徐春笙 郭鳳宇

摘要：信息安全保護水平和密碼學(xué)的發(fā)展程度息息相關(guān)，目前開發(fā)出了多種信息保護方法，其中數(shù)字簽名的動態(tài)密碼認證由于其具備特殊性和實時性，在多個領(lǐng)域中發(fā)揮重要作用。該文分析了目前基于數(shù)字簽名的動態(tài)身份認證機制中可使用的技術(shù)類型，并完成了專業(yè)化的設(shè)計工作，之后檢測了設(shè)計成果的使用質(zhì)量。

關(guān)鍵詞：數(shù)字簽名;動態(tài)身份認證技術(shù);技術(shù)設(shè)計

中圖分類號：TP393 文獻標(biāo)識碼：A

文章編號：1009-3044（2020）11-0022-02

基于數(shù)字簽名的動態(tài)身份認證技術(shù)實施技術(shù)，可以將數(shù)字轉(zhuǎn)化成可供計算機系統(tǒng)識別的動態(tài)口令，具備安全保護中的全覆蓋性。生成的數(shù)字簽名密碼要能夠被網(wǎng)絡(luò)系統(tǒng)識別，則要建立專業(yè)化的動態(tài)信息驗證系統(tǒng)，該項技術(shù)的實施難度較高，要根據(jù)密碼學(xué)的相關(guān)原理完成設(shè)計任務(wù)。

1基于數(shù)字簽名的動態(tài)身份認證機制中使用的技術(shù)

1.1身份認證方法

目前的身份認證方法主要有4種：其一基于密碼和賬號的秘密認知形式，原理是發(fā)放用戶賬號之后，由用戶自主設(shè)置與該賬號匹配的密碼，互聯(lián)網(wǎng)訪問中要求用戶同時輸入這兩個信息，訪問申請發(fā)出后從數(shù)據(jù)庫中對比兩項信息，都擁有存儲信息狀態(tài)下視作可以正常登錄。該方法的優(yōu)勢是簡單易操作，并且保護系統(tǒng)的設(shè)計難度較小，劣勢是難以防范密碼猜測技術(shù)，相對來說安全保障能力較低。其二是物品認證方式，使用的物品中含有專用的登錄信息，常用的存儲介質(zhì)有IC卡、身份證、鑰匙等，該方法形成了雙認證體系，包括智能卡本身所屬的硬件設(shè)備和其中含有的PIN碼，理論上若硬件未遺失，則難以攻破這一安全保障系統(tǒng)。其三是數(shù)字證書認證技術(shù)，其可以認為是在密碼技術(shù)的基礎(chǔ)上設(shè)置了一個第三方監(jiān)管機構(gòu)，數(shù)字證書由CA機構(gòu)發(fā)行，信息驗證過程除了同時檢測用戶的個人信息、公鑰和數(shù)字證書，所有手續(xù)齊全后才可視作正常登陸。其四是生物特征識別技術(shù)，生物特性包括指紋、虹膜、聲音、簽名等，認證形式由兩種，一種是將生物信息上傳到云盤中，特征檢測通過后回傳信息，用戶可以正常登錄。另一種是生物信息本地存儲，通過后允許登錄。

1.2身份認證機制

動態(tài)身份認證形成了一種密碼的雙向建設(shè)和單向?qū)Ρ葯C制，雙向密碼建設(shè)過程中，用戶發(fā)送賬戶的登陸申請后，賬號信息固定，只需要由與該系統(tǒng)連接的服務(wù)器和與之關(guān)聯(lián)的計算設(shè)備生成一次性的動態(tài)密碼，用戶使用之后廢棄。同時密碼的檢測系統(tǒng)也采用相應(yīng)的計算體系生成一個一次性的密鑰，理論上這兩個密鑰應(yīng)該完全相同。單向?qū)Ρ葯C制是，用戶輸入獲取的動態(tài)密碼后輸入密碼的輸入?yún)^(qū)域，由內(nèi)置的對比程序逐個比較兩個密碼的字母和數(shù)字，完全相同時才視作用戶具有合法身份。

需要注意的是，為進一步提高安全性和降低服務(wù)器的工作壓力，密碼驗證時間要做出限制，所以對比系統(tǒng)也收集發(fā)送密碼和驗證密碼的生成時間，超出時間范圍后認為不具有合法登錄身份。

2基于數(shù)字簽名的動態(tài)身份認證機制的設(shè)計方案

2.1注冊階段設(shè)計

注冊階段的系統(tǒng)設(shè)計和數(shù)據(jù)庫連接，允許用戶根據(jù)自身的定義登錄賬號和密碼，經(jīng)過加密系統(tǒng)的處理之后存人數(shù)據(jù)庫，該過程獲取的賬號和密碼只是后續(xù)所有操作系統(tǒng)中的基礎(chǔ)。

整個階段設(shè)計過程采用密碼學(xué)原理同時處理用戶注冊的賬號和密碼，即后續(xù)傳輸?shù)臄?shù)據(jù)并不是賬號與密碼的明文，防止被網(wǎng)絡(luò)攻擊手段截取信息。假設(shè)用戶設(shè)定的密碼使PW，傳輸過程的加密手段是哈希值處理，構(gòu)成H（PW），其中用戶名也進行這一步驟的處理，之后把數(shù)據(jù)傳遞給數(shù)據(jù)庫，將用戶的注冊賬號和數(shù)據(jù)庫中的賬號對比，當(dāng)發(fā)現(xiàn)數(shù)據(jù)庫中已經(jīng)含有用戶的注冊賬戶時，提交反饋信息督促用戶修改注冊賬號。

