淺析基于國產算法的身份認證服務體系的設計

蔣日友 張翀

摘 要 本文主要是對國產算法的身份認證服務體系進行設計，在此方案中對關鍵數據進行SM2加密保護，在隨機數引入的時候，發送的認證信息沒有規律性，此方案避免了以往方案中存在的安全漏洞的問題，能夠有效防止信息被掠奪和攻擊，同時保留了傳統方案的優勢——安全，旨在滿足更高的安全性能需求。

關鍵詞 國產算法;身份認證;安全性能;效率

隨著網絡技術快速發展，其應用也在各行業中廣泛鋪開，在帶來便利的同時，也對暴露出了諸多的安全問題，為了規避安全問題，身份認證是一種保護網絡安全的較為實用的方法[1]。

1身份認證技術

網絡攻擊技術日益發展，給身份認證技術提出了更高的要求，在身份認證中，為方便便捷的方式就是口令認證。其中，口令認證有靜態口令認證與動態口令認證。而動態口令的安全性能較高，因此得到了更多的應用。其中，文獻[2]提出了一種基于動態身份的用戶認證方案，能夠避免盜竊智能卡的攻擊，文獻[3]提出了一個安全性能強、效率高的云計算環境匿名認證協議。文獻[4-5]中提出了動態口令身份認證方案，其中，有一種方案需要在認證身份中服務器、客戶端分別執行三次Hash運算，而另一種方案是客戶端執行3次、服務端執行2次Hash操作，而第三種方案是在認證過程中，服務器端和客戶端進行哈希運算，分別是1次和3次。較前兩個方案相比，提高了工作效率，降低了費用成本。文獻[7]提出的方案存在安全隱患，主要是與服務器連接后，就會發送認證信息，這樣就能夠抵制攻擊，但是經過多次嘗試后，攻擊者就會摸出規律，進而選擇能夠攻擊成功的時間點進行攻擊。以上方案中，都存在一定不足，但是可以相互結合，規避風險，使其更具有安全性能，主要借助傳統以及其他優勢方案進行連接攻擊。

2國密算法

密碼算法是保證信息安全的核心，發揮著非常重要的作用，在現階段，很多商用的密碼算法都采用國外的產品，這樣給存在了很大的安全風險，如何規避安全風險，是當前階段最為關鍵的一個問題。為此，國家商用密碼管理辦出臺了密碼標準，可以在一定程度上降低安全風險。

3身份認證方案的安全性分析及效率分析

第一種方案是攻擊者可以直接通過客戶端或者服務端進行竊取，這種方式可以完成認證。第二種方案是攻擊者能夠通過竊取pw、A與uid，然后按照方案中的要求就可以得到x、x、y、y，從而就能得到Ru=A y，這樣就可以進行認證。第三種方案是攻擊者通過竊取uid、pw，這樣就能夠截獲 x、y，當y的值在一定的數據范圍時，就可以通過給Ru與 A進行數值定位，這樣就能夠得出Ru和A， 由于 A=H（uid，Ru pw），與A比較，進而得出 Ru，完成成功認證。劫取連接攻擊的這種方式最先由 Bellovin提出，這種攻擊的方法是規避了非法用戶認證環節，直接會有合法用戶進行認證通過，這樣就能夠和服務器建立聯系，可以實現認證。有的方案是需要進行動態口令認證，這種方式會存在一定的安全隱患，即使有些信息是以加密形式進行設置，但是攻擊者很容易竊取到口令信息，從而就能夠入侵。文獻[7]中方案中主要是將時間進行把控，通過時間確定后，會定時發送認證信息，這樣就能夠規避劫取攻擊，攻擊者這樣就有足夠的時候訪問服務器，但是在不斷地攻擊過程中，就能夠將其中的規律總結處理，可以得到這個時間是多少，進而更加精確的攻擊，這樣就能夠準時對服務器進行訪問。為了抵御以上的攻擊，本文主要是對國產密碼的認證方案進行了探究，在具體的注冊、認證過程中不斷地選擇參數，同時進行了安全性能和效率的分析。還可以對傳輸數據以及服務器和客戶端的數據進行加密，再加上隨機數據這樣就增加認證的難度，保證認證信息的規律被打亂，這樣就能夠增加抵御攻擊的能力。

對于效率分析方面，可以在上述防御劫取的方案下，對此方案進行對比，可詳細看表1，兩個方案都是在中間環節增加認證信息，以保證抵御攻擊，這樣就會增加成本，從表1中可以看出，在計算方面，可以看到中間認證的信息，以及看出傳統方案和本文方案的效率方面，從而得出本文方案的效率更優。

4結束語

綜上所述，本文主要是針對身份認證方案進行分析，針對方案中出現的安全隱患及漏洞進行研究，同時為了優化方案，為了符合實際需求，制定出了一種基于國產密碼的身份認證方案。這個方案在算法選擇上，在保證信息安全的情況下，使用了加密算法和哈希算法 SM3，可以有效規避竊取信息的攻擊及劫取連接的攻擊，這個方案充分體現了國產算法的良好應用，同時還可以應用到信息安全級別高的地方。

參考文獻

[1] 馮登國.安全協議：理論與實踐[M].北京：清華大學出版社，2011：59.

[2] 王穎，彭新光，邊婧.一種改進的基于動態身份遠程用戶認證方案[J].計算機應用研究，2014，31（12）：3723-3726.

[3] 趙廣強，凌捷.基于雙線性對和隨機數的云計算環境匿名認證協議[J].廣東工業大學學報，2014，31（3）：68-71.

[4] 范玉濤，蘇桂平.一種雙向一次性口令身份認證方案的設計[J].計算機應用，2008，28（S1）：71-74.

[5] 張建偉，李鑫，張梅峰.基于 MD5 算法的身份鑒別技術的研究和實現[J].計算機工程，2003，29（4）：112-113.

[6] Wang B，Liu G. Study and amend dynamic password authentication scheme [J]. Computer Engineering and Design，2007，28（12）：2806-2808.

[7] 陳龍，劉慧.從會話劫持軟件Hunt看TCP/IP協議的脆弱點[J].計算機光盤軟件與應用，2012，1（18）：5-7.