采用嵌入式系统实现动态口令卡

采用嵌入式系统实现动态口令卡 () 文 章 编 号 :1008 - 1658 200204 - 0012 - 04 采用嵌入式系统实现动态口令卡 王小妮 ,杨根兴 ( ) 北京机械工业学院 计算机与自动化系 , 北京 100085 摘要 :由于互连网具有的国际性和开放性 ,网络的安全隐患也不断暴露出 来 。动态口令认证系统以其密码算法的抗攻击能力强 、兼容性好 、使用方便可靠等显 著特点而逐渐成为身份认证技术的主流 。在介绍动态口令卡工作原理的基础上 ,研 究了用嵌入式系统实现动态口令卡的实施 ,并进一步介绍了该方案的硬件 、软件 的实现方法及技术难点 。 关 键 词 :嵌入式系统 ;动态口令 ;认证 中图分类号 : TP 393 . 08文献标识码 :A 1 简述 身份认证技术发展到今天已经成为网络信息系统中必不可少的一部分 ,目前各网络系统 对用户身份认证的核心是静态的用户口令 ,传统基于口令的身份认证是大多数计算机信息系 统的安全保护手段 ,应用方便 ,无须配备专用的用户端读写设备 ,但由于受到人类记忆能力的 制约 ,也存在容易遗忘 、容易失窃等安全隐患 。为解决上述问题 ,近几年提出了一种新兴技术 ———动态口令身份认证技术 。动态口令认证系统解决了静态口令身份认证的不足 ,是一种更 安全的身份认证系统 。嵌入动态身份认证系统后 ,系统就能够以强有力的安全身份认证为基 ( 础 ,拓展自己网络系统的功能 ,发展出许多新兴的业务 ,例如 : 网络证券交易 经过动态身份认 ) 证后 ,授权客户可以实时地进行证券交易 ,客户的资金流动由银行网络系统完成和电话储金 (卡 用户可方便地在任何时间 ,任何地点拨打电话 ,查询话费 ,而不必当心帐号和密码的失窃所 ) 引起的电话盗打事件等 。动态口令卡是一种应用层安全产品 ,它把服务器和台式机具体化 , 把重点集中于对网络口令确认的第一线防御 ,使其在它保护的网络上没有不应当进入的用户 出现 。 2 动态口令卡工作原理 本论文将着重介绍采用嵌入式系统来实现动态口令认证系统中的动态口令卡 。嵌入式系 ( ) 统 Embedded Systems是以应用为中心 ,以计算机技术为基础 ,并且软硬件可裁剪 ,适用于应 1 用系统对功能 、可靠性 、成本 、体积 、功耗有严格要求的专用计算机系统。嵌入式系统的基 本特点是系统研制时间短 、技术含量高 、更新速度快 。它和具体应用有机地结合在一起 ,它的 升级换代也是和具体产品同步进行 ,对实时多任务有很强的支持能力 ,能完成多任务并且有较 收稿日期 :2002 - 06 - 25 项目来源 :北京市教委科技发展基金项目2000 KJ - 122 ( ) 作者简介 :王小妮 1977 - ,女 ,山东威海人 ,北京机械工业学院计算机与自动化系硕士研究生 ,主要从事计算机网络安全研 究 。 短 的 中 断 响 应 时 间 , 从 而使内部的代码和实时 内核的执行时间减少到 2 最低限度。动态口令 卡工作原理如图 1 。 图 1 动态口令卡工作原理图 用户 登 录 前 , 只 要 通过卡上的触摸屏输入由用户掌握的开启 P IN 码 ,动态口令卡口令发生器会将输入的 P IN 码 和定时器产生的当前的时间通过算法进行计算 ,然后在卡上 L CD 液晶显示屏中显示出当前生 成的动态密码 。用户按照此密码登录 ,提交给应用系统服务器 。此服务器将用户消息发送到 动态口令认证服务器中 ,与认证服务器中的这个用户这一时间产生的密码进行核对 ,如果一致 则说明登录用户为合法用户 。 3 动态口令认证系统原理 动态口令认证系统的基本原理基于动态口令认证技术 。每个用户都有一个与众不同的标 志身份的动态口令卡 。动态口令卡在发放给用户时 ,进行初始化 ,它存储着用户密钥 key 和卡 ( ) ( ) 的时间 time kard。同时在系统的服务器中也存储用户的密钥和卡的时间 time server,还有 用户输入的 P IN 码 。用户登录时 ,在卡中输入 P IN 码 , 固化在卡上的变换函数根据 key ,time ( ) kard和 P IN 码产生 Plo gin 。在服务器上 ,也有一个使用相同变换函数的口令生成模块 ,该模 ( ) ( ( ) 块根据系统中的相应用户 key 、time server在每次用户使用时系统都要对 time server进行 ( ) ( ) ( ) ) 校正 ,使得 time server= time kard和 P IN 码 ,计算出用户当前的正确口令 Pcurrent 。若 Plogin = Pcurrent ,系统则判定正在登录的用户为授权用户 ;否则 ,即为非授权用户 。 具体的函数说明为 : ( ( ) ) Plogin = f key , P IN ,time kard; ( ) ) ( Pcurrent = f key , P IN ,time server; () 其中 f 为委托国内信息安全权威机构开发的动态口令生成算法 ; key 为系统发卡时写卡器随机生成的 32 位随机数 ; P IN 为用户在发卡时自己确定的口令生成密码 ; ( ) time kard为卡上的时间 ; ( ) () ( ) time server为系统时间 采用软件保持与 time kard一致; 动态口令认证系统采用基于双因素的身份认证技术 , 利用被认证方所知道的秘密信息( ) () () P IN 码和所持有的专有硬件 动态口令卡产生一组 4,8 位当前口令 ,由认证方将这组口 令与系统产生的当前口令进行比较即可完成身份认证 。 