淺析基于國產(chǎn)算法的身份認證服務(wù)體系的設(shè)計

蔣日友 張翀

摘 要 本文主要是對國產(chǎn)算法的身份認證服務(wù)體系進行設(shè)計，在此方案中對關(guān)鍵數(shù)據(jù)進行SM2加密保護，在隨機數(shù)引入的時候，發(fā)送的認證信息沒有規(guī)律性，此方案避免了以往方案中存在的安全漏洞的問題，能夠有效防止信息被掠奪和攻擊，同時保留了傳統(tǒng)方案的優(yōu)勢——安全，旨在滿足更高的安全性能需求。

關(guān)鍵詞 國產(chǎn)算法;身份認證;安全性能;效率

隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展，其應(yīng)用也在各行業(yè)中廣泛鋪開，在帶來便利的同時，也對暴露出了諸多的安全問題，為了規(guī)避安全問題，身份認證是一種保護網(wǎng)絡(luò)安全的較為實用的方法[1]。

1身份認證技術(shù)

網(wǎng)絡(luò)攻擊技術(shù)日益發(fā)展，給身份認證技術(shù)提出了更高的要求，在身份認證中，為方便便捷的方式就是口令認證。其中，口令認證有靜態(tài)口令認證與動態(tài)口令認證。而動態(tài)口令的安全性能較高，因此得到了更多的應(yīng)用。其中，文獻[2]提出了一種基于動態(tài)身份的用戶認證方案，能夠避免盜竊智能卡的攻擊，文獻[3]提出了一個安全性能強、效率高的云計算環(huán)境匿名認證協(xié)議。文獻[4-5]中提出了動態(tài)口令身份認證方案，其中，有一種方案需要在認證身份中服務(wù)器、客戶端分別執(zhí)行三次Hash運算，而另一種方案是客戶端執(zhí)行3次、服務(wù)端執(zhí)行2次Hash操作，而第三種方案是在認證過程中，服務(wù)器端和客戶端進行哈希運算，分別是1次和3次。較前兩個方案相比，提高了工作效率，降低了費用成本。文獻[7]提出的方案存在安全隱患，主要是與服務(wù)器連接后，就會發(fā)送認證信息，這樣就能夠抵制攻擊，但是經(jīng)過多次嘗試后，攻擊者就會摸出規(guī)律，進而選擇能夠攻擊成功的時間點進行攻擊。以上方案中，都存在一定不足，但是可以相互結(jié)合，規(guī)避風險，使其更具有安全性能，主要借助傳統(tǒng)以及其他優(yōu)勢方案進行連接攻擊。

2國密算法

密碼算法是保證信息安全的核心，發(fā)揮著非常重要的作用，在現(xiàn)階段，很多商用的密碼算法都采用國外的產(chǎn)品，這樣給存在了很大的安全風險，如何規(guī)避安全風險，是當前階段最為關(guān)鍵的一個問題。為此，國家商用密碼管理辦出臺了密碼標準，可以在一定程度上降低安全風險。

3身份認證方案的安全性分析及效率分析

第一種方案是攻擊者可以直接通過客戶端或者服務(wù)端進行竊取，這種方式可以完成認證。第二種方案是攻擊者能夠通過竊取pw、A與uid，然后按照方案中的要求就可以得到x、x、y、y，從而就能得到Ru=A y，這樣就可以進行認證。第三種方案是攻擊者通過竊取uid、pw，這樣就能夠截獲 x、y，當y的值在一定的數(shù)據(jù)范圍時，就可以通過給Ru與 A進行數(shù)值定位，這樣就能夠得出Ru和A， 由于 A=H（uid，Ru pw），與A比較，進而得出 Ru，完成成功認證。劫取連接攻擊的這種方式最先由 Bellovin提出，這種攻擊的方法是規(guī)避了非法用戶認證環(huán)節(jié)，直接會有合法用戶進行認證通過，這樣就能夠和服務(wù)器建立聯(lián)系，可以實現(xiàn)認證。有的方案是需要進行動態(tài)口令認證，這種方式會存在一定的安全隱患，即使有些信息是以加密形式進行設(shè)置，但是攻擊者很容易竊取到口令信息，從而就能夠入侵。文獻[7]中方案中主要是將時間進行把控，通過時間確定后，會定時發(fā)送認證信息，這樣就能夠規(guī)避劫取攻擊，攻擊者這樣就有足夠的時候訪問服務(wù)器，但是在不斷地攻擊過程中，就能夠?qū)⑵渲械囊?guī)律總結(jié)處理，可以得到這個時間是多少，進而更加精確的攻擊，這樣就能夠準時對服務(wù)器進行訪問。為了抵御以上的攻擊，本文主要是對國產(chǎn)密碼的認證方案進行了探究，在具體的注冊、認證過程中不斷地選擇參數(shù)，同時進行了安全性能和效率的分析。還可以對傳輸數(shù)據(jù)以及服務(wù)器和客戶端的數(shù)據(jù)進行加密，再加上隨機數(shù)據(jù)這樣就增加認證的難度，保證認證信息的規(guī)律被打亂，這樣就能夠增加抵御攻擊的能力。

對于效率分析方面，可以在上述防御劫取的方案下，對此方案進行對比，可詳細看表1，兩個方案都是在中間環(huán)節(jié)增加認證信息，以保證抵御攻擊，這樣就會增加成本，從表1中可以看出，在計算方面，可以看到中間認證的信息，以及看出傳統(tǒng)方案和本文方案的效率方面，從而得出本文方案的效率更優(yōu)。

4結(jié)束語

綜上所述，本文主要是針對身份認證方案進行分析，針對方案中出現(xiàn)的安全隱患及漏洞進行研究，同時為了優(yōu)化方案，為了符合實際需求，制定出了一種基于國產(chǎn)密碼的身份認證方案。這個方案在算法選擇上，在保證信息安全的情況下，使用了加密算法和哈希算法 SM3，可以有效規(guī)避竊取信息的攻擊及劫取連接的攻擊，這個方案充分體現(xiàn)了國產(chǎn)算法的良好應(yīng)用，同時還可以應(yīng)用到信息安全級別高的地方。

參考文獻

[1] 馮登國.安全協(xié)議：理論與實踐[M].北京：清華大學(xué)出版社，2011：59.

[2] 王穎，彭新光，邊婧.一種改進的基于動態(tài)身份遠程用戶認證方案[J].計算機應(yīng)用研究，2014，31（12）：3723-3726.

[3] 趙廣強，凌捷.基于雙線性對和隨機數(shù)的云計算環(huán)境匿名認證協(xié)議[J].廣東工業(yè)大學(xué)學(xué)報，2014，31（3）：68-71.

[4] 范玉濤，蘇桂平.一種雙向一次性口令身份認證方案的設(shè)計[J].計算機應(yīng)用，2008，28（S1）：71-74.

[5] 張建偉，李鑫，張梅峰.基于 MD5 算法的身份鑒別技術(shù)的研究和實現(xiàn)[J].計算機工程，2003，29（4）：112-113.

[6] Wang B，Liu G. Study and amend dynamic password authentication scheme [J]. Computer Engineering and Design，2007，28（12）：2806-2808.

[7] 陳龍，劉慧.從會話劫持軟件Hunt看TCP/IP協(xié)議的脆弱點[J].計算機光盤軟件與應(yīng)用，2012，1（18）：5-7.