基于二维码的新型用户认证方案外文翻译资料
2022-12-05 04:12
英语原文共 5 页,剩余内容已隐藏,支付完成后下载完整资料
基于二维码的新型用户认证方案
Kuan-Chieh Liao
会计与信息系统系,
亚洲大学,台中,台湾,中华民国
Email: lkc@asia.edu.tw
Wei-Hsun Lee
信息科学与应用系,
亚洲大学,台中,台湾,中华民国
Email: weishun2003@gmail.com
摘要:用户认证是一种确保在不安全的公共网络通道的安全通信和共享系统资源的基本程序,因此,需要一种简单而有效的认证机制在实际环境中固定网络系统。大体来说,基于密码的认证机制提供了阻止未经授权访问的基本能力。特别是,一次性口令的目的是使其更难以获得对受限资源的未授权访问。许多研究人员已经致力于开发各种使用使用智能卡和时间同步令牌或短消息服务的一次性密码方案,来减少篡改和维护成本的风险,而不是使用密码文件作为常规认证系统。然而,因为难以达到无处不在的硬件设备或基础设施的要求,这些计划是是不切实际的。为了补救这些缺点,二维码技术的优势可以被引入提供了一次性口令认证协议。不和以前一样,基于二维码所提出的方案不仅省去了密码验证表的使用,更是一个具有成本效益的解决方案,因为大多数互联网用户已经拥有移动电话。因为这个原因,移动电话使得我们的方法更加实用和方便的优势体现出了轻便的优越性,而不是围绕一个单独的携带每个安全域的硬件令牌。
关键字:一次性口令;用户认证; 二维码; 移动电话
一 引言
随着计算机网络技术的迅速发展,越来越多的计算机连接起来来交流信息和共享系统资源。那么对于计算机网络来说,安全是一个重要问题。为了防止信息被非法的或未经授权的用户所访问的,用户的远程认证无疑是最重要的服务之一。
建立开放下的网络环境中的信任关系,用户认证是必不可少的安全机制。基于密码的认证方案是检查在登录消息的有效性和验证用户最常用的方法。
一次性密码是一个只适用于单一的登录会话或事务的密码。一次性密码,改进了与传统的静态密码相关的各种缺点,如重放攻击,字典攻击和网络钓鱼攻击。这意味着,如果潜在的入侵者想要记录该已用于登录到服务或进行交易的一次性口令;他将无法使用它,因为它会不再有效。因此,一次性口令的目的是使其更难以获得对受限资源的未授权访问。
在另一方面,一次性密码方案不能由人类记忆。因为这个原因,它们需要额外的技术来正常工作。基本上一次性密码方案可以分为以下四类:
1.1基于数学算法
在1981年,Lamport[8] 首先通过使用单向散列链提出的一次性口令认证方案。然而,如果无限期系列密码被需要,在一组旧的Hash链的耗尽后,可以选择一个新的种子值。特别是,保持一个验证用户的身份的密码文件也增加篡改和维护成本的风险。出于这个原因,许多研究人员[1][3][4][11][16][18]提出了各种使用智能卡来提高了安全性、成本或效率的用户认证方案。
1.2基于智能卡
因为防篡改和方便管理密码文件,智能卡已广泛在许多远程认证方案被接受[1][3][4][11][16][18]。然而,对用户来说,随身携带的卡与读写器仍然是一个负担。由于卡和读卡器不可能无处不在,因此,这一障碍已制约智能卡在认证方案中的应用。
1.3基于时间同步的令牌
时间同步的一次性密码通常与物理硬件令牌联系在一起。令牌内是一个已经与所述认证服务器上的时钟同步的准确的时钟。最近,采取与普通便携式信息终端的一次性密码令牌相关联的电子元件,例如那些InCard[6],RSA [15], SafeNet [9], and Vasco [17]中的电子元件已经成为可能。然而,出于与基于智能卡的方案同样的原因,这些方法,因为一次性口令硬件成本和基础设施的要求,也很不方便。
