基于智能移动设备的认证令牌的分析与设计

摘要

随着信息技术与网络技术的飞速发展，各种信息系统的大规模部署，导致了作为访问控制关键组成部分的物理身份认证令牌得到大范围的应用，这种情况使得人们在生活工作中面临新的问题，由于各个身份认证系统很少具备互操作性，因而用户需要多个认证令牌来登录多个对应的信息系统，这不仅使得系统易用性降低，而且还会带来安全问题。基于智能移动设备的身份认证令牌就是将物理认证令牌的功能集成到智能移动设备上的一种软令牌，并且具备物理令牌的认证功能以及足够的安全性。通过在同一智能移动设备上安装多个软令牌来有效的解决携带多个物理令牌所带来的繁琐和安全性问题。 目前国际上安全认证系统应用相当广泛，主要的令牌生产商EMC/RSA已经推出基于智能移动设备的SecurID令牌的认证系统，另外一些如WiKID和Phone Factor等新兴公司都开始通过智能移动平台构建认证系统。在国内认证系统所使用的主要还是物理令牌如USBKEY和Smartcard，基于智能移动设备的身份认证令牌刚刚开始起步。 本文通过分析令牌和智能移动设备的特点，从集成的需求分析和可行性分析来说明集成的可行性。根据智能移动平台的特点提出三种令牌设计方案：基于质询／响应的令牌设计、基于动态口令的令牌设计、基于KEY的令牌设计，描述了各个令牌设计的令牌结构和运行基本流程，并且根据相应的令牌设计构建了相对应的认证系统模型。在基于质询/响应令牌的设计中使用了challenge/respond认证协议，并且提出使用PIN码的多次HASH迭代结果作为种子文件的加密密钥的方式来形成双因子认证模式，论证了这样的设计能够抵抗蛮力攻击。在基于动态口令令牌的设计中针对不同的内部种子共享机制和认证协议，设计了基于OTP的动态口令令牌和基于时间的动态口令令牌。动态口令令牌主要关键技术就是令牌和认证服务器之间的同步机制，因此在基于OTP设计中采用同步闭区间的方式来处理认证码匹配的问题；而在基于时间变量的令牌设计中则采用窗口同步机制。为了适应智能移动平台显示长度的限制，对HASH结果做压缩分组处理后进行单词转义，使得在做认证码的输入输出操作时具有更好的易用性。在基于KEY令牌设计中，基于KEY即基于公开密钥加密体制，构建了在PKI基础设施的框架内由软令牌、可信第三方以及认证服务器组成的通过无线数据通信完成认证协议的认证系统模型。为了提高在智能移动平台上RSA公钥体制加解密运算速率和效率，采用了Montogomery和M-ary相结合的快速模幂模乘算法。本文最后从算法、平台和系统三个角度对基于移动智能设备的认证令牌的设计做了安全性分析，证明其具有足够的安全性。 本文的意义在于通过实际的数据分析了集成认证令牌和智能移动设备的可行性，提出了三种基于智能移动平台的身份认证令牌的设计方案，解决了如何形成双因子认证模式、如何实现认证同步、如何快速实现RSA模幂模乘运算等技术细节。从而提供一种基于智能移动平台的认证令牌的认证系统的设计模型，从令牌的角度解决了由于各个认证系统之间不具备瓦操作性所带来的易用性和安全性降低的问题。 另外通过参与济南市软件产业发展专项资金项目“桌面安全系统”以及中国农业银行山东省分行安全解决方案“安全数据传输”项目，对相关安全认证系统的设计开发积累了一些宝贵经验，并对智能卡和USBKEY等物理令牌工作模式以及应用认证流程有较好的理解。这些项目经历对本文的完成起到了不可或缺的作用，使本文所做的工作具有了实践基础。

目录

论文说明：符号说明

声明

摘要

第一章、绪论

1.1背景和目的

1.2本文研究内容

第二章、智能移动设备和令牌的特点分析

2.1智能移动设备的特点

2.1.1设备的硬件系统

2.1.2设备的软件系统

2.1.3数据通讯方式

2.1.4发展趋势

2.2认证令牌的特点

2.2.1认证令牌的概念

2.2.2令牌的种类

2.3令牌与智能移动设备的集成

2.3.1集成的需求分析

2.3.2集成的可行性

2.3.3基于移动设备的软件开发特点

第三章、基于质询/响应的令牌设计

3.1认证体系结构

3.1.1认证模型

3.1.2认证协议

3.2令牌设计

3.2.1令牌结构

3.2.2基本流程

3.2.3 PIN码设计

第四章、基于动态口令的令牌设计

4.1基于时间的动态令牌

4.1.1认证模型

4.1.2认证协议

4.1.3令牌设计

4.2基于OTP的动态令牌

4.2.1认证模型

4.2.2认证协议

4.2.3重新初始化

4.2.4令牌设计

第五章、基于KEY的令牌设计

5.1认证体系结构

5.1.1 PKI体系

5.1.2 X.509证书

5.1.3蓝牙无线通信

5.1.4认证模型

5.1.5认证协议

5.2令牌设计

5.2.1令牌结构

5.2.2运行流程图

5.2.2通信数据交互

5.2.3 RSA快速算法

第六章、安全性分析

6.1算法安全性

6.1.1 SHA-1的安全性

6.1.2 AES的安全性

6.1.2 RSA的安全性

6.2平台安全性

6.3系统安全性

第七章、总结和展望

7.1总结

7.2发展方向

附录、附图表

引文出处及参考文献

致谢

在读期间的科研工作以及参与的项目情况