基于數字簽名的動態身份認證機制研究與設計

徐春笙 郭鳳宇

摘要：信息安全保護水平和密碼學的發展程度息息相關，目前開發出了多種信息保護方法，其中數字簽名的動態密碼認證由于其具備特殊性和實時性，在多個領域中發揮重要作用。該文分析了目前基于數字簽名的動態身份認證機制中可使用的技術類型，并完成了專業化的設計工作，之后檢測了設計成果的使用質量。

關鍵詞：數字簽名;動態身份認證技術;技術設計

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）11-0022-02

基于數字簽名的動態身份認證技術實施技術，可以將數字轉化成可供計算機系統識別的動態口令，具備安全保護中的全覆蓋性。生成的數字簽名密碼要能夠被網絡系統識別，則要建立專業化的動態信息驗證系統，該項技術的實施難度較高，要根據密碼學的相關原理完成設計任務。

1基于數字簽名的動態身份認證機制中使用的技術

1.1身份認證方法

目前的身份認證方法主要有4種：其一基于密碼和賬號的秘密認知形式，原理是發放用戶賬號之后，由用戶自主設置與該賬號匹配的密碼，互聯網訪問中要求用戶同時輸入這兩個信息，訪問申請發出后從數據庫中對比兩項信息，都擁有存儲信息狀態下視作可以正常登錄。該方法的優勢是簡單易操作，并且保護系統的設計難度較小，劣勢是難以防范密碼猜測技術，相對來說安全保障能力較低。其二是物品認證方式，使用的物品中含有專用的登錄信息，常用的存儲介質有IC卡、身份證、鑰匙等，該方法形成了雙認證體系，包括智能卡本身所屬的硬件設備和其中含有的PIN碼，理論上若硬件未遺失，則難以攻破這一安全保障系統。其三是數字證書認證技術，其可以認為是在密碼技術的基礎上設置了一個第三方監管機構，數字證書由CA機構發行，信息驗證過程除了同時檢測用戶的個人信息、公鑰和數字證書，所有手續齊全后才可視作正常登陸。其四是生物特征識別技術，生物特性包括指紋、虹膜、聲音、簽名等，認證形式由兩種，一種是將生物信息上傳到云盤中，特征檢測通過后回傳信息，用戶可以正常登錄。另一種是生物信息本地存儲，通過后允許登錄。

1.2身份認證機制

動態身份認證形成了一種密碼的雙向建設和單向對比機制，雙向密碼建設過程中，用戶發送賬戶的登陸申請后，賬號信息固定，只需要由與該系統連接的服務器和與之關聯的計算設備生成一次性的動態密碼，用戶使用之后廢棄。同時密碼的檢測系統也采用相應的計算體系生成一個一次性的密鑰，理論上這兩個密鑰應該完全相同。單向對比機制是，用戶輸入獲取的動態密碼后輸入密碼的輸入區域，由內置的對比程序逐個比較兩個密碼的字母和數字，完全相同時才視作用戶具有合法身份。

需要注意的是，為進一步提高安全性和降低服務器的工作壓力，密碼驗證時間要做出限制，所以對比系統也收集發送密碼和驗證密碼的生成時間，超出時間范圍后認為不具有合法登錄身份。

2基于數字簽名的動態身份認證機制的設計方案

2.1注冊階段設計

注冊階段的系統設計和數據庫連接，允許用戶根據自身的定義登錄賬號和密碼，經過加密系統的處理之后存人數據庫，該過程獲取的賬號和密碼只是后續所有操作系統中的基礎。

整個階段設計過程采用密碼學原理同時處理用戶注冊的賬號和密碼，即后續傳輸的數據并不是賬號與密碼的明文，防止被網絡攻擊手段截取信息。假設用戶設定的密碼使PW，傳輸過程的加密手段是哈希值處理，構成H（PW），其中用戶名也進行這一步驟的處理，之后把數據傳遞給數據庫，將用戶的注冊賬號和數據庫中的賬號對比，當發現數據庫中已經含有用戶的注冊賬戶時，提交反饋信息督促用戶修改注冊賬號。

