【摘要】用戶身份驗(yàn)證是其中一個基礎(chǔ)程序，在一個不安全的公共網(wǎng)絡(luò)渠道中，它保證安全通信和共享系統(tǒng)資源。因此，為了保護(hù)真實(shí)的網(wǎng)絡(luò)系統(tǒng)環(huán)境，一個簡單而有效的身份驗(yàn)證機(jī)制是必要的。一般來說，基于密碼的身份驗(yàn)證機(jī)制為防止未經(jīng)授權(quán)的訪問提供了基本的功能。

【關(guān)鍵詞】次性密碼;用戶身份驗(yàn)證;二維碼;手機(jī)

Ⅰ.前言

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，越來越多的計算機(jī)連接在一起交換重要的信息和共享系統(tǒng)資源。安全是計算機(jī)網(wǎng)絡(luò)的一個重要問題。為了防止信息被非法或未經(jīng)授權(quán)的用戶訪問，用戶的遠(yuǎn)程認(rèn)證無疑是其中最重要的服務(wù)。在開放的網(wǎng)絡(luò)下，用戶身份驗(yàn)證是必不可少的安全機(jī)制來建立信任關(guān)系。基于密碼的身份驗(yàn)證方案是最常見的方法來檢查登錄信息的有效性，對用戶進(jìn)行身份驗(yàn)證。

一次性密碼只對于一個登錄會話或事務(wù)是有效的。一次性密碼防止了與傳統(tǒng)靜態(tài)密碼相關(guān)聯(lián)的許多缺點(diǎn)，例如，重播攻擊，字典攻擊，網(wǎng)絡(luò)釣魚攻擊。這意味著，如果一個潛在的入侵者試著去記錄一個已經(jīng)被用于登錄服務(wù)或者進(jìn)行事物的一次性密碼;他將不能濫用它因?yàn)檫@個密碼不再有效。因此，一次性密碼的目的是使它更加難以獲得未經(jīng)授權(quán)訪問受限資源的權(quán)限。

一方面，一次性密碼方案不能由人類記憶。出于這個原因，為了工作，它們需要額外的技術(shù)?；旧希淮涡悦艽a可以分為一下四類：

A：基于數(shù)學(xué)算法

1981年，Lamport首先提出了利用單向散列鏈的一次性密碼身份驗(yàn)證方案。然而，如果需要無期限的密碼，當(dāng)一套老哈希鏈用盡的時候，需要選取一個新的種子值。特別是，維護(hù)一個用來驗(yàn)證用戶身份驗(yàn)證請求的密碼文件同時也增加了篡改的風(fēng)險和維護(hù)成本。出于這個原因，許多研究人員提出了各種用戶身份驗(yàn)證，如使用智能卡來改善安全，成本或效率。

B：基于智能卡

由于管理密碼文件中的抗篡改技術(shù)和便利性，智能卡已經(jīng)廣泛應(yīng)用到許多遠(yuǎn)程身份驗(yàn)證方案。然而，對于用戶來說，隨身攜帶卡和掃描器仍然是一個負(fù)擔(dān)。由于卡和掃描器遠(yuǎn)離無處不在，因此這個障礙限制了基于身份驗(yàn)證方案的智能卡的應(yīng)用。

C：基于令牌標(biāo)記

令牌一次性密碼通常與物理硬件令牌相關(guān)聯(lián)。在令牌的內(nèi)部是一個準(zhǔn)確的已經(jīng)與身份驗(yàn)證服務(wù)器上的時鐘同步的時鐘。近期，它已經(jīng)可以將電子原件與常規(guī)密鑰卡一次性密碼令牌相關(guān)聯(lián)，例如 InCard，RSA，SafeNet，和Vasco。然而，出于和智能卡方案一樣的原因，這些方法不是很方便，因?yàn)橐淮涡悦艽a硬件的成本和基礎(chǔ)設(shè)施的需求。

D：基于短消息服務(wù)

由于短息是一個無處不在的通信通道同時在所有的手機(jī)上利用。然后，盡管，短信是一個最盡力的遞送員，意味著通訊公司盡力地傳送短信，但是不能保證它一定送達(dá)，或者不知道它要花多長時間。應(yīng)該強(qiáng)調(diào)，一次性密碼必須有一個生命周期作為安全特性。此外，基于短信方案必須持續(xù)直到帶來額外費(fèi)用。因此，它是不切實(shí)際的，同時不是必要地低成本解決方案。

