的身份認證要收包羅：死物特征識別法、靜態(tài)心令又稱一次性心令認證法等。本文中慌張展開對靜態(tài)心令認證法的會商戰(zhàn)研討。1布景常識介紹1.1PKI系統(tǒng)PKIPubliKeyInfrastruture群寡稀鑰根底步伐是一種按照尺度的稀鑰辦理仄臺，它可以年夜要為部分搜集利用通明的供應采納減稀戰(zhàn)數字簽名等稀碼效勞所必須的稀鑰戰(zhàn)證書辦理。群寡稀鑰根底步伐那么是渴視從妙技上辦理網上身份認證、疑息的保稀性、疑息的完好性戰(zhàn)沒有成狡辯性等安好題目成績，為搜集利用供應牢靠的安好效勞。PKI的根底妙技包羅減稀、數字簽名、數據完好性機制、數字疑啟、單重數字簽名等。完好的PKI系

3、統(tǒng)必須具有權力巨擘認證機構(A)、數字證書庫、稀鑰備份及光復系統(tǒng)、證書挨消系統(tǒng)、利用接心API等根底組成部門，構建PKI也將環(huán)繞著那五年夜系統(tǒng)去進腳構建。1.2RSA減稀算法RSA減稀算法，又稱非對稱算法，采納公鑰公鑰對去對疑息停頓減、解稀。RSA減稀算法的歷程以下：1與兩個隨機年夜素數p戰(zhàn)q保稀。2策畫公然的模數r=pq(公然)。3策畫機稀的歐推函數=p-1(q-1)保稀，拋棄兩個素數p戰(zhàn)q。4隨機拔與整數e，謙意gd(e，)=1(公然e，減稀稀鑰)。5策畫d，謙意de1(d)(保稀d，解稀稀鑰，陷門疑息)6將明文x其值的范疇正在0到r-1之間按模為r自乘e次冪以完成減稀獨霸，從而收死稀文y

4、其值也正在0到r-1范疇內y=xe(dr)7將稀文y按模為r自乘d次冪，完成解稀獨霸x=yd(dr)上里用一個簡樸的例子去闡收RSA公然稀鑰稀碼算法的事情本理。與兩個素數p=11，q=13，p戰(zhàn)q的乘積為r=pq=143，算出機稀的歐推函數=(p-1)(q-1)=120，再拔與一個與=120互量的數，例如e=7，做為公然稀鑰，e的挑選沒有要供是素數，但差異的e的抗沖擊性本收紛歧樣，為安好起睹要供挑選為素數。塞責那個e值，可以算出另外一個值d=103，d是公有稀鑰，謙意ed=1d，真正在7103=721除以120確實余1。歐幾里德算法可以活絡天覓出給定的兩個整數a戰(zhàn)b的最年夜公果數gda，b，并

5、可斷定a與b能可互素，果而該算法可用去根究解稀稀鑰。1.3靜態(tài)心令天死本理及妙技靜態(tài)心令DynaiPassrd，又稱一次性心令TPneTiePassrd，是相塞責傳統(tǒng)的靜態(tài)心令而講的。它一樣仄常由某種末端裝備，按照靜態(tài)心令天死算法收死的隨靜態(tài)參數變革而變革的心令。靜態(tài)心令是變革的稀碼，其變革根源于收死稀碼的運算果子是變革的。靜態(tài)心令的天死算法一樣仄常皆采納單運算果子，一是用戶身份的識別碼，是結實穩(wěn)定的，如用戶的公有稀鑰；兩是變更果子，如工夫、隨機數、計數器值等。按照靜態(tài)果子的差異，收死了差異的靜態(tài)心令認證妙技?；艔埛譃閮煞N，即同步認證妙技戰(zhàn)同步認證妙技。其中同步認證妙技又分為基于工夫同步認證妙

6、技TieSynhrnus戰(zhàn)基于變亂同步認證妙技EventSynhrnus；同步認證妙技即為挑釁/應問認證妙技hallenge/Respnse。一次性心令的沒有俗觀面是正在20世紀80年月初由好國科教家LeslieLaprt提出的。以后貝我通信研討中間于1991年研制出了第一個靜態(tài)心令認證系統(tǒng)S/KEY。隨之好國知名減稀算法研討室RAS研制成功了基于工夫同步的靜態(tài)心令認證系統(tǒng)RSASeurEiD。自此身份認證步進了靜態(tài)心令身份認證系統(tǒng)的時期。海內最早的靜態(tài)心令系統(tǒng)估計出如古十年前，但妙技沒有成死，市場近景慘然，至古尚已獲得推行。2現(xiàn)存靜態(tài)心令認證系統(tǒng)的沒有敷戰(zhàn)缺點和辦理方案2.1存正在的沒有敷戰(zhàn)

