基于二维码的CA用户身份验证的研究.docVIP

基于二维码的CA用户身份验证的研究 　　【摘 要】用户身份验证是其中一个基础程序，在一个不安全的公共网络渠道中，它保证安全通信和共享系统资源。因此，为了保护真实的网络系统环境，一个简单而有效的身份验证机制是必要的。一般来说，基于密码的身份验证机制为防止未经授权的访问提供了基本的功能。 　　【关键词】次性密码 用户身份验证 二维码 手机 　　一、前言 　　随着计算机网络技术的迅速发展，越来越多的计算机连接在一起交换重要的信息和共享系统资源。安全是计算机网络的一个重要问题。为了防止信息被非法或未经授权的用户访问，用户的远程认证无疑是其中最重要的服务。在开放的网络下，用户身份验证是必不可少的安全机制来建立信任关系。基于密码的身份验证方案是最常见的方法来检查登录信息的有效性，对用户进行身份验证。 　　一次性密码只对于一个登录会话或事务是有效的。一次性密码防止了与传统静态密码相关联的许多缺点，例如，重播攻击，字典攻击，网络钓鱼攻击。这意味着，如果一个潜在的入侵者试着去记录一个已经被用于登录服务或者进行事物的一次性密码；他将不能滥用它因为这个密码不再有效。因此，一次性密码的目的是使它更加难以获得未经授权访问受限资源的权限。 　　一方面，一次性密码方案不能由人类记忆。出于这个原因，为了工作，它们需要额外的技术。基本上，一次性密码可以分为一下四类： 　　A：基于数学算法。1981年，Lamport首先提出了利用单向散列链的一次性密码身份验证方案。然而，如果需要无期限的密码，当一套老哈希链用尽的时候，需要选取一个新的种子值。特别是，维护一个用来验证用户身份验证请求的密码文件同时也增加了篡改的风险和维护成本。出于这个原因，许多研究人员提出了各种用户身份验证，如使用智能卡来改善安全，成本或效率。 　　B：基于智能卡。由于管理密码文件中的抗篡改技术和便利性，智能卡已经广泛应用到许多远程身份验证方案。然而，对于用户来说，随身携带卡和扫描器仍然是一个负担。由于卡和扫描器远离无处不在，因此这个障碍限制了基于身份验证方案的智能卡的应用。 　　C：基于令牌标记。令牌一次性密码通常与物理硬件令牌相关联。在令牌的内部是一个准确的已经与身份验证服务器上的时钟同步的时钟。近期，它已经可以将电子原件与常规密钥卡一次性密码令牌相关联，例如 InCard，RSA，SafeNet，和Vasco。然而，出于和智能卡方案一样的原因，这些方法不是很方便，因为一次性密码硬件的成本和基础设施的需求。 　　D：基于短消息服务。由于短息是一个无处不在的通信通道同时在所有的手机上利用。然后，尽管，短信是一个最尽力的递送员，意味着通讯公司尽力地传送短信，但是不能保证它一定送达，或者不知道它要花多长时间。应该强调，一次性密码必须有一个生命周期作为安全特性。此外，基于短信方案必须持续直到带来额外费用。因此，它是不切实际的，同时不是必要地低成本解决方案。 　　上述提到的障碍显然限制了一次性密码身份验证方案的实用性。因此，设计一个解决方案克服这些缺点是非常有必要的。 　　二、被提方案 　　我们的方案主要问题是利用部署广泛的二维码技术消除先前一次性密码方案的缺点。方便的网络集成和移动设备的使用使我们的方案更加的实际。 　　被提方案包括两个部分：服务提供商和远程用户。每个授权用户可以从服务提供商那里获得访问请求服务的权利。此外，每个用户拥有一部带有嵌入式摄像头的手机，因此他可以拍摄二维码图像，然后解码。我们的方案分为两个阶段：注册和验证阶段。本文介绍了符号表。 　　A：注册阶段 　　没有普遍性，假如带有嵌入式摄像头手机的用户A想要加入系统。然后，服务提供商和用户A进行下面的注册程序。此外，注册阶段的步骤将在图1中显示。 　　1）用户A向服务提供商发送他的IDA。 　　2）服务提供商计算：xA = h（IDA， s），并通过安全的移动设备通道发送xA给用户A。 　　3）用户A的移动设备将xA作为长期密钥存储。 　　图1：注册阶段 　　B：验证阶段 　　验证阶段如下所示。 　　1）用户A向服务提供商发送IDA和T1，T1是与用户A绑定的时间戳。 　　2）服务提供商检查时间戳T1是否正确。如果它是无效的，拒绝。否则，选择一个随机数r，计算xA = h（IDA， s）， 和α = r xA，，然后将 EQR（α）， h（r， T1， T2）， and T2 发送给用户A，其中T2是与服务提供商绑定的时间戳。 　　3）用户A检查时间戳T2是否正确。如果它是无效的，拒绝。否则，通过嵌入式摄像头设备计算r = DQR（EQR（α）） xA.得到r，之后，用户A检查h（r， T1， T2）是否正确。如果正确，用户A将h（r，T2、T3）和T3发送给服务提供商。、