上述提到的障礙顯然限制了一次性密碼身份驗(yàn)證方案的實(shí)用性。因此，設(shè)計一個解決方案克服這些缺點(diǎn)是非常有必要的。

由于移動通信的飛速發(fā)展，在嵌入式攝像頭中的二維碼技術(shù)已經(jīng)作為新的輸入接口被應(yīng)用。有嵌入式攝像頭的手機(jī)可以捕捉到二維碼，然后使用運(yùn)行的在手機(jī)上的軟件對它們進(jìn)行解碼。與此同時，在手機(jī)中使用二維碼有許多好處，比如全方位的可讀性和糾錯能力。出于這個原因，采用了二維碼的手機(jī)支持現(xiàn)在的許多服務(wù)，比如，訂票、支付和統(tǒng)一資源定位符閱讀。

所以本文提出了一個有趣的方法：采用廣泛使用的二維碼技術(shù)來支持一次性密碼系統(tǒng)，則手機(jī)上的二維碼應(yīng)用可以獲得從二維碼上繼承的好處，如大容量，打印尺寸小，高速掃描，抗毀壞能力和數(shù)據(jù)健壯性。此外，各種屬性，比如流動性和靈巧性，從手機(jī)上獲得的好處使我沒的方法更加使用。因此，我們的方法可以更加的便利，因?yàn)橛脩舨恍枰獙τ诿恳粋€安全域都攜帶單獨(dú)的硬件令牌來獲得訪問權(quán)限。

Ⅲ.被提方案

我們的方案主要問題是利用部署廣泛的二維碼技術(shù)消除先前一次性密碼方案的缺點(diǎn)。方便的網(wǎng)絡(luò)集成和移動設(shè)備的使用使我們的方案更加的實(shí)際。

被提方案包括兩個部分：服務(wù)提供商和遠(yuǎn)程用戶。每個授權(quán)用戶可以從服務(wù)提供商那里獲得訪問請求服務(wù)的權(quán)利。此外，每個用戶擁有一部帶有嵌入式攝像頭的手機(jī)，因此他可以拍攝二維碼圖像，然后解碼。我們的方案分為兩個階段：注冊和驗(yàn)證階段。本文介紹了符號表。

Notation

Description

h（·）

單向散列函數(shù)

EQR（·）

將數(shù)據(jù)編碼成二維碼圖像的函數(shù)

DQR（·）

將捕獲在嵌入式攝像頭設(shè)備的二維碼解碼的函數(shù)

s

服務(wù)提供商的長期密鑰

T1，T2

時間戳

A：注冊階段

沒有普遍性，假如帶有嵌入式攝像頭手機(jī)的用戶A想要加入系統(tǒng)。然后，服務(wù)提供商和用戶A進(jìn)行下面的注冊程序。此外，注冊階段的步驟將在圖1中顯示。

1）用戶A向服務(wù)提供商發(fā)送他的IDA。

2）服務(wù)提供商計算：xA = h（IDA，s），并通過安全的移動設(shè)備通道發(fā)送xA給用戶A。

3）用戶A的移動設(shè)備將xA作為長期密鑰存儲。

圖1：注冊階段

B：驗(yàn)證階段

驗(yàn)證階段如下所示。此外，驗(yàn)證階段的步驟將在圖4中顯示。

1）用戶A向服務(wù)提供商發(fā)送IDA和T1，T1是與用戶A綁定的時間戳。

2）服務(wù)提供商檢查時間戳T1是否正確。如果它是無效的，拒絕。否則，選擇一個隨機(jī)數(shù)r，"""""" "" 計算xA = h（IDA，s），和α = r? xA，，然后將 EQR（α），h（r，T1，T2），and T2 發(fā)送給"" "" 用戶A，其中T2是與服務(wù)提供商綁定的時間戳。

3）用戶A檢查時間戳T2是否正確。如果它是無效的，拒絕。否則，通過嵌入式攝像頭設(shè)備計算r = " """DQR（EQR（α））? xA.得到r，之后，用戶A檢查h（r，T1，T2）是否正確。如果正確，用戶A將h（r，T2、T3）和T3發(fā)送給服務(wù)提供商。

4）服務(wù)提供商檢查時間戳T3是否正確。如果它是無效的，拒絕。否則，檢查h（r，T1，T2）是"""""""" """ 否正確。如果正確，則服務(wù)提供商確定用戶A是合法的。否則拒絕請求。

Ⅴ.結(jié)論

在今天這個人文化的社會中，日常產(chǎn)品或各種系統(tǒng)的設(shè)計必須考慮到人們的習(xí)慣、便利性和日常生產(chǎn)。本文的動機(jī)是第一個提出基于一次性密碼認(rèn)證協(xié)議的二維碼，這個二維碼不僅消除了密碼驗(yàn)證表的使用，同時由于許多網(wǎng)絡(luò)用戶已經(jīng)擁有手機(jī)的情況下，它也是一個性價比高的解決方案。從用戶的角度看，我沒的方法更加的方便，因?yàn)榭梢韵龜y帶單獨(dú)硬件令牌的負(fù)擔(dān)，還可以減少短信帶來的額外費(fèi)用。因此，好處是非常明顯的。