基于Nonce數的高效Token更新認證協(xié)議的研究.pdf

1、網絡服務的日益深入，網絡環(huán)境的越發(fā)復雜，促使人們開始關注網絡的使用安全。尤其對用戶與服務器間通信的可信度和安全性的要求日益提高。因此我們使用認證協(xié)議來保護用戶賬戶和用戶與服務器間通信的安全。特別是在非安全網絡環(huán)境中，用戶認證已經成為非常重要的研究部分。協(xié)議在確保信息可信性和完整性的同時，還要確保非法用戶不能依靠非法手段來獲取系統(tǒng)資源的任務。 目前用戶認證協(xié)議領域是多種形式的認證方式并存的局面，各種認證方式有其各自的優(yōu)劣，適用的范

2、圍也有所不同。按照類別認證協(xié)議可分為：生物信息認證，基于密碼的認證等領域。本學位論文由于篇幅有限，只討論基于密碼的認證問題。 首先，基于密碼的認證按照所依據的加密算法主要分為依靠非對稱密鑰加密的認證方式，依靠對稱密鑰加密的認證方式，以及依靠哈希方程和異或運算等認證方式。由于以往的認證協(xié)議多關注于計算機作為客戶端和服務器的通信的情況，且大多數協(xié)議將客戶端假想為計算機，通常采用公鑰加密等非常耗費系統(tǒng)資源的算法來實現。但由目前的網絡應

3、用來看，不僅要考慮客戶端為計算機的情況，更要考慮可移動、便攜的瘦客戶端情況。例如很多認證協(xié)議就是針對sinartcard(智能卡)和：PDA(個人數字助理)等專門設計的。 其次，按照所采用的技術細節(jié)來分，認證協(xié)議還可以分為基于norice隨機數的認證協(xié)議和基于時間戳的認證協(xié)議等等。由于時間戳的認證協(xié)議需要客戶端和服務器端同步時間或者需要第三方服務器來同步時間，目前的認證協(xié)議已基本上不再采用這種方式。目前廣泛采用的是基于nonce

4、隨機數的方法，但是對于一個計算能力很弱的瘦客戶端來說，連續(xù)的生成一些有效的隨機數是非常困難的，很容易被黑客分析后加以利用。所以本學術論文著重討論如何減少客戶端的計算量，并且在保證安全的情況下減輕客戶端生成隨機數的負擔。 本學位論文題目來自中韓科研學術合作交流活動，項目合作期間得到了韓國信息產業(yè)部(MIC)、韓國仁荷大學(Inha University)計算機科學與工程系GIS項目組的大力支持，為促進國際交流合作，故使用英文完成該

5、論文。 本學位論文首先簡單介紹了認證協(xié)議的研究發(fā)展現狀和所遇到的問題，重點分析了一些當前較流行的幾種認證協(xié)議，并進行了系統(tǒng)的分析論述。在此基礎上提出了新的基于nonce隨機數的認證協(xié)議，該協(xié)議采用了token更新的方法來保證數據的新鮮性。在與具有較相近體系的認證協(xié)議進行分析比較后結合當前普遍使用的攻擊類型分析說明了協(xié)議的安全性。最后通過分析協(xié)議的效率，證明了所提出的認證協(xié)議更加高效。 本文的主要研究成果和貢獻如下：

6、 獲得了更高效的運算模型。協(xié)議的登陸和認證過程主要基于哈希方程和異或運算，由于哈希方程和異或操作都是非常高效的運算，使得協(xié)議獲得了更加高效的運算模型，從而提高了整體性能。 克服了前協(xié)議中的缺陷。在與Lee協(xié)議進行分析比較的過程中，克服了Lee協(xié)議可能遭受的重放攻擊和扮演攻擊。 通過攻擊模型來分析協(xié)議安全性。在分析協(xié)議安全性的章節(jié)中，本學位論文采用實際存在的攻擊模型來逐個進行分析比較，并進行邏輯分析，最終得出協(xié)議安全的結

7、論。 減少了客戶端生成隨機數的負擔。由于本論文采用的是基于nonce隨機數的方法，所以必然要面對客戶端產生隨機數的問題，本文采用token更新的方法來保證隨機數據的新鮮性。同時服務器生成隨機數且每個認證回合中更新nonce隨機數的方法避免了客戶端必須要生成隨機數這一負擔。 總之，在眾多用戶認證方式中，密碼形式的認證協(xié)議是被公認為最方便，且被廣泛接受的認證協(xié)議。由于傳送的數據都要暴露在非授權操作之下，所以我們需要用一些手段

8、來加強協(xié)議安全性，例如nonce數和隨時更新的token。該認證過程的實現不依賴于主機操作系統(tǒng)的認證，無需基于主機地址的信任，不要求網絡上所有主機的物理安全，并假定網絡上傳送的數據包可以被任意地讀取、修改和插入數據。在以上情況下，該協(xié)議提供了客戶端和服務器端的雙向認證。 本學位論文中，我們提出的新的基于nonce數的高效Token更新認證協(xié)議相對于Lee的協(xié)議有了更強的安全性，而且解決了一些Lee協(xié)議存在的問題，例如不能抵制重放