徐春笙 郭鳳宇

摘要：信息安全保護(hù)水平和密碼學(xué)的發(fā)展程度息息相關(guān)，目前開(kāi)發(fā)出了多種信息保護(hù)方法，其中數(shù)字簽名的動(dòng)態(tài)密碼認(rèn)證由于其具備特殊性和實(shí)時(shí)性，在多個(gè)領(lǐng)域中發(fā)揮重要作用。該文分析了目前基于數(shù)字簽名的動(dòng)態(tài)身份認(rèn)證機(jī)制中可使用的技術(shù)類型，并完成了專業(yè)化的設(shè)計(jì)工作，之后檢測(cè)了設(shè)計(jì)成果的使用質(zhì)量。

關(guān)鍵詞：數(shù)字簽名;動(dòng)態(tài)身份認(rèn)證技術(shù);技術(shù)設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）11-0022-02

基于數(shù)字簽名的動(dòng)態(tài)身份認(rèn)證技術(shù)實(shí)施技術(shù)，可以將數(shù)字轉(zhuǎn)化成可供計(jì)算機(jī)系統(tǒng)識(shí)別的動(dòng)態(tài)口令，具備安全保護(hù)中的全覆蓋性。生成的數(shù)字簽名密碼要能夠被網(wǎng)絡(luò)系統(tǒng)識(shí)別，則要建立專業(yè)化的動(dòng)態(tài)信息驗(yàn)證系統(tǒng)，該項(xiàng)技術(shù)的實(shí)施難度較高，要根據(jù)密碼學(xué)的相關(guān)原理完成設(shè)計(jì)任務(wù)。

1基于數(shù)字簽名的動(dòng)態(tài)身份認(rèn)證機(jī)制中使用的技術(shù)

1.1身份認(rèn)證方法

目前的身份認(rèn)證方法主要有4種：其一基于密碼和賬號(hào)的秘密認(rèn)知形式，原理是發(fā)放用戶賬號(hào)之后，由用戶自主設(shè)置與該賬號(hào)匹配的密碼，互聯(lián)網(wǎng)訪問(wèn)中要求用戶同時(shí)輸入這兩個(gè)信息，訪問(wèn)申請(qǐng)發(fā)出后從數(shù)據(jù)庫(kù)中對(duì)比兩項(xiàng)信息，都擁有存儲(chǔ)信息狀態(tài)下視作可以正常登錄。該方法的優(yōu)勢(shì)是簡(jiǎn)單易操作，并且保護(hù)系統(tǒng)的設(shè)計(jì)難度較小，劣勢(shì)是難以防范密碼猜測(cè)技術(shù)，相對(duì)來(lái)說(shuō)安全保障能力較低。其二是物品認(rèn)證方式，使用的物品中含有專用的登錄信息，常用的存儲(chǔ)介質(zhì)有IC卡、身份證、鑰匙等，該方法形成了雙認(rèn)證體系，包括智能卡本身所屬的硬件設(shè)備和其中含有的PIN碼，理論上若硬件未遺失，則難以攻破這一安全保障系統(tǒng)。其三是數(shù)字證書(shū)認(rèn)證技術(shù)，其可以認(rèn)為是在密碼技術(shù)的基礎(chǔ)上設(shè)置了一個(gè)第三方監(jiān)管機(jī)構(gòu)，數(shù)字證書(shū)由CA機(jī)構(gòu)發(fā)行，信息驗(yàn)證過(guò)程除了同時(shí)檢測(cè)用戶的個(gè)人信息、公鑰和數(shù)字證書(shū)，所有手續(xù)齊全后才可視作正常登陸。其四是生物特征識(shí)別技術(shù)，生物特性包括指紋、虹膜、聲音、簽名等，認(rèn)證形式由兩種，一種是將生物信息上傳到云盤(pán)中，特征檢測(cè)通過(guò)后回傳信息，用戶可以正常登錄。另一種是生物信息本地存儲(chǔ)，通過(guò)后允許登錄。

1.2身份認(rèn)證機(jī)制

動(dòng)態(tài)身份認(rèn)證形成了一種密碼的雙向建設(shè)和單向?qū)Ρ葯C(jī)制，雙向密碼建設(shè)過(guò)程中，用戶發(fā)送賬戶的登陸申請(qǐng)后，賬號(hào)信息固定，只需要由與該系統(tǒng)連接的服務(wù)器和與之關(guān)聯(lián)的計(jì)算設(shè)備生成一次性的動(dòng)態(tài)密碼，用戶使用之后廢棄。同時(shí)密碼的檢測(cè)系統(tǒng)也采用相應(yīng)的計(jì)算體系生成一個(gè)一次性的密鑰，理論上這兩個(gè)密鑰應(yīng)該完全相同。單向?qū)Ρ葯C(jī)制是，用戶輸入獲取的動(dòng)態(tài)密碼后輸入密碼的輸入?yún)^(qū)域，由內(nèi)置的對(duì)比程序逐個(gè)比較兩個(gè)密碼的字母和數(shù)字，完全相同時(shí)才視作用戶具有合法身份。