1.4基于短消息服务(SMS)
由于短信是一个无处不在的沟通渠道,在所有的手机都可用。然而,虽然SMS是一个好的传送,电话公司将努力提供它,但他们并不能保证它会到达那里,或者如果这样做,将花费多长时间。应当指出的是一次性密码应该有一个生存时间作为安全特征。此外,基于SMS的计划还会招致额外的费用。因此,它是不实际的并且总成本不低的的解决方案。
上述这些障碍都明显限制了一次性口令认证方案的实用性。因此,设计能够克服这些缺点的解决方案是非常有趣的。
由于移动通信技术的快速发展,在嵌入式摄像机装置的二维码[7]已经用作新的输入接口。有嵌入式相机的移动电话可以捕捉二维码,并用电话[2]上运行的软件进行解码。另一方面,使用于手机的二维码有很多优点,如全向可读性和纠错能力。由于这个原因,现今移动电话采用二维码来支持许多服务如订票,支付费用和URL读取[10] [13] [19]。
因此,本文提出的一个有趣的方法是采用目前广泛使用二维码技术,支持一次性密码系统中,由于与手机二维码的应用程序可以得到从二维码,继承了好处,如大容量,小的打印输出尺寸,高速扫描,耐损伤性和数据的稳健性。此外,各种性能,例如来自移动设备的移动性和轻便,使我们的方法比较实用。因此,我们的方法可以更方便一些,因为用户不需要随身携带一个独立的硬件令牌到他们需要访问的每个安全域。
本文安排如下。第二节给出的二维码的基本概念。在第三节中,所提出的基于一次性口令认证方案中的二维码已经给出。在第四节,对可行性评估和安全分析进行了讨论。最后,本文在第五节总结。
二 二维码的概念
该二维码[7]是由日本电装公司浪潮于1994年推出的二维条形码。它包含垂直和水平方向上的信息,而一个传统的条形码仅具有一个数据的方向。相比传统的条形码,二维码可以容纳的更大信息量:只有7,089个字符数字,4296个字母数字数据,2,953字节的二进制(8位)。“二维”是从“快速反应”衍生,当创造者打算让代码在高速中被解码。此外,二维码还有纠错能力。数据可以恢复甚至当代码的实质部分被毁或受损。
许多配置嵌入式摄像头的手机,时下本身都搭载二维码解码软件。在设备的帮助下,人手动解二维码就很简单了,然后显示,然后在手机上显示,操纵,或存储信息。图1和图2分别示出了QR码的编码和解码的图。
图1 二维码编码图
图2 二维码解码图
二维码在日本,韩国,台湾,香港和中国是日常生活的一部分。此外,根据识别的数据的类型和应用的性质,备选的动作可以按照解码阶段:一个电话号码,可以自动拨号,可以发送短文本消息,对应于经解码的URL的网页可以是显示在移动浏览器中,或者可以执行一个确定的应用。因此,由于二维码,现在出现在杂志,广告,产品包装,T恤,护照,名片和在日本的地铁广告牌,目前大多数日系手机可以凭借他们的相机读取这些代码。
然而,在消费市场水平,二维码在亚洲以外几乎无人知晓。 [14] 幸运的是,因为拍照手机没有配备二维码阅读器,QuickMark[12]和I-nigma[5]都免费地提供很多制造模式和设备简单地解码二维码的工具。
三 提出的方案
我们的方案的主要关注点是利用部署广泛的二维码的技术,来消除现有的一次性密码方案的缺点。基于Web的应用程序和移动设备的使用的方便集成,我们的计划更实际。该方案涉及两方:一个服务提供商(SP简称)和远程用户。每个授权用户可以从SP与授予访问权限请求服务。另外,每个用户持有具有嵌入式相机的移动电话,所以他可以拍摄二维码图像的照片,然后对其进行解码。我们的计划分为两个阶段:登记和验证阶段。表I的符号会在本文中使用。
|
表一 |
符号 |
|
|
符号 |
描述 |
|
|
h(·) |
一个单向散列函数 |
|
|
EQR(·) |
编码数据转换成二维码图像的功能 |
|
|