賬號和密碼通過驗證后，則用戶的成功登錄參數設定為1，同時生成密鑰在，包括SKi和VS1、SK2和VS2，前兩項是服務器端的信息加密和用戶的簽名，后兩項是用戶的加密信息與服務器簽名，同時生成兩個經過同或、異或處理的密鑰，作為系統驗證的初始密碼。之后服務器向已經存儲的信息發放數字證書，所有已經經過處理和生成的參數、服務器端識別碼都要進行同或、異或處理，對于采用智能卡的工作形式，要讓同步配發的硬件中輸入PIN碼。

2.2登錄階段設計

登錄階段的設計為重點內容，對于用戶碼和用戶設定的密碼檢測來說，可以直接在本地驗證，但是僅有在生物識別和物品識別中這一方式才可保證安全性。由于動態密碼的驗證過程采用了挑戰碼機制，同期生成相應的驗證碼，所以可以更好提高安全性能。挑戰碼的生成流程是，首先把用戶的登錄次數N和服務器標識碼SD連接，形成（NISD）形式，之后將形成的數據哈希運算，形成數據碼H（NISD），對其簽名后成為SK2（H（NISD》，把生成的挑戰碼與簽名碼直接連接，之后傳輸即可。其次是隨機數的生成，該過程要連接用戶登錄名、設定的密碼的哈希值，并加入挑戰碼和登錄次數參數N，在這類數值的共同作用下，采取異或、同或交錯計算方法，把得到的結果記錄為str字符串，該過程中采用的計算結果具有隨機性，生成的隨機參數是a和b，之后選擇合理的配置和驗證種子防止產生相同的數字。最后是針對str字符串的處理，采用哈希運算模式，在經過多次數和數據的處理過程中，可以把經過處理后的數據最后一位設定為動態密碼中的一位數字，最后生成了動態碼。

在動態碼的傳輸過程，也要同時傳輸生成的隨機數a和b，并對隨機數處理以得到SK（alb），之后把動態碼和隨機數的處理結果連接，之后對其進一步加密，提高了安全性。

2.3密碼修改階段設計

修改密碼的過程必須要保證修改過程的安全性，采用的方法是對密碼和賬號哈希計算之后傳輸到數據庫中存儲，由于針對特定的技術形式會將賬戶和密碼存儲在本地，所有密碼的修正過程中會同時處理這兩個作業形式，以提高整個系統的作業水平。修改密碼過程依然要經過本地驗證，可以采用與注冊過程相同的處理方式和加密手段，把賬號和密碼同時傳輸給數據庫，之后由數據庫采用新的密碼覆蓋原有密碼。

3基于數字簽名的動態身份認證機制的設計成果檢測

3.1安全性方面

從用戶的登錄過程可以看出，每次登錄過程都會生成唯一性的動態密碼，這一方法可以防止登錄過程只采用單一密碼導致的密碼被監聽問題，此外每次登錄中都涉及挑戰碼和動態碼的生成過程，并且采用了大素數生成原理，可以保證每次的動態碼和之前驗證的密碼不同，進一步提高了安全性。從動態碼的本身加密過程來看，經過了兩次加密過程，第一次是構造多個參數的結合體，其二是對結合體的進一步加密，可以確保最終生成動態驗證碼的安全等級提高。

3.2準確度方面

只有動態碼得以高精準度比較和驗證時，才可提高這一驗證系統可以高精度運行。本文建設的工作方法中，采用米勒一拉賓測試分析了實際運行過程的精度，結果表明，生成的大素數為4000以內的數字，素數的占比不高于15%，10次檢測過程發現失誤率僅有1/4，測試數據大幅增加時，失誤率則呈現指數性的下降，得到結論，采用該方法的驗證精度符合加密的精度要求。

4結束語

綜上所述，基于數字簽名的動態身份驗證技術設計中，采用身份驗證技術可以獲取登錄賬號和密碼，并在本地性的硬件中存儲。設計的項目包括賬號的注冊過程、賬號登錄工程和修改密碼過程，其中登錄過程的動態密碼經過了兩次加密處理，最大限度提高了安全保障水平。