基于智能移動設備的認證令牌的分析與設計.pdf

1、隨著信息技術與網絡技術的飛速發(fā)展，各種信息系統(tǒng)的大規(guī)模部署，導致了作為訪問控制關鍵組成部分的物理身份認證令牌得到大范圍的應用，這種情況使得人們在生活工作中面臨新的問題，由于各個身份認證系統(tǒng)很少具備互操作性，因而用戶需要多個認證令牌來登錄多個對應的信息系統(tǒng)，這不僅使得系統(tǒng)易用性降低，而且還會帶來安全問題?；谥悄芤苿釉O備的身份認證令牌就是將物理認證令牌的功能集成到智能移動設備上的一種軟令牌，并且具備物理令牌的認證功能以及足夠的安全性。通過

2、在同一智能移動設備上安裝多個軟令牌來有效的解決攜帶多個物理令牌所帶來的繁瑣和安全性問題。 目前國際上安全認證系統(tǒng)應用相當廣泛，主要的令牌生產商EMC/RSA已經推出基于智能移動設備的SecurID令牌的認證系統(tǒng)，另外一些如WiKID和Phone Factor等新興公司都開始通過智能移動平臺構建認證系統(tǒng)。在國內認證系統(tǒng)所使用的主要還是物理令牌如USBKEY和Smartcard，基于智能移動設備的身份認證令牌剛剛開始起步。

3、本文通過分析令牌和智能移動設備的特點，從集成的需求分析和可行性分析來說明集成的可行性。根據智能移動平臺的特點提出三種令牌設計方案：基于質詢／響應的令牌設計、基于動態(tài)口令的令牌設計、基于KEY的令牌設計，描述了各個令牌設計的令牌結構和運行基本流程，并且根據相應的令牌設計構建了相對應的認證系統(tǒng)模型。在基于質詢/響應令牌的設計中使用了challenge/respond認證協議，并且提出使用PIN碼的多次HASH迭代結果作為種子文件的加密密鑰的

4、方式來形成雙因子認證模式，論證了這樣的設計能夠抵抗蠻力攻擊。在基于動態(tài)口令令牌的設計中針對不同的內部種子共享機制和認證協議，設計了基于OTP的動態(tài)口令令牌和基于時間的動態(tài)口令令牌。動態(tài)口令令牌主要關鍵技術就是令牌和認證服務器之間的同步機制，因此在基于OTP設計中采用同步閉區(qū)間的方式來處理認證碼匹配的問題；而在基于時間變量的令牌設計中則采用窗口同步機制。為了適應智能移動平臺顯示長度的限制，對HASH結果做壓縮分組處理后進行單詞轉義，使得在

5、做認證碼的輸入輸出操作時具有更好的易用性。在基于KEY令牌設計中，基于KEY即基于公開密鑰加密體制，構建了在PKI基礎設施的框架內由軟令牌、可信第三方以及認證服務器組成的通過無線數據通信完成認證協議的認證系統(tǒng)模型。為了提高在智能移動平臺上RSA公鑰體制加解密運算速率和效率，采用了Montogomery和M-ary相結合的快速模冪模乘算法。本文最后從算法、平臺和系統(tǒng)三個角度對基于移動智能設備的認證令牌的設計做了安全性分析，證明其具有足夠的

6、安全性。 本文的意義在于通過實際的數據分析了集成認證令牌和智能移動設備的可行性，提出了三種基于智能移動平臺的身份認證令牌的設計方案，解決了如何形成雙因子認證模式、如何實現認證同步、如何快速實現RSA模冪模乘運算等技術細節(jié)。從而提供一種基于智能移動平臺的認證令牌的認證系統(tǒng)的設計模型，從令牌的角度解決了由于各個認證系統(tǒng)之間不具備瓦操作性所帶來的易用性和安全性降低的問題。 另外通過參與濟南市軟件產業(yè)發(fā)展專項資金項目“桌面安全系