一種基于Unicode字符集編碼的動(dòng)態(tài)口令身份認(rèn)證技術(shù).pdf

1、近年來(lái)，信息系統(tǒng)的安全問(wèn)題已經(jīng)擺上了很多公司的議事日程，證券行業(yè)、金融行業(yè)的很多公司已經(jīng)進(jìn)入了相關(guān)系統(tǒng)的調(diào)研實(shí)施階段。一個(gè)巨大的市場(chǎng)已經(jīng)逐漸展現(xiàn)在我們面前。本文通過(guò)對(duì)現(xiàn)有靜態(tài)和動(dòng)態(tài)口令方案的比較分析，以獨(dú)特的視角、創(chuàng)新的思路，從提高安全性的考慮出發(fā)，提出基于當(dāng)前最全面的計(jì)算機(jī)字符集——Unicode字符集的一種動(dòng)態(tài)口令身份認(rèn)證技術(shù)。本方案采用程序輸入的方式，一方面突破了傳統(tǒng)靜態(tài)和動(dòng)態(tài)口令方案的口令字符集的局限，另一方面突破了傳統(tǒng)計(jì)算機(jī)輸

2、入終端的局限，擴(kuò)展了口令字符集，增加了口令破解的復(fù)雜程度。針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流竊聽（sniffer）及認(rèn)證信息截取/重放（Record/Replay）等常用攻擊手段，提出采用一次一密電子亂碼本與隨機(jī)認(rèn)證因子在服務(wù)端和客戶端之間來(lái)回認(rèn)證的方式，避免了認(rèn)證數(shù)據(jù)流和口令字之間的直接聯(lián)系，從而有效地提高系統(tǒng)的抗攻擊性，大大增加其實(shí)用價(jià)值。 本文有以下幾個(gè)主要研究?jī)?nèi)容： Unicode編碼結(jié)構(gòu)方面，本文對(duì)現(xiàn)有Unicode的編碼方式和布

3、局進(jìn)行了深入學(xué)習(xí)和仔細(xì)研究，針對(duì)UTF-16編碼方式保留區(qū)無(wú)字符輸出的特點(diǎn)，引入了模運(yùn)算解決保留區(qū)字符溢出的問(wèn)題。 動(dòng)態(tài)口令技術(shù)的原理方面，本文以一次一密亂碼本的思想為基礎(chǔ)來(lái)加以實(shí)現(xiàn)。主要方法是在中心服務(wù)器和客戶端來(lái)架構(gòu)相同的偽隨機(jī)數(shù)發(fā)生器，并通過(guò)隨機(jī)數(shù)種子的傳遞，來(lái)產(chǎn)生相同的隨機(jī)數(shù)序列，進(jìn)而產(chǎn)生隨機(jī)的Unicode亂碼本。由于本動(dòng)態(tài)口令方案的安全性對(duì)隨機(jī)數(shù)有依賴，因此本文對(duì)偽隨機(jī)數(shù)發(fā)生器作了詳細(xì)的討論。 加密算法方面，

4、本文在分析對(duì)稱算法和非對(duì)稱算法的各自性能特點(diǎn)的基礎(chǔ)上，根據(jù)本方案的結(jié)構(gòu)要求（身份認(rèn)證系統(tǒng)的中心服務(wù)端和客戶端結(jié)構(gòu)）和模式特點(diǎn)（一次一密亂碼本），確定以對(duì)稱算法為主，利用非對(duì)稱算法的基本思想來(lái)對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行保護(hù)。即利用Hash函數(shù)的單向性來(lái)阻止反向分析。Hash函數(shù)方面，本文作了分析和討論，選用SHA512標(biāo)準(zhǔn)。 身份鑒別方面，由于一次一密亂碼本是不提供鑒別的，本文引入了一個(gè)服務(wù)端的私鑰身份認(rèn)證因子，同時(shí)解決身份認(rèn)證和傳輸過(guò)程數(shù)據(jù)

5、錯(cuò)誤的鑒別。 服務(wù)端和客戶端的通信方式的實(shí)現(xiàn)方面，本文是典型Client/Server結(jié)構(gòu)，所采用的解決方式為網(wǎng)絡(luò)套接字（Socket），它是網(wǎng)絡(luò)通信的基本構(gòu)件。 任何一種口令方案，都涉及到密鑰長(zhǎng)度的安全性，在這方面，本文對(duì)歷史數(shù)據(jù)進(jìn)行了比較分析，主要內(nèi)容是針對(duì)不同口令長(zhǎng)度的攻擊所需的時(shí)間成本和經(jīng)濟(jì)成本。根據(jù)分析結(jié)果在本方案架構(gòu)過(guò)程中考慮合理的應(yīng)對(duì)計(jì)算機(jī)世界的摩爾定律的機(jī)制。 最后，將本方案同S/KEY和SAS動(dòng)