賬號和密碼通過驗證后，則用戶的成功登錄參數(shù)設(shè)定為1，同時生成密鑰在，包括SKi和VS1、SK2和VS2，前兩項是服務(wù)器端的信息加密和用戶的簽名，后兩項是用戶的加密信息與服務(wù)器簽名，同時生成兩個經(jīng)過同或、異或處理的密鑰，作為系統(tǒng)驗證的初始密碼。之后服務(wù)器向已經(jīng)存儲的信息發(fā)放數(shù)字證書，所有已經(jīng)經(jīng)過處理和生成的參數(shù)、服務(wù)器端識別碼都要進行同或、異或處理，對于采用智能卡的工作形式，要讓同步配發(fā)的硬件中輸入PIN碼。

2.2登錄階段設(shè)計

登錄階段的設(shè)計為重點內(nèi)容，對于用戶碼和用戶設(shè)定的密碼檢測來說，可以直接在本地驗證，但是僅有在生物識別和物品識別中這一方式才可保證安全性。由于動態(tài)密碼的驗證過程采用了挑戰(zhàn)碼機制，同期生成相應(yīng)的驗證碼，所以可以更好提高安全性能。挑戰(zhàn)碼的生成流程是，首先把用戶的登錄次數(shù)N和服務(wù)器標(biāo)識碼SD連接，形成（NISD）形式，之后將形成的數(shù)據(jù)哈希運算，形成數(shù)據(jù)碼H（NISD），對其簽名后成為SK2（H（NISD》，把生成的挑戰(zhàn)碼與簽名碼直接連接，之后傳輸即可。其次是隨機數(shù)的生成，該過程要連接用戶登錄名、設(shè)定的密碼的哈希值，并加入挑戰(zhàn)碼和登錄次數(shù)參數(shù)N，在這類數(shù)值的共同作用下，采取異或、同或交錯計算方法，把得到的結(jié)果記錄為str字符串，該過程中采用的計算結(jié)果具有隨機性，生成的隨機參數(shù)是a和b，之后選擇合理的配置和驗證種子防止產(chǎn)生相同的數(shù)字。最后是針對str字符串的處理，采用哈希運算模式，在經(jīng)過多次數(shù)和數(shù)據(jù)的處理過程中，可以把經(jīng)過處理后的數(shù)據(jù)最后一位設(shè)定為動態(tài)密碼中的一位數(shù)字，最后生成了動態(tài)碼。

在動態(tài)碼的傳輸過程，也要同時傳輸生成的隨機數(shù)a和b，并對隨機數(shù)處理以得到SK（alb），之后把動態(tài)碼和隨機數(shù)的處理結(jié)果連接，之后對其進一步加密，提高了安全性。

2.3密碼修改階段設(shè)計

修改密碼的過程必須要保證修改過程的安全性，采用的方法是對密碼和賬號哈希計算之后傳輸?shù)綌?shù)據(jù)庫中存儲，由于針對特定的技術(shù)形式會將賬戶和密碼存儲在本地，所有密碼的修正過程中會同時處理這兩個作業(yè)形式，以提高整個系統(tǒng)的作業(yè)水平。修改密碼過程依然要經(jīng)過本地驗證，可以采用與注冊過程相同的處理方式和加密手段，把賬號和密碼同時傳輸給數(shù)據(jù)庫，之后由數(shù)據(jù)庫采用新的密碼覆蓋原有密碼。

3基于數(shù)字簽名的動態(tài)身份認證機制的設(shè)計成果檢測

3.1安全性方面

從用戶的登錄過程可以看出，每次登錄過程都會生成唯一性的動態(tài)密碼，這一方法可以防止登錄過程只采用單一密碼導(dǎo)致的密碼被監(jiān)聽問題，此外每次登錄中都涉及挑戰(zhàn)碼和動態(tài)碼的生成過程，并且采用了大素數(shù)生成原理，可以保證每次的動態(tài)碼和之前驗證的密碼不同，進一步提高了安全性。從動態(tài)碼的本身加密過程來看，經(jīng)過了兩次加密過程，第一次是構(gòu)造多個參數(shù)的結(jié)合體，其二是對結(jié)合體的進一步加密，可以確保最終生成動態(tài)驗證碼的安全等級提高。

3.2準(zhǔn)確度方面

只有動態(tài)碼得以高精準(zhǔn)度比較和驗證時，才可提高這一驗證系統(tǒng)可以高精度運行。本文建設(shè)的工作方法中，采用米勒一拉賓測試分析了實際運行過程的精度，結(jié)果表明，生成的大素數(shù)為4000以內(nèi)的數(shù)字，素數(shù)的占比不高于15%，10次檢測過程發(fā)現(xiàn)失誤率僅有1/4，測試數(shù)據(jù)大幅增加時，失誤率則呈現(xiàn)指數(shù)性的下降，得到結(jié)論，采用該方法的驗證精度符合加密的精度要求。

4結(jié)束語

綜上所述，基于數(shù)字簽名的動態(tài)身份驗證技術(shù)設(shè)計中，采用身份驗證技術(shù)可以獲取登錄賬號和密碼，并在本地性的硬件中存儲。設(shè)計的項目包括賬號的注冊過程、賬號登錄工程和修改密碼過程，其中登錄過程的動態(tài)密碼經(jīng)過了兩次加密處理，最大限度提高了安全保障水平。