|
一種改進(jìn)的動(dòng)態(tài)口令認(rèn)證機(jī)制的建模研究
(作者未知) 2010/7/14
(接上頁(yè))ID,TP,N,S}后,解密得到TP�、N�����、S,計(jì)算PF = F(CID,TP),將CID����、PF���、S存儲(chǔ)在注冊(cè)服務(wù)器端。其中F為單向函數(shù)�。
(4)注冊(cè)服務(wù)器給客戶發(fā)送應(yīng)答消息。
客戶端收到后KM{CID,N+1,S},解密,檢查N +1的值是否一致,防止RS發(fā)生欺騙和重放攻擊,注冊(cè)過程完成����。
3.2.2身份認(rèn)證過程
身份認(rèn)證過程如下:
(1)客戶C向服務(wù)器S申請(qǐng)服務(wù)。
(2)服務(wù)器作出應(yīng)答,服務(wù)器要求驗(yàn)證客戶端的身份,激活客戶端的代理程序,并與客戶端代理程序建立連接,同時(shí)為了防止發(fā)生重放攻擊,生成一個(gè)隨機(jī)數(shù)N,捎帶發(fā)送給客戶C�����。
(3)代理程序?qū)崟r(shí)收集客戶機(jī)的計(jì)算機(jī)硬件參數(shù)信息HI,用戶輸入的Passwd和UserName,代理程序計(jì)算TP=Hash(Passwd+HI), 由用戶名Username找到對(duì)應(yīng)的CID,計(jì)算PF=F(CID,TP),PG=G(PF,N) 傳送CID�、PG給S。其中的F����、G 為單向函數(shù),至于計(jì)算PF、PG的目的在上文動(dòng)態(tài)口令機(jī)制中已經(jīng)闡明����。
(4)服務(wù)器S收到CID、PG值之后,傳送CID�、PG、N給認(rèn)證服務(wù)器AS。認(rèn)證服務(wù)器AS驗(yàn)證客戶身份,從口令數(shù)據(jù)庫(kù)或文件中取出PF的值,計(jì)算PG = G(PF,N),將計(jì)算的PG與S傳送過來的PG比較,如果一致則確認(rèn)客戶的身份正確,否則客戶的身份驗(yàn)證不正確����。
(5)AS將驗(yàn)證結(jié)果發(fā)送給消息給服務(wù)器S,身份認(rèn)證過程完畢。
4.結(jié)束語(yǔ)
本文在動(dòng)態(tài)口令機(jī)制上做了改進(jìn),提出了一個(gè)基于計(jì)算機(jī)硬件信息實(shí)現(xiàn)的動(dòng)態(tài)口令認(rèn)證建模方法,并實(shí)現(xiàn)了這種認(rèn)證的一個(gè)原型系統(tǒng)��。在此原型系統(tǒng)設(shè)計(jì)中,對(duì)傳統(tǒng)口令認(rèn)證方法作了重要改進(jìn),安全性建立在動(dòng)態(tài)口令機(jī)制之上,增加了對(duì)特定主機(jī)的認(rèn)證,保證了特殊業(yè)務(wù)只能在特定主機(jī)上進(jìn)行,比原有的動(dòng)態(tài)口令更安全���。而且不需要額外增加硬件設(shè)備,節(jié)約了項(xiàng)目成本。在一定程度上能夠有效防止非法用戶登陸系統(tǒng),從而保證系統(tǒng)中重要數(shù)據(jù)的安全���。
參考文獻(xiàn)
1 馮登國(guó). 《計(jì)算機(jī)通信網(wǎng)絡(luò)安全》[M] 清華大學(xué)出版社,2001,3
2 苗高峰 王思昭.動(dòng)態(tài)身份認(rèn)證系統(tǒng)[J]飛行器測(cè)控學(xué)報(bào),Vol.21,No.2,Jun.2002
3 Tsuji L Shimizu A.One-time Password Authentication Protocol Against Theft Attacks[J].IEICE Trans.Commun,2004,E87-B(3):523-529
|