基于数字签名的动态身份认证机制研究与设计

徐春笙 郭凤宇

摘要：信息安全保护水平和密码学的发展程度息息相关，目前开发出了多种信息保护方法，其中数字签名的动态密码认证由于其具备特殊性和实时性，在多个领域中发挥重要作用。该文分析了目前基于数字签名的动态身份认证机制中可使用的技术类型，并完成了专业化的设计工作，之后检测了设计成果的使用质量。

关键词：数字签名;动态身份认证技术;技术设计

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2020）11-0022-02

基于数字签名的动态身份认证技术实施技术，可以将数字转化成可供计算机系统识别的动态口令，具备安全保护中的全覆盖性。生成的数字签名密码要能够被网络系统识别，则要建立专业化的动态信息验证系统，该项技术的实施难度较高，要根据密码学的相关原理完成设计任务。

1基于数字签名的动态身份认证机制中使用的技术

1.1身份认证方法

目前的身份认证方法主要有4种：其一基于密码和账号的秘密认知形式，原理是发放用户账号之后，由用户自主设置与该账号匹配的密码，互联网访问中要求用户同时输入这两个信息，访问申请发出后从数据库中对比两项信息，都拥有存储信息状态下视作可以正常登录。该方法的优势是简单易操作，并且保护系统的设计难度较小，劣势是难以防范密码猜测技术，相对来说安全保障能力较低。其二是物品认证方式，使用的物品中含有专用的登录信息，常用的存储介质有IC卡、身份证、钥匙等，该方法形成了双认证体系，包括智能卡本身所属的硬件设备和其中含有的PIN码，理论上若硬件未遗失，则难以攻破这一安全保障系统。其三是数字证书认证技术，其可以认为是在密码技术的基础上设置了一个第三方监管机构，数字证书由CA机构发行，信息验证过程除了同时检测用户的个人信息、公钥和数字证书，所有手续齐全后才可视作正常登陆。其四是生物特征识别技术，生物特性包括指纹、虹膜、声音、签名等，认证形式由两种，一种是将生物信息上传到云盘中，特征检测通过后回传信息，用户可以正常登录。另一种是生物信息本地存储，通过后允许登录。

1.2身份认证机制

动态身份认证形成了一种密码的双向建设和单向对比机制，双向密码建设过程中，用户发送账户的登陆申请后，账号信息固定，只需要由与该系统连接的服务器和与之关联的计算设备生成一次性的动态密码，用户使用之后废弃。同时密码的检测系统也采用相应的计算体系生成一个一次性的密钥，理论上这两个密钥应该完全相同。单向对比机制是，用户输入获取的动态密码后输入密码的输入区域，由内置的对比程序逐个比较两个密码的字母和数字，完全相同时才视作用户具有合法身份。

需要注意的是，为进一步提高安全性和降低服务器的工作压力，密码验证时间要做出限制，所以对比系统也收集发送密码和验证密码的生成时间，超出时间范围后认为不具有合法登录身份。

2基于数字签名的动态身份认证机制的设计方案

2.1注册阶段设计

注册阶段的系统设计和数据库连接，允许用户根据自身的定义登录账号和密码，经过加密系统的处理之后存人数据库，该过程获取的账号和密码只是后续所有操作系统中的基础。

整个阶段设计过程采用密码学原理同时处理用户注册的账号和密码，即后续传输的数据并不是账号与密码的明文，防止被网络攻击手段截取信息。假设用户设定的密码使PW，传输过程的加密手段是哈希值处理，构成H（PW），其中用户名也进行这一步骤的处理，之后把数据传递给数据库，将用户的注册账号和数据库中的账号对比，当发现数据库中已经含有用户的注册账户时，提交反馈信息督促用户修改注册账号。

账号和密码通过验证后，则用户的成功登录参数设定为1，同时生成密钥在，包括SKi和VS1、SK2和VS2，前两项是服务器端的信息加密和用户的签名，后两项是用户的加密信息与服务器签名，同时生成两个经过同或、异或处理的密钥，作为系统验证的初始密码。之后服务器向已经存储的信息发放数字证书，所有已经经过处理和生成的参数、服务器端识别码都要进行同或、异或处理，对于采用智能卡的工作形式，要让同步配发的硬件中输入PIN码。

2.2登录阶段设计

登录阶段的设计为重点内容，对于用户码和用户设定的密码检测来说，可以直接在本地验证，但是仅有在生物识别和物品识别中这一方式才可保证安全性。由于动态密码的验证过程采用了挑战码机制，同期生成相应的验证码，所以可以更好提高安全性能。挑战码的生成流程是，首先把用户的登录次数N和服务器标识码SD连接，形成（NISD）形式，之后将形成的数据哈希运算，形成数据码H（NISD），对其签名后成为SK2（H（NISD》，把生成的挑战码与签名码直接连接，之后传输即可。其次是随机数的生成，该过程要连接用户登录名、设定的密码的哈希值，并加入挑战码和登录次数参数N，在这类数值的共同作用下，采取异或、同或交错计算方法，把得到的结果记录为str字符串，该过程中采用的计算结果具有随机性，生成的随机参数是a和b，之后选择合理的配置和验证种子防止产生相同的数字。最后是针对str字符串的处理，采用哈希運算模式，在经过多次数和数据的处理过程中，可以把经过处理后的数据最后一位设定为动态密码中的一位数字，最后生成了动态码。

在动态码的传输过程，也要同时传输生成的随机数a和b，并对随机数处理以得到SK（alb），之后把动态码和随机数的处理结果连接，之后对其进一步加密，提高了安全性。

2.3密码修改阶段设计

修改密码的过程必须要保证修改过程的安全性，采用的方法是对密码和账号哈希计算之后传输到数据库中存储，由于针对特定的技术形式会将账户和密码存储在本地，所有密码的修正过程中会同时处理这两个作业形式，以提高整个系统的作业水平。修改密码过程依然要经过本地验证，可以采用与注册过程相同的处理方式和加密手段，把账号和密码同时传输给数据库，之后由数据库采用新的密码覆盖原有密码。

3基于数字签名的动态身份认证机制的设计成果检测

3.1安全性方面

从用户的登录过程可以看出，每次登录过程都会生成唯一性的动态密码，这一方法可以防止登录过程只采用单一密码导致的密码被监听问题，此外每次登录中都涉及挑战码和动态码的生成过程，并且采用了大素数生成原理，可以保证每次的动态码和之前验证的密码不同，进一步提高了安全性。从动态码的本身加密过程来看，经过了两次加密过程，第一次是构造多个参数的结合体，其二是对结合体的进一步加密，可以确保最终生成动态验证码的安全等级提高。

3.2准确度方面

只有动态码得以高精准度比较和验证时，才可提高这一验证系统可以高精度运行。本文建设的工作方法中，采用米勒一拉宾测试分析了实际运行过程的精度，结果表明，生成的大素数为4000以内的数字，素数的占比不高于15%，10次检测过程发现失误率仅有1/4，测试数据大幅增加时，失误率则呈现指数性的下降，得到结论，采用该方法的验证精度符合加密的精度要求。

4结束语

综上所述，基于数字签名的动态身份验证技术设计中，采用身份验证技术可以获取登录账号和密码，并在本地性的硬件中存储。设计的项目包括账号的注册过程、账号登录工程和修改密码过程，其中登录过程的动态密码经过了两次加密处理，最大限度提高了安全保障水平。