一種基于Unicode字符集編碼的動態(tài)口令身份認證技術(shù).pdf

1、近年來，信息系統(tǒng)的安全問題已經(jīng)擺上了很多公司的議事日程，證券行業(yè)、金融行業(yè)的很多公司已經(jīng)進入了相關(guān)系統(tǒng)的調(diào)研實施階段。一個巨大的市場已經(jīng)逐漸展現(xiàn)在我們面前。本文通過對現(xiàn)有靜態(tài)和動態(tài)口令方案的比較分析，以獨特的視角、創(chuàng)新的思路，從提高安全性的考慮出發(fā)，提出基于當前最全面的計算機字符集——Unicode字符集的一種動態(tài)口令身份認證技術(shù)。本方案采用程序輸入的方式，一方面突破了傳統(tǒng)靜態(tài)和動態(tài)口令方案的口令字符集的局限，另一方面突破了傳統(tǒng)計算機輸

2、入終端的局限，擴展了口令字符集，增加了口令破解的復雜程度。針對網(wǎng)絡數(shù)據(jù)流竊聽（sniffer）及認證信息截取/重放（Record/Replay）等常用攻擊手段，提出采用一次一密電子亂碼本與隨機認證因子在服務端和客戶端之間來回認證的方式，避免了認證數(shù)據(jù)流和口令字之間的直接聯(lián)系，從而有效地提高系統(tǒng)的抗攻擊性，大大增加其實用價值。 本文有以下幾個主要研究內(nèi)容： Unicode編碼結(jié)構(gòu)方面，本文對現(xiàn)有Unicode的編碼方式和布

3、局進行了深入學習和仔細研究，針對UTF-16編碼方式保留區(qū)無字符輸出的特點，引入了模運算解決保留區(qū)字符溢出的問題。 動態(tài)口令技術(shù)的原理方面，本文以一次一密亂碼本的思想為基礎(chǔ)來加以實現(xiàn)。主要方法是在中心服務器和客戶端來架構(gòu)相同的偽隨機數(shù)發(fā)生器，并通過隨機數(shù)種子的傳遞，來產(chǎn)生相同的隨機數(shù)序列，進而產(chǎn)生隨機的Unicode亂碼本。由于本動態(tài)口令方案的安全性對隨機數(shù)有依賴，因此本文對偽隨機數(shù)發(fā)生器作了詳細的討論。 加密算法方面，

4、本文在分析對稱算法和非對稱算法的各自性能特點的基礎(chǔ)上，根據(jù)本方案的結(jié)構(gòu)要求（身份認證系統(tǒng)的中心服務端和客戶端結(jié)構(gòu)）和模式特點（一次一密亂碼本），確定以對稱算法為主，利用非對稱算法的基本思想來對關(guān)鍵數(shù)據(jù)進行保護。即利用Hash函數(shù)的單向性來阻止反向分析。Hash函數(shù)方面，本文作了分析和討論，選用SHA512標準。 身份鑒別方面，由于一次一密亂碼本是不提供鑒別的，本文引入了一個服務端的私鑰身份認證因子，同時解決身份認證和傳輸過程數(shù)據(jù)

5、錯誤的鑒別。 服務端和客戶端的通信方式的實現(xiàn)方面，本文是典型Client/Server結(jié)構(gòu)，所采用的解決方式為網(wǎng)絡套接字（Socket），它是網(wǎng)絡通信的基本構(gòu)件。 任何一種口令方案，都涉及到密鑰長度的安全性，在這方面，本文對歷史數(shù)據(jù)進行了比較分析，主要內(nèi)容是針對不同口令長度的攻擊所需的時間成本和經(jīng)濟成本。根據(jù)分析結(jié)果在本方案架構(gòu)過程中考慮合理的應對計算機世界的摩爾定律的機制。 最后，將本方案同S/KEY和SAS動