需要注意的是，為進(jìn)一步提高安全性和降低服務(wù)器的工作壓力，密碼驗(yàn)證時(shí)間要做出限制，所以對(duì)比系統(tǒng)也收集發(fā)送密碼和驗(yàn)證密碼的生成時(shí)間，超出時(shí)間范圍后認(rèn)為不具有合法登錄身份。

2基于數(shù)字簽名的動(dòng)態(tài)身份認(rèn)證機(jī)制的設(shè)計(jì)方案

2.1注冊(cè)階段設(shè)計(jì)

注冊(cè)階段的系統(tǒng)設(shè)計(jì)和數(shù)據(jù)庫(kù)連接，允許用戶根據(jù)自身的定義登錄賬號(hào)和密碼，經(jīng)過(guò)加密系統(tǒng)的處理之后存人數(shù)據(jù)庫(kù)，該過(guò)程獲取的賬號(hào)和密碼只是后續(xù)所有操作系統(tǒng)中的基礎(chǔ)。

整個(gè)階段設(shè)計(jì)過(guò)程采用密碼學(xué)原理同時(shí)處理用戶注冊(cè)的賬號(hào)和密碼，即后續(xù)傳輸?shù)臄?shù)據(jù)并不是賬號(hào)與密碼的明文，防止被網(wǎng)絡(luò)攻擊手段截取信息。假設(shè)用戶設(shè)定的密碼使PW，傳輸過(guò)程的加密手段是哈希值處理，構(gòu)成H（PW），其中用戶名也進(jìn)行這一步驟的處理，之后把數(shù)據(jù)傳遞給數(shù)據(jù)庫(kù)，將用戶的注冊(cè)賬號(hào)和數(shù)據(jù)庫(kù)中的賬號(hào)對(duì)比，當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫(kù)中已經(jīng)含有用戶的注冊(cè)賬戶時(shí)，提交反饋信息督促用戶修改注冊(cè)賬號(hào)。

賬號(hào)和密碼通過(guò)驗(yàn)證后，則用戶的成功登錄參數(shù)設(shè)定為1，同時(shí)生成密鑰在，包括SKi和VS1、SK2和VS2，前兩項(xiàng)是服務(wù)器端的信息加密和用戶的簽名，后兩項(xiàng)是用戶的加密信息與服務(wù)器簽名，同時(shí)生成兩個(gè)經(jīng)過(guò)同或、異或處理的密鑰，作為系統(tǒng)驗(yàn)證的初始密碼。之后服務(wù)器向已經(jīng)存儲(chǔ)的信息發(fā)放數(shù)字證書(shū)，所有已經(jīng)經(jīng)過(guò)處理和生成的參數(shù)、服務(wù)器端識(shí)別碼都要進(jìn)行同或、異或處理，對(duì)于采用智能卡的工作形式，要讓同步配發(fā)的硬件中輸入PIN碼。

2.2登錄階段設(shè)計(jì)

登錄階段的設(shè)計(jì)為重點(diǎn)內(nèi)容，對(duì)于用戶碼和用戶設(shè)定的密碼檢測(cè)來(lái)說(shuō)，可以直接在本地驗(yàn)證，但是僅有在生物識(shí)別和物品識(shí)別中這一方式才可保證安全性。由于動(dòng)態(tài)密碼的驗(yàn)證過(guò)程采用了挑戰(zhàn)碼機(jī)制，同期生成相應(yīng)的驗(yàn)證碼，所以可以更好提高安全性能。挑戰(zhàn)碼的生成流程是，首先把用戶的登錄次數(shù)N和服務(wù)器標(biāo)識(shí)碼SD連接，形成（NISD）形式，之后將形成的數(shù)據(jù)哈希運(yùn)算，形成數(shù)據(jù)碼H（NISD），對(duì)其簽名后成為SK2（H（NISD》，把生成的挑戰(zhàn)碼與簽名碼直接連接，之后傳輸即可。其次是隨機(jī)數(shù)的生成，該過(guò)程要連接用戶登錄名、設(shè)定的密碼的哈希值，并加入挑戰(zhàn)碼和登錄次數(shù)參數(shù)N，在這類數(shù)值的共同作用下，采取異或、同或交錯(cuò)計(jì)算方法，把得到的結(jié)果記錄為str字符串，該過(guò)程中采用的計(jì)算結(jié)果具有隨機(jī)性，生成的隨機(jī)參數(shù)是a和b，之后選擇合理的配置和驗(yàn)證種子防止產(chǎn)生相同的數(shù)字。最后是針對(duì)str字符串的處理，采用哈希運(yùn)算模式，在經(jīng)過(guò)多次數(shù)和數(shù)據(jù)的處理過(guò)程中，可以把經(jīng)過(guò)處理后的數(shù)據(jù)最后一位設(shè)定為動(dòng)態(tài)密碼中的一位數(shù)字，最后生成了動(dòng)態(tài)碼。