动态口令身份认证系统的认证过程可用图 2 表示 。从认证过程可以看出 ,虽然认证中使 用的当前口令经过不安全信道传输 ,但由于此当前口令由安全算法实时产生且不可预测 ,遭受 安全攻击的危险大大降低 。同时 ,由于双因素参与口令运算 ,满足了密码学理论中关于强认证 3 的要求 ,即所知和所有相结合。 图 2 系统认证过程图 4 动态口令认证系统的实现 由图 2 可以看出系统由认证服务器和动态口令卡组成 。认证服务器提供动态口令身份认 证 ,完成存储和管理用户数据的功能 。管理人员可以进行网络配置 、发卡 、注销卡 、用户信息修 改 、用户口令修改 、服务统计 、用户查询等操作 。这些功能采用 Visual Cγγ实现 。 本论文主要详细说明卡的具体实现 。动态口令卡采用嵌入式系统来实现 ,即生成用户当 前登录口令 。动态口令卡的液晶显示屏上的数字每分钟变化一次 。这些数字看上去是完全任 意的 ,彼此看不出任何关联 。用户登录网络资源和应用程序时 ,除输入常规的用户名与预选口 令外 ,还要输入令牌上显示的这个数字 。 5 动态口令卡的具体实现 5 . 1 硬件部分 动态口令卡的主要功能是生成用户当前登录口令 ,以供相应的动态口令认证服务器进行 身份认证 。这种具有身份认证的动态口令卡由令牌卡片和设在令牌卡片内的口令发生器构 () 成 。令牌卡片上设有液晶显示屏 带触摸屏及一按钮 ,口令发生器包括一个时钟晶体振荡器 、 一个单片机 、以及一个液晶显示器 ;时钟晶体振荡器与单片机的触发端连接 ,单片机生成间断 的时钟计时数据输出到液晶显示器显示 ;按钮与单片机的控制端连接 。结构简单 、成本低 、使用效果好 ,具有身份鉴别 、完整性鉴别 、不可否认性鉴别 、和出入控制 、存取控制的使用效果 。 此动态口令卡采用爱普生公司的 E0C33208 作为其 CPU 。其特点是高效率代码指令集 、快速 操作乘法器/ 累加器功能 、内核小 、低功耗 。硬件部分主要完成液晶显示屏和触摸屏的驱动模 块的 。L CD 液晶显示屏用来显示生成密码 ,而触摸屏使这个动态口令卡更加保密 。如果 采用固定键盘输入会在经常使用的数字键上留下痕迹 ,一旦丢失会被轻易的猜测出开机密码 , 造成损失 。而如果采用软键盘可以动态的改变键盘数字位置 ,使别人无法在其它角度通过按 键位置而猜测出密码 。液晶显示器类型为爱普生公司的 TCM - A1228 。主 要 由 列 驱 动 器 ( ) ( ) SED1580与行驱动器 SED1751级连驱动 。所要求的液晶显示器的分辨率为 320 3 240 ,因 此需要 2 片 SED1751 ,2 片 SED1580 。如图 3 。 图 3 液晶显示器驱动模块 图 4 E0C33208 与触摸屏的连接原理图 E0C33208 与触摸屏的接口设计方法如图 4 。E0C33208 内置有 8 个通道的 10 bit A/ D 控制 , μ采用逐次比较的方式 。A/ D 转换时间最快可达 10 s 。A/ D 转换可由 4 种不同的方式来触发 产生 :外部引脚触发 、8 bit 定时器触发 、16 bit 定时器触发和软件触发 。A/ D 转换结束后会产 生一个中断 ,可以从一个 10 bit 的寄存器中读出 A/ D 转换的结果 。 5 . 2 软件实现 软件设计贯穿整个系统的设计过程 ,主要包括任务分析 、资源分配 、模块划分 、流程设计和 细化 、编码调试等 。嵌入式软件开发环境能够支持 C 开发语言 ,编程方便 ,可读性强 ,可方便 移植 。但嵌入式系统的软件设计与一般的软件设计有很大的不同 ,它涉及到更多的计算机理() (论 如进程调度 、队列列论 、存储管理 、并发计算理论等和基于这些理论的算法 如资源访问控 4 ) 制算法 、循环调度算法 、优先级驱动算法等。动态口令卡内的程序代码实现的主要功能是 ( )算法的实现 ,即用户登录时 ,在卡中输入 P IN 码 , 固化在卡上的变换函数根据 key 、time kard 和 P IN 码产生 Plogin 。 本系统开发工具采用 Embest ID E 嵌入式软件开发环境 , Embest ID E 是集成了编辑器 、编 译器 、连接 器 、调 试 器 于 一 体 的 高 度 集 成 的 窗 口 环 境 。主 机 与 目 标 机 之 间 通 过 调 试 设 备 () BDM/ J TA G 仿真器相连接 ,应用程序在主机的 Window s 环境下编译链接生成可执行文件 ,下载到目标机 ,通过主机上的调试软件和连接到目标机上的调试设备完成对应用程序的调试 、 分析 。然后将通过调试 、仿真成功的程序用编程器写入 E0C33208 处理器中 。 6 结论 本系统的技术难点主要是动态口令卡与服务器之间认证时间的同步问题 。系统采用写卡 时初始化内部定时器使其和认证系统时间一致 。但需要增加时间误差矫正功能 。由于系统采 用嵌入式系统来实现 ,因此还可采用技术含量比较高的红外技术来解决这一难点 。当用户向 应用系统服务器提交用户名时 ,由此服务器通过红外设备向动态口令卡和认证系统服务器同 时发送当时的时间 ,这样可以更加可靠地保证时间的同步性 。