|
一種改進的動態(tài)口令認證機制的建模研究
(作者未知) 2010/7/14
摘要:身份認證是計算機信息安全中的重要問題,本文通過分析身份認證機制及安全特性,對傳統(tǒng)口令認證方法作了重要改進,在動態(tài)口令認證機制的基礎上,提出了一個基于計算機硬件信息實現(xiàn)的動態(tài)口令建模方法,并實現(xiàn)了這種認證的一個原型系統(tǒng)��。彌補了傳統(tǒng)動態(tài)口令認證在安全上的缺陷,比原有的動態(tài)口令更安全,在信息安全上具有重要應用價值���。
關鍵詞:建模;信息安全;動態(tài)口令
1.引言
計算機信息系統(tǒng)在信息社會已經(jīng)滲透到社會的各領域,在現(xiàn)代企業(yè)管理及辦公系統(tǒng)中起著重要作用���。而信息安全問題一直是計算機系統(tǒng)需求設計中需要解決的問題之一,其原因一方面是由于信息系統(tǒng)自身的缺陷;另一方面是由于網(wǎng)絡具有的開放性和網(wǎng)絡病毒及黑客工具有意或無意地攻擊帶來的危害。傳統(tǒng)安全方案解決了一些特定的安全問題,但在許多方面仍不能滿足要求���。
任何一個信息系統(tǒng)面臨的數(shù)據(jù)安全威脅主要有兩類:一類是運行環(huán)境��、設備的物理安全問題;另一類是信息安全問題,主要體現(xiàn)在非法用戶登陸�。系統(tǒng)信息安全的解決方法就是對系統(tǒng)建立一種有效的身份認證機制,本文主要針對后一類問題,基于身份認證提出一種基于計算機硬件信息實現(xiàn)的動態(tài)口令模型,安全性能好且容易實現(xiàn),有效解決了軟件系統(tǒng)中的信息安全問題�。
2.身份認證
身份認證技術在信息安全中占有極其重要的地位,是實現(xiàn)網(wǎng)絡安全的主要機制之一。通過這種機制,認證服務器驗證網(wǎng)絡用戶身份與其所宣稱的是否一致,然后才能實現(xiàn)對于不同用戶的訪問控制,授予用戶不同的訪問權限,確定其對申請資源的操作行為�����。身份認證方式有基于生物特征的認證方式���、基于智能卡的認證方式和基于口令的認證方式��。
身份認證的本質是被認證方有一些信息,除被認證方自己外,任何第三方不能偽造,被認證方能夠使認證方相信他確實擁有那些秘密,則他的身份就得到了認證���。根據(jù)被認證方賴以證明身份的秘密的不同,大致上可分為用戶與主機間的認證和主機與主機之間的認證。用戶與主機之間的認證可以基于如下一個或幾個因素:用戶所知道的,如口令��、密碼等;用戶擁有的,如印章���、智能卡等;用戶所具有的生物特征,如指紋���、聲音、簽字等��。
基于口令的認證方式是一種最常見的技術,但存在嚴重的安全問題�����。它是一種單因素的認證,安全性依賴于口令,口令一旦泄露,用戶即可被冒充,存在著諸多的安全隱患����。動態(tài)口令認證是一種讓用戶的口令按時間或使用次數(shù)不斷動態(tài)變化,每個口令只使用一次的技術,是目前較行之有效的一種認證方案,可有效地防止重放、竊聽�����、猜測等攻擊方式,在一定程度上能夠解決這些問題�����。特別在有些機密性比較高的場合,需要一種更強的口令機制�。本文以異步方式的動態(tài)口令為基礎,提出了一種改進的口令身份認證機制,很好的結合了動態(tài)口令機制和計算機硬件的特性。
3.改進的動態(tài)口令認證機制建模過程
3.1基本思想
首先,假定涉密的操作環(huán)境中,對于固定用戶使用的計算機也是相對固定的,在動態(tài)口令機制中增加對當前用戶使用的計算機的識別�。也就是通過對這臺計算機硬件的驗證,再加上對使用計算機的用戶進行驗證,實現(xiàn)對用戶更高強度的身份驗證。實際上對于每臺計算機,硬件的一些固有參數(shù)都不一樣,如網(wǎng)卡,每個網(wǎng)卡生產(chǎn)廠商都必須遵循生產(chǎn)規(guī)范,每個網(wǎng)卡的地址都應該不一樣,并且網(wǎng)卡地址固化在芯片中不可更改�����。因此組合這些硬件的參數(shù)完全可以形成此計算機的全球唯一硬件標識。
3.2建模過程
根據(jù)上述思想,在建模實現(xiàn)時只需將上述用戶口令采用用戶的輸入口令與計算機硬件標識結合的方式���。
3.2.1用戶注冊
首先客戶必須離線方式到服務商處申請身份認證注冊,并向服務商提交用戶的相關可信資料CI,服務商核實客戶資料后交給用戶唯一注冊碼M和客戶唯一標識名字CID�����。注冊過程如下:
(1)用戶在線向注冊服務器注冊,提交注冊碼M和用戶相關信息CI,為保密用戶的個人資料,將用戶資料用密鑰M加密傳給注冊服務器RS���。
(2)注冊服務器收到CID,KM{CID,CI,S}后解密,得到CID、CI���、S的值,然后驗證CID�����、CI���、M信息的正確性。用戶身份核實正確后,通知客戶端下載客戶端代理程序����。
(3)客戶端下載代理程序,安裝完代理程序后,由代理程序搜索客戶機的硬件信息(如網(wǎng)卡��、硬盤)參數(shù),將參數(shù)串連后形成HI,用戶提交密碼Passwd和用戶名Username����。代理程序將HI和Passwd串聯(lián)起來,計算TP=Hash(HI||Passwd),并在客戶端本地記錄UserName與CID之間的對應關系,這樣用戶就可以取一個簡單的名字,隨機生成一個數(shù)N,防止發(fā)生重放攻擊�����。注冊服務器收到CID,KM{C(未完���,下一頁)
|