基于数字签名的动态身份认证系统的设计
2020-07-06
来源:小侦探旅游网
维普资讯 http://www.cqvip.com 第29卷 第1期 Vo1.29 NO.1 计算机工程与设计 Computer Engineering and Design 2008年1月 Jan.2008 基于数字签名的动态身份认证系统的设计 季 鹏 , 张 永 (1.南京工业大学信息科学与工程学院,江苏南京210009; 2.南昌航空工业学院计算机学院,江西南昌330063) 摘 要:身份认证是系统安全的核心所在,指出了常用的基于用户名/口令的身份认证技术的不足。对动态口令技术和数字 签名技术的原理进行了研究;并结合两者的优点,提出了一种新的基于数字签名技术的动态身份认证系统。最后对系统的 安全性进行了一定的分析,可以有效确认用户的身份,防止网络窃听,抵御重放攻击,增强系统抵抗字典攻击的能力。 关键词:数字签名;动态身份认证;动态口令;挑战/应答机制;公钥密码机制 中图法分类号:TP309 文献标识码:A 文章编号:1000—7024(2008)01—0045.02 Design of dynamic authentication based on digital signature JI Peng , ZHANG Yong (1.College ofInformation Science and Engineering,Nanjing University ofTechnology,Nanjing 210009,China; 2.College ofComputer,Nanchang Institute ofAeronautical Technology,Nanchang 330063,China) Abstract:Authentication is the core to security system.The disadvantages of common authentication based on both user and password are pointed out.Then the principles of dynamic password technology and digital signature technology are studied and integrated because oftheir virtues to present a new design of dynamic authentication system based on digital signature.In the last,the security ofthe system is analyzed.It can verify authenticity of user’S identiy,defense nettwork playback attack,network sniffer and enhances the abiliy of tdefensing dictionary attack. Key words:digital signature;dynamic authentication;dynamic password;cha11enge/response scheme;public key scheme; O 引 言 随着Internet的发展,电子政务、电子采购等网上业务得 到了飞速的发展,如何保障网上业务开展的安全性是当前面 临的主要问题,而身份认证又是实现网络安全管理的重要基 础之一。目前,在网络上常用的身份认证方式主要是:通过用 户名和口令的方式来确认通信双方身份的真实性。这种方 式,用户名和口令在网上的使用过程中很容易被第三方截获、 攻击和猜测,因此,存在较大的安全隐患,不能完全满足Inter— net业务的安全需要。 请求时,认证服务器和动态令牌采用相同的算法,根据当前时 间或用户登录次数即时生成当前登录密码。用户在客户端计 算机上手动输入当前登录密码,并发送到服务器;服务器通过 比较自己生成的密码和用户输入的密码就可以确定客户的身 份了。Cha11enge/Response认证机制的基本过程 如图1所示。 客 一 户 机 挑战 响应 验证结果 一 服 务 器 图1 cha11enge/Response认证的基本过程 本文提出一种新的身份认证系统,即基于数字签名技术 的动态身份认证系统。该系统结合公钥密码技术和挑战/应答 (challenge/response)认证机制…,设计了一套安全身份认证协议。 由于每次的登录口令都是动态生成的,而且每次生成的 密码都不同,网络监听者即使截获了其中一次髓录的口令也 无法登录服务器。这是一种非常可靠有效的认证方法。但该 方案需要特殊硬件(挑战/应答令牌)的支持,增加了该方案的 1 Challenge/Response认证机制 动态口令技术 。 是一种让用户的密码按照时间或使用次 数不断动态变化,每个密码只使用一次的技术。Challenge/Re— sponse认证机制就是一种动态口令认证机制。用户持有专用 实现成本。 2公钥密码机制实现数字签名的原理 数字签名主要通过散列函数和加密算法来实现。数字签 的硬件(动态令牌)来产生动态口令。