二維條碼快遞信息系統的設計

【摘要】用戶身份驗證是其中一個基礎程序，在一個不安全的公共網絡渠道中，它保證安全通信和共享系統資源。因此，為了保護真實的網絡系統環境，一個簡單而有效的身份驗證機制是必要的。一般來說，基于密碼的身份驗證機制為防止未經授權的訪問提供了基本的功能。

【關鍵詞】次性密碼;用戶身份驗證;二維碼;手機

Ⅰ.前言

隨著計算機網絡技術的迅速發展，越來越多的計算機連接在一起交換重要的信息和共享系統資源。安全是計算機網絡的一個重要問題。為了防止信息被非法或未經授權的用戶訪問，用戶的遠程認證無疑是其中最重要的服務。在開放的網絡下，用戶身份驗證是必不可少的安全機制來建立信任關系。基于密碼的身份驗證方案是最常見的方法來檢查登錄信息的有效性，對用戶進行身份驗證。

一次性密碼只對于一個登錄會話或事務是有效的。一次性密碼防止了與傳統靜態密碼相關聯的許多缺點，例如，重播攻擊，字典攻擊，網絡釣魚攻擊。這意味著，如果一個潛在的入侵者試著去記錄一個已經被用于登錄服務或者進行事物的一次性密碼;他將不能濫用它因為這個密碼不再有效。因此，一次性密碼的目的是使它更加難以獲得未經授權訪問受限資源的權限。

一方面，一次性密碼方案不能由人類記憶。出于這個原因，為了工作，它們需要額外的技術。基本上，一次性密碼可以分為一下四類：

A：基于數學算法

1981年，Lamport首先提出了利用單向散列鏈的一次性密碼身份驗證方案。然而，如果需要無期限的密碼，當一套老哈希鏈用盡的時候，需要選取一個新的種子值。特別是，維護一個用來驗證用戶身份驗證請求的密碼文件同時也增加了篡改的風險和維護成本。出于這個原因，許多研究人員提出了各種用戶身份驗證，如使用智能卡來改善安全，成本或效率。

B：基于智能卡

由于管理密碼文件中的抗篡改技術和便利性，智能卡已經廣泛應用到許多遠程身份驗證方案。然而，對于用戶來說，隨身攜帶卡和掃描器仍然是一個負擔。由于卡和掃描器遠離無處不在，因此這個障礙限制了基于身份驗證方案的智能卡的應用。

C：基于令牌標記

令牌一次性密碼通常與物理硬件令牌相關聯。在令牌的內部是一個準確的已經與身份驗證服務器上的時鐘同步的時鐘。近期，它已經可以將電子原件與常規密鑰卡一次性密碼令牌相關聯，例如 InCard，RSA，SafeNet，和Vasco。然而，出于和智能卡方案一樣的原因，這些方法不是很方便，因為一次性密碼硬件的成本和基礎設施的需求。

D：基于短消息服務

由于短息是一個無處不在的通信通道同時在所有的手機上利用。然后，盡管，短信是一個最盡力的遞送員，意味著通訊公司盡力地傳送短信，但是不能保證它一定送達，或者不知道它要花多長時間。應該強調，一次性密碼必須有一個生命周期作為安全特性。此外，基于短信方案必須持續直到帶來額外費用。因此，它是不切實際的，同時不是必要地低成本解決方案。

上述提到的障礙顯然限制了一次性密碼身份驗證方案的實用性。因此，設計一個解決方案克服這些缺點是非常有必要的。

由于移動通信的飛速發展，在嵌入式攝像頭中的二維碼技術已經作為新的輸入接口被應用。有嵌入式攝像頭的手機可以捕捉到二維碼，然后使用運行的在手機上的軟件對它們進行解碼。與此同時，在手機中使用二維碼有許多好處，比如全方位的可讀性和糾錯能力。出于這個原因，采用了二維碼的手機支持現在的許多服務，比如，訂票、支付和統一資源定位符閱讀。

所以本文提出了一個有趣的方法：采用廣泛使用的二維碼技術來支持一次性密碼系統，則手機上的二維碼應用可以獲得從二維碼上繼承的好處，如大容量，打印尺寸小，高速掃描，抗毀壞能力和數據健壯性。此外，各種屬性，比如流動性和靈巧性，從手機上獲得的好處使我沒的方法更加使用。因此，我們的方法可以更加的便利，因為用戶不需要對于每一個安全域都攜帶單獨的硬件令牌來獲得訪問權限。

Ⅲ.被提方案

我們的方案主要問題是利用部署廣泛的二維碼技術消除先前一次性密碼方案的缺點。方便的網絡集成和移動設備的使用使我們的方案更加的實際。

被提方案包括兩個部分：服務提供商和遠程用戶。每個授權用戶可以從服務提供商那里獲得訪問請求服務的權利。此外，每個用戶擁有一部帶有嵌入式攝像頭的手機，因此他可以拍攝二維碼圖像，然后解碼。我們的方案分為兩個階段：注冊和驗證階段。本文介紹了符號表。

Notation

Description

h（·）

單向散列函數

EQR（·）

將數據編碼成二維碼圖像的函數

DQR（·）

將捕獲在嵌入式攝像頭設備的二維碼解碼的函數

s

服務提供商的長期密鑰

T1，T2

時間戳

A：注冊階段

沒有普遍性，假如帶有嵌入式攝像頭手機的用戶A想要加入系統。然后，服務提供商和用戶A進行下面的注冊程序。此外，注冊階段的步驟將在圖1中顯示。

1）用戶A向服務提供商發送他的IDA。

2）服務提供商計算：xA = h（IDA，s），并通過安全的移動設備通道發送xA給用戶A。

3）用戶A的移動設備將xA作為長期密鑰存儲。

圖1：注冊階段

B：驗證階段

驗證階段如下所示。此外，驗證階段的步驟將在圖4中顯示。

1）用戶A向服務提供商發送IDA和T1，T1是與用戶A綁定的時間戳。

2）服務提供商檢查時間戳T1是否正確。如果它是無效的，拒絕。否則，選擇一個隨機數r，"""""" "" 計算xA = h（IDA，s），和α = r? xA，，然后將 EQR（α），h（r，T1，T2），and T2 發送給"" "" 用戶A，其中T2是與服務提供商綁定的時間戳。

3）用戶A檢查時間戳T2是否正確。如果它是無效的，拒絕。否則，通過嵌入式攝像頭設備計算r = " """DQR（EQR（α））? xA.得到r，之后，用戶A檢查h（r，T1，T2）是否正確。如果正確，用戶A將h（r，T2、T3）和T3發送給服務提供商。

4）服務提供商檢查時間戳T3是否正確。如果它是無效的，拒絕。否則，檢查h（r，T1，T2）是"""""""" """ 否正確。如果正確，則服務提供商確定用戶A是合法的。否則拒絕請求。

Ⅴ.結論

在今天這個人文化的社會中，日常產品或各種系統的設計必須考慮到人們的習慣、便利性和日常生產。本文的動機是第一個提出基于一次性密碼認證協議的二維碼，這個二維碼不僅消除了密碼驗證表的使用，同時由于許多網絡用戶已經擁有手機的情況下，它也是一個性價比高的解決方案。從用戶的角度看，我沒的方法更加的方便，因為可以消除攜帶單獨硬件令牌的負擔，還可以減少短信帶來的額外費用。因此，好處是非常明顯的。