DQR(·) |
解码嵌入式摄像装置拍摄的Q二维码图像的功能 |
|
|
s |
SP的长期秘密密钥 |
|
|
T1, T2 |
时间戳 |
|
第一 注册阶段
一般而言,假设一个带有嵌入式摄像头的移动设备的用户想加入该系统。那么SP和用户A进行如下登记手续。此外,对于登记阶段的步骤示于图3。
1) 用户A发送自己的身份IDA到SP。
2) SP计算机
xA = h(IDA, s)
并通过安全信道发送xA 给用户A 的移动设备。
3) 用户A的移动设备存储XA作为长期的密钥
图3
第二 验证阶段
验证阶段如下所示。此外,验证阶段的步骤也示于图4。
1) 用户A发送IDA和T1到SIP,T1是用户A的时间戳。
2) SP检查时间戳T1是否是正确的。如果它是无效的,则拒绝它。否则,他选择一个随机数r,计算
xA = h(IDA, s), and
alpha; = r ♁ xA,
并发送EQR(alpha;),h(R,T1,T2),和T2到用户A,其中T2是由SP附时间戳。
3) 用户A检查时间戳T2是否正确。如果它是无效的,则拒绝它。否则,他用他的相机嵌入式计算设备派生r,
r = DQR(EQR(alpha;)) ♁ xA.
在此之后,可以使用检查H(R,T1,T2)是否正确。如果成立,则用户A发送H(R,T2,T3)和T3to SP。
4) SP检查时间戳T3是否正确。如果它是无效的,则拒绝它。否则,他会检查H(R,T2,T3)是否正确。如果成立,则SP确信用户A验证。否则,该请求被拒绝。
图4
四 讨论
在被提出的基于远程认证模型的二维码认证,在我们的方案中,是用户的移动电话而不是传统的智能卡承担捕获二维码图像,并将其解码的责任。出于这个原因,本节对移动电话的操作的可行性评估进行了特别讨论。此外,一些反对该方攻击都考虑在内。
4.1可行性评估
通过等式(3),可以观察到,嵌入式相机移动设备只需要进行一次二维码解码操作和逻辑操作.因此,显然总计算负荷是可接受的。
另一方面,从用户的计算机的观点出发,所述时间标记T1和T3加强了一次性口令r的安全性,就不需要使用一个额外的随机数发生器了。没有随机数发生器加载,远程用户可以更加方便和简单了。
另外,从服务提供者的角度来看,没有多余的成本用于存储每个用户的长期秘密密钥创建和维护密码表了。因此,不保持密码文件来验证用户的身份验证请求可以减少篡改和维护成本成功的风险。
因此,根据上述讨论,可以看出,基于二维码提出的认证协议是有效的和实用的。
4.2安全分析
1) 安全性在用户的手机风险
由于移动电话具有用户的长期秘密密钥,因此,它需要被很好的保护。幸运的是,内置摄像头的手机在我们的计划只捕获二维码,并将它们在手机上运行的软件中进行解码。因此,移动设备不直接暴露给其他恶意用户。因此,这种合理的假设下,由移动电话产生的风险将显著减少。
2) SP的安全风险
攻击者通过公式获得SP的秘密数值是不可行的(1),因为该单向散列函数是不可逆的。在另一方面,冒充CA的攻击也将失败,因为获得XA离不开S的信息。
3) 远程用户安全风险
通过等式(2)和(3),可以观察到,没有相应的随机数字r的信息,获得有效用户的长期秘密密钥XA是不可行的。
另一方面,如果一个人截取通过公共信道发送的信息,从H(R,T1,T2)和H(R,T2,T3)中获得R仍然是不可行的,因为该单向散列函数是不可逆的。
4) 中间人攻击和重放攻击
假设入侵者用从公共信道和SP在T3收到的接入请求消息截获的时间戳T 3重放法律要求,则服务提供者根据T3
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[28844],资料为PDF文档或Word文档,PDF文档可免费转换为Word