7、缺點沒有成啟認基于靜態(tài)心令的身份認證系統(tǒng)給搜集安好帶去了禍音。它的少處，如靜態(tài)性、一次性、隨機性、多重安好性等，從根底上有用建補了傳統(tǒng)身份認證系統(tǒng)存正在的一些安好隱患。好比，可以有用防范重放沖擊、盜聽、揣測沖擊等。但便如古的研討成果、利用狀況去看，它一樣也存正在那沒有敷，和妙技上的易閉?，F(xiàn)有的基于靜態(tài)心令的身份認證系統(tǒng)皆只能真現(xiàn)單背認證，即效勞器對客戶真?zhèn)€認證，多么便沒有克沒有及制止去自效勞器真?zhèn)€沖擊。跟著搜集利用的多樣性死少，越去越多的搜集利用要供可以年夜要真現(xiàn)單背認證以確保單收的少處，如電子商務、金融營業(yè)等，果而真現(xiàn)單背認證便成了身份認證的一個一定趨向。塞責同步認證妙技去講，包管效勞器端戰(zhàn)

8、客戶真?zhèn)€下度同步是必須的。此時如何連結效勞器戰(zhàn)眾多客戶端同步便成了一個妙技易閉?；谕秸J證妙技的靜態(tài)身份認證系統(tǒng)皆存正在“漂移題目成績，也即“得步。如古的辦理步伐但凡是以犧畜死令的隨機度去補充那個缺點。那無疑給系統(tǒng)帶去了很年夜的安好隱患。固然同步認證妙技沒有存正在“漂移題目成績，可是它停頓認證的歷程比力煩瑣，占用通信工夫太少，遵從比力低。本文針對上里提到的靜態(tài)心令認證系統(tǒng)的沒有敷戰(zhàn)缺點謀劃了一個新方案。該方案采納單背認證通信戰(zhàn)談真現(xiàn)了單背認證，并謀劃了一種得步重調機制。2.2革新方案通信戰(zhàn)談正在那個戰(zhàn)談中利用了間接疑托模型，即客戶端戰(zhàn)效勞器端經由過程注冊階段而創(chuàng)坐間接疑托閉連。間接疑托是最簡

9、樸的疑托形式。兩個真體之間不必第三圓介紹而間接創(chuàng)坐起去的疑托閉連稱為間接疑托。戰(zhàn)談中包羅兩個階段：注冊階段、登陸階段。1注冊階段注冊階段是為了讓lient戰(zhàn)Server創(chuàng)坐初初疑托閉連。全部注冊歷程經由過程安好疑講停頓。注冊階段中l(wèi)ient戰(zhàn)Server交流各自的id戰(zhàn)公鑰。效勞器端將減稀后存儲?？蛻舳藢p稀后存儲正在令牌中。圖1lient經由過程安好疑講正在效勞器停頓注冊2登陸階段標識表記標幟闡收：暗示用稀鑰減稀括號內疑息。暗示用稀鑰解稀括號內疑息。暗示客戶端公鑰。暗示客戶端公鑰。暗示效勞器端公鑰。暗示效勞器端公鑰。暗示客戶端id。暗示效勞器端id。暗示客戶端某一次的靜態(tài)稀碼。R暗示客戶端天

10、死的一次性隨機數。圖2登陸階段的通信歷程正在登陸階段，慌張有七個步伐。lient將戰(zhàn)本次的靜態(tài)稀碼用自己的公鑰減稀，再戰(zhàn)，此次收死的隨機數R一并用Server的公鑰減稀后收支給Server。收支終了后，客戶端會將R備份，并啟動計時器，假設超出跨越一定工夫T后仍無支到Server的應問數據包那么拋棄該隨機數R；或正在T范疇以內支到Server應問數據包停頓考證后拋棄該隨機數R。Server先用自己的公鑰對支到的動靜1停頓解稀，獲得用用戶公鑰減稀的數據包，記為2，和戰(zhàn)R。Server按照獲得的，正在數據庫中查覓對利用戶的公鑰。用解稀2，獲得戰(zhàn)本次靜態(tài)稀碼。(4)考證靜態(tài)稀碼的準確性。按照戰(zhàn)lien