本系统已经研发成功并投入了 正式使用 ,在实际使用中整个系统的安全性 、稳定性和认证性能都得到了用户的肯定 。结合用 户的实际需求 ,系统还可以做特定的改进 ,有着非常广泛的市场前景 。 ()下转 25 页 ( 姜 伟 ,洪 海. 移动视觉系统中特征点匹配方法的研究 J . 黑龙江大学学报 自然科学 3 ) () 版,1999 ,16 4:65 - 69 . Image token correspon dence with constra int of epipolar l ine XIAN G Deng2ning ,D EN G Wen2yi , YAN Bi2xi ,DON G Ming2li , L üNai2guang () Depart ment of Elect ro nic Info r matio n Engineering , Beijing Instit ute of Machinery , Beijing 100085 ,ChinaAbstract: Point matching is an impo rtant p ro blem in t he field of co mp uter visio n and pat ter n recognitio n . Thro ugh t he research o n binocular stereo visio n measurement system , based o n t he co ncep t of epipolar co nst raint , a new met ho d is p ropo sed to resolve t he co rrespo nding p ro blem be2 t ween t wo images w hich have t he same number of point s. The p rojectio n o n t he view plane of t he discrete point s in t hree2dimensio nal space are co rrectly matched. The experimental result s indicate t hat t he met ho d is effective and is of great value in use . Key words : binocular stereo visio n ;epipolar co nst raint ;point matching ()上接 15 页 参考文献 : 1 Micbael Barr . C/ C γγ嵌入式系统编程 M . 北京 :中国电力出版社 ,2001 . 2 Rick Grehan , Ro bert Moote , Ingo Cyliax . 32 位嵌入系统编程 M . 北京 : 中国电力出版社 , 2002 . 3 Bruce Schneier . A pply cryp tology M . 北京 :机械工业出版社 ,2000 . 4 蔡建华. 关于嵌入式应用开发技术 M . 北京 :单片机与嵌入式系统应用 ,2001 . Real izat ion of dyna mic pa ss word card by using embedded systems WAN G Xiao2ni , YAN G Gen2xing ()Depart ment of Co mp uter Science & Auto matio n , Beijing Instit ute of Machinery , Beijing 100085 , China Abstract : The Inter net’s openness and inter natio nalism bring potential t ro uble to it s safet y. The dynamic identit y aut henticatio n has st ro ng abilit y to resist t he at tack of cip her algo rit hmic ,goo d co mp tibilit y and is co nvenient and reliable . So it has beco me t he mainst ream of identity aut henti2 catio n technology. On t he basis of t he int ro ductio n of t he wo r king p rinciple of dynamic passwo rd card ,t he scheme of realizing dynamic passwo rd card by embedded systems is st udied. And t he re2 alizatio n met ho d and key technological point s of t he scheme’s hardware and sof t ware are int ro2 duced. Key words : embedded systems ; dynamic passwo rd ; aut henticatio n