在動(dòng)態(tài)碼的傳輸過(guò)程，也要同時(shí)傳輸生成的隨機(jī)數(shù)a和b，并對(duì)隨機(jī)數(shù)處理以得到SK（alb），之后把動(dòng)態(tài)碼和隨機(jī)數(shù)的處理結(jié)果連接，之后對(duì)其進(jìn)一步加密，提高了安全性。

2.3密碼修改階段設(shè)計(jì)

修改密碼的過(guò)程必須要保證修改過(guò)程的安全性，采用的方法是對(duì)密碼和賬號(hào)哈希計(jì)算之后傳輸?shù)綌?shù)據(jù)庫(kù)中存儲(chǔ)，由于針對(duì)特定的技術(shù)形式會(huì)將賬戶和密碼存儲(chǔ)在本地，所有密碼的修正過(guò)程中會(huì)同時(shí)處理這兩個(gè)作業(yè)形式，以提高整個(gè)系統(tǒng)的作業(yè)水平。修改密碼過(guò)程依然要經(jīng)過(guò)本地驗(yàn)證，可以采用與注冊(cè)過(guò)程相同的處理方式和加密手段，把賬號(hào)和密碼同時(shí)傳輸給數(shù)據(jù)庫(kù)，之后由數(shù)據(jù)庫(kù)采用新的密碼覆蓋原有密碼。

3基于數(shù)字簽名的動(dòng)態(tài)身份認(rèn)證機(jī)制的設(shè)計(jì)成果檢測(cè)

3.1安全性方面

從用戶的登錄過(guò)程可以看出，每次登錄過(guò)程都會(huì)生成唯一性的動(dòng)態(tài)密碼，這一方法可以防止登錄過(guò)程只采用單一密碼導(dǎo)致的密碼被監(jiān)聽(tīng)問(wèn)題，此外每次登錄中都涉及挑戰(zhàn)碼和動(dòng)態(tài)碼的生成過(guò)程，并且采用了大素?cái)?shù)生成原理，可以保證每次的動(dòng)態(tài)碼和之前驗(yàn)證的密碼不同，進(jìn)一步提高了安全性。從動(dòng)態(tài)碼的本身加密過(guò)程來(lái)看，經(jīng)過(guò)了兩次加密過(guò)程，第一次是構(gòu)造多個(gè)參數(shù)的結(jié)合體，其二是對(duì)結(jié)合體的進(jìn)一步加密，可以確保最終生成動(dòng)態(tài)驗(yàn)證碼的安全等級(jí)提高。

3.2準(zhǔn)確度方面

只有動(dòng)態(tài)碼得以高精準(zhǔn)度比較和驗(yàn)證時(shí)，才可提高這一驗(yàn)證系統(tǒng)可以高精度運(yùn)行。本文建設(shè)的工作方法中，采用米勒一拉賓測(cè)試分析了實(shí)際運(yùn)行過(guò)程的精度，結(jié)果表明，生成的大素?cái)?shù)為4000以內(nèi)的數(shù)字，素?cái)?shù)的占比不高于15%，10次檢測(cè)過(guò)程發(fā)現(xiàn)失誤率僅有1/4，測(cè)試數(shù)據(jù)大幅增加時(shí)，失誤率則呈現(xiàn)指數(shù)性的下降，得到結(jié)論，采用該方法的驗(yàn)證精度符合加密的精度要求。

4結(jié)束語(yǔ)

綜上所述，基于數(shù)字簽名的動(dòng)態(tài)身份驗(yàn)證技術(shù)設(shè)計(jì)中，采用身份驗(yàn)證技術(shù)可以獲取登錄賬號(hào)和密碼，并在本地性的硬件中存儲(chǔ)。設(shè)計(jì)的項(xiàng)目包括賬號(hào)的注冊(cè)過(guò)程、賬號(hào)登錄工程和修改密碼過(guò)程，其中登錄過(guò)程的動(dòng)態(tài)密碼經(jīng)過(guò)了兩次加密處理，最大限度提高了安全保障水平。