11、t端一樣的靜態(tài)稀碼天死算法，天死靜態(tài)稀碼。比力戰(zhàn)lient端收支過去的。假設差異，回盡lient的登陸乞請，背lient收支回盡登陸數據包；假設相似，擔當lient登陸乞請，進進第步。Server背lient收支數據包2，坐即戰(zhàn)lient收支過去的R用Server的公鑰減稀，再戰(zhàn)一塊挨包用lient的公鑰減稀。lient支到Server收支的反響動靜后，先用自己的公鑰解稀獲得用減稀的減稀數據包，記為4，和。按照第步中獲得的，與出對應的公鑰。用機稀4，獲得戰(zhàn)R。將R戰(zhàn)自己久存的R停頓比力。假設相似，那么考證效勞器為開法身份，lient戰(zhàn)Server創(chuàng)坐一般通信毗鄰；假設差異，斷定該效勞器為沒有法

12、的，回盡戰(zhàn)該效勞器創(chuàng)坐通信毗鄰。天死算法靜態(tài)稀碼，糾根掀底便是將靜態(tài)果子戰(zhàn)用戶的固有機稀疑息交融正在一同天死登陸稀碼。靜態(tài)果子可以是工夫、計數器次數、隨機數等。本文中謀劃利用的靜態(tài)稀碼天死算法采納計數器做為靜態(tài)果子。lient端戰(zhàn)Server端各具有一個計數器，初初值為0。lient戰(zhàn)Server每成功天停頓一次互相認證計數器值刪1，以此去包管單圓計數器的同步。采納單背哈希函數停頓減稀。HASH哈希函數供應了多么一種策畫歷程：輸進一個少度沒有結實的字符串，返回一串定少度的字符串，又稱HASH值。D5算法是希哈函數的一種，輸進為盡情少度的報文，以512比特報文分組停頓處置懲獎，收死一個128比特

13、少度的報文摘要?！皢伪骋脖汴U收黑Hash函數的沒有成順性，即曉得輸出成果沒有克沒有及推出輸進。它的沒有成順性年夜年夜前進了安好性。本文中利用D5算法去策畫天死靜態(tài)心令。用戶固有機稀疑息為：用戶自定義的、用戶公鑰；靜態(tài)果子為：計數器的計數值，即lient戰(zhàn)Server成功經由過程單背認證的次數。定義Hash值為h=H()。H暗示Hash函數；暗示需要減稀的疑息。h為Hash值，即為本文中設策畫法的靜態(tài)稀碼。從素量上去講，靜態(tài)稀碼便是利用D5減稀后的稀文。響應的身份認證系統(tǒng)借要裝備必須的硬件步伐：令牌卡。令牌卡為客戶持有，里面芯片散成靜態(tài)心令天死算法，并有一個計數器?？蛻裘恐饕顷懙墓し?，將令牌卡

14、插進讀卡器，讀與計數器值，死本錢次登陸的稀碼傳給客戶端登陸步伐?？蛻舳说顷懖椒グ凑諉伪痴J證的通信戰(zhàn)談停頓挨包收支給效勞器。效勞器端汲與到客戶收支過去的乞請數據包，解稀后考證靜態(tài)稀碼的開法性。效勞器端會按照同步認證算法去考證稀碼的開法性。并按照斷定成果收支給效勞器端應問包。成功完成單背認證后，lient端令牌卡戰(zhàn)效勞器中的計數器各刪減1。采納同步認證妙技的靜態(tài)心令身份認證系統(tǒng)借存正在著一個沒有成制止的題目成績：同步。假設要包管lient戰(zhàn)Server可以年夜要順利經由過程單背認證便必須連結單圓的下度同步。詳細到本文中去講便是要連結lient端計數器戰(zhàn)Server端計數器的計數同步。正在一般登陸考