当用户向系统提交登录 收稿日期:2007—01—09 E・mail:jipengjack@hotmail.corn 作者简介:季鹏(1979--),男,・江苏泰兴人,博士,讲师,研究方向为网络安全; 张永(197一),男,辽宁铁岭人,硕士研究生,研究方向为 计算机网络。 维普资讯 http://www.cqvip.com 名中用的散列(Hash)函数 ,其输入可变长,输出为一固定长度 的串,该串就被称为输入的散列值(消息摘要)。从理论上来 讲,攻击者不可能制造一个不同的输入串来产生一个完全相 同的散列值。只要改变了输入的任何位,输出的散列值都会 变化。另外,数字签名中使用的散列函数还有单向性、一致 性、惟一性的特点,保证了散列函数的安全。这些特性,保证 了消息的完整性。 公开密钥密码机制加解密算法是公开的,它的安全性主 要由它的公、私密钥的安全性所决定。有公钥不能计算出私 钥,同样有私钥也不能计算出公钥。由公钥加密的密文,只有 私钥拥有者才能解密;如果在这里公钥不公开,那么由私钥加 密的密文,只有公钥拥有者才能解密。公私钥的私有性、保密 性也就表明了用户的身份特征,可以用来实现数字签名。 散列函数和公钥密码机制相结合来实现数字签名 ,原理 如图2所示。 图2数字签名原理 有要发送的消息M,然后进行如下工作:①将它通过一个 单向的散列函数Hash()作用,生成固定长度的串H1,即消息摘 要。②用私钥K1对摘要H1进行加密形成发送方的签名s。 ③签名s作为消息的附件一起发送。④接收方接收到消息, 采用相同的散列函数计算新摘要H2;用发送方的公钥K2对 附件的数字签名进行解密,得到摘要H1;比较H1和H2,如两 个摘要相同,则确认数字签名是真实的,同时也验证了文 件在传输过程中没有被纂改。 通过公钥密码机制实现数字签名,保证了消息的完整性、真 实性,防止冒充和抵赖等。同样,这种机制可用于对身份的认证。 3动态身份认证协议 3.1协议设计 本协议结合动态口令技术和数字签名技术,其中包括两 种口令:客户私钥K 和大随机数R。客户私钥作为解密口令, 大随机数R作为身份认证动态口令。 系统交互流程如图3所示。 客 EKs(R) 服 户 Hash(R) 务 认证结果 器 一 图3动态身份认证系统交互流程 协议描述如下: (1)客户向服务器发出连接请求,并发送客户ID到服务器; (2)服务器根据客户ID取得相应的用户公钥K ,并产生大 随机数R,用K 加密(E (R))发送给客户;同时计算摘要D= H(R),并保存D; (3)客户通过输入私钥K【J(即解密口令)解密E 。(R)得到R, ・——46・—— 计算摘要Dl_H(R),附加到ID后发送到服务器; (4)服务器得到ID和D’,与先前保存的D相比较;如果D= D。,则认证通过;否则,拒绝此次认证申请。 3.2协议安全性分析 (1)认证过程中,在网络上传输的信息只有:用户ID、加密 的随机数R、随机数摘要D,重要信息密钥不需要在网络上传 输。对于网络监听,监听者只能得到有效的信息ID,而随机数 R和对应的摘要D的安全性则由基于公钥的加密算法和散列 函数保证。 (2)对客户身份的认证由两个方面来得到保证。首先,客 户用私钥K 解密随机数R,完成第一步,因为只有客户知道解 密密钥;其次,通过发送给服务器的摘要D’,进一步证实用户 的身份。这里也同时验证了用户ID、加密的随机数R和随机 数摘要D在传输过程中的完整性。 (3)fl ̄防止重放攻击。 协议采用了Challenge/Response认证机制,每次连接请求, 服务器都会生成新的身份认证动态口令,即随机数R,服务器 保证R的惟一性。攻击者就算截获了所有在网络上传输的信 息,也不会认证成功。 (4)对字典攻击的防范。 协议中有两种口令,解密口令(即客户私钥K )和身份认 证动态口令R。私钥K 的安全性由基于公钥的加密算法保 证,动态口令R在每次连接请求时都不一样,因此,在一定程 度上能防范字典攻击。 4结束语 本文将动态身份认证技术和数字签名技术结合,提出了 一种新的身份认证机制,克服了传统口令认证机制的不足,通 过客户私钥和动态口令实现对用户身份的两级认证,达到了 较高的安全性。 参考文献 [1] 张亮,张加亮.动态身份认证方案及应用[J]_重庆大学学报, 2004,44(7):139.142. [2] 连一峰,王航.网络攻击原理与技术[M].北京:科学出版社,2004. [3] 刘知贵,藏爱军,陆荣杰,等.基于事件同步及异步的动态口令身 份认证技术研究[J]_计算机应用研究,2006,23(6):133.134. [4] 曹天杰,张永平,苏成.计算机系统安全[M].北京:高等教育出版 社。2003. [5] 阙喜戎,孙锐,龚向阳,等.信息安全原理及应用[M].北京:清华大 学出版社,2003. [6] 龙冬阳,王常吉,吴丹.应用编码与计算机密码学[M].北京:清华 大学出版社。2005. [7] 张秋余.梁爽,王怀江.一种新的基于PKI的动态身份认证系统 的设计[J].计算机应用研究,2006,23(10):116.118. [8] 吕格莉,王东,戴冀,等.技术数字证书技术的增强型身份认证系 统[J].计算机应用研究,2006,23(8):114.116. [9] 杨宇红,蔡海滨.基于路由器的动态口令身份认证系统[J]_计 算机工程与设计,2005,26(5):13 16.13 17.