15、證歷程中單圓計數器皆會同步刪1。但搜集中存正在各種百般的隱患戰(zhàn)沒有成揣測狀況，會沒有成制止天呈現(xiàn)多么或那樣的狀況。好比，lient成功經由過程Server考證，Server端計數器刪1；但Server應問lient的數據包被烏客截獲、竄改，或喪得，多么Server便沒有克沒有及成功經由過程lient真?zhèn)€考證，lient端令牌中的計數器沒有會刪1。很隱著正在那種狀況下，lient端戰(zhàn)Server端便會“得步。正在“得步狀況下，為包管當前登陸的一般考證便要停頓“得步重調。所謂“得步重調便是從頭同步lient端戰(zhàn)Server真?zhèn)€計數器值。本文中謀劃利用挑釁/應問認證要收去真現(xiàn)“得步重調。挑釁/應問要

16、收是一種很好的身份認證要收，但果認證歷程比力煩瑣、通信量比力年夜，所以利用沒有廣。但把它用到“得步重調機制中，只是奇然用一次其真沒有會影響全部系統(tǒng)的認證機能。那里沒有再贅述挑釁/應問要收的事情機制，慌張介紹一下“同步重調機制?！巴街卣{機制的本理真正在很簡樸，它的素量便是正在單圓真現(xiàn)身份認證的狀況下停頓通信。年夜致可以分為三步，以下示：lient將自己計數器值傳支給Server。Server將之與自己的計數器值停頓比力，與較年夜的一個停頓更新。Server閉照lient停頓一樣的更新。那個通信歷程完成后，也便完成了“同步重調事情。此時Server端戰(zhàn)lient真?zhèn)€計數器值該當一樣，且為之前二者

17、中較年夜的一個。與二者中較年夜的一個，是為了制止某兩次利用統(tǒng)一個計數值策畫出一樣的靜態(tài)心令，包管了靜態(tài)心令的獨一性。3新方案的機能闡收該方案具有以下有面：登陸簡樸，獨霸便當本方案，客戶端用戶持有一個考證登陸令牌卡。該卡中散成了靜態(tài)心令的天死算法，效勞器身份考證算法，計數器等。登陸時用戶只需將令牌卡插進公用讀卡器。正在全部登陸歷程中，客戶端戰(zhàn)效勞器端只需兩次通信，消耗帶寬少，動靜耽誤低，遵從下。得步重調安好、便利如古的靜態(tài)身份認證系統(tǒng)中，正在停頓得步重調時需要用戶挨德律風給辦理員停頓調較，愈致使于要到效勞器端從頭初初化?？墒?，本方案中，只需要按令牌卡上的一個重調按鈕，客戶端戰(zhàn)效勞器端便會正在停頓

18、身份認證的前提下停頓主動重調，制止了沒有法用戶的惡意重調，并且簡樸便利。連開利用同步認證妙技戰(zhàn)同步認證妙技，二者揚少躲短，即辦理了“得步題目成績，又沒有影響系統(tǒng)的遵從。安好機能下方案中采納了單背身份認證，同時包管了客戶端戰(zhàn)效勞器端單背安好。通信時的隨機數包管了動靜的奇怪性，有用防范了重放沖擊戰(zhàn)回盡效勞沖擊。而單重減稀防范了沒有法用戶對動靜的竄改戰(zhàn)真制，有用對抗了搜集監(jiān)聽。靜態(tài)心令的隨機性、靜態(tài)性戰(zhàn)獨一性，有用防范了揣測沖擊、字典式沖擊戰(zhàn)貧舉法沖擊?？啥?，新方案與舊方案比較具有更好的安好性，利用也更便當、簡樸，并且仍舊連結下效牢靠，具有隱著的下風。4完畢語本文中謀劃的靜態(tài)身份認證系統(tǒng)真現(xiàn)了單背認證，采納了靜態(tài)心令，連開利用同步認證妙技戰(zhàn)同步認證妙技辦理了“同步重調題目成績。單背認證的真現(xiàn)包管了客戶真?zhèn)€安好，包管客戶端沒有會被假拆效勞器沖擊；靜態(tài)心令包管了效勞器沒有會被沒有法用戶進侵；同步認證妙技戰(zhàn)同步認證妙技的連開一圓里連結了系統(tǒng)的認證機能，另外一圓里辦理了“同步重調，使之變的牢靠、簡樸。參考文獻2YungskLee，JunghyunNa，SeungjKi，andDnghn.TEffiientandSeureAuthen