新型密碼-DQ密碼的設計

2 設計基礎
2．1 動(dòng)態(tài)密碼
通常的身份認證技術(shù)是利用密碼及簽名技術(shù)實(shí)現的。動(dòng)態(tài)密碼就是將原先靜態(tài)的密碼變成動(dòng)態(tài)的，即密碼時(shí)刻以一定的規則進(jìn)行變化。目前網(wǎng)絡(luò )銀行普遍采取的密碼卡就是動(dòng)態(tài)密碼的一種。認證時(shí)，用戶(hù)根據提示，比如，第N行，第M個(gè)數字，輸入密碼卡上的數字。每次認證時(shí)，服務(wù)器給出的提示都是不同的，所以即便有人盜竊其中一次的密碼，由于密碼的變動(dòng)性，仍然無(wú)法登錄賬戶(hù)。
2．2 輸入與密碼信息分離
密碼學(xué)在現代信息社會(huì )具有特殊的重要性。大多數密碼系統要求用戶(hù)輸入全部的密碼，而其密碼的輸入系統都準確無(wú)誤地表達用戶(hù)密碼信息。這使得木馬或黑客可以輕而易舉地盜取用戶(hù)的所有密碼信息。密碼卡的出現，在某種意義上實(shí)現了用戶(hù)部分輸入密碼信息，使得用戶(hù)輸入與密碼信息分離。
而傳統密碼盜竊是因為用戶(hù)每次登錄的準確表達輸入密碼信號為黑客和木馬提供機會(huì )，一個(gè)記錄輸入和發(fā)送便可以產(chǎn)生一個(gè)木馬。如果能夠把用戶(hù)的輸入與密碼信息分離，這樣就大大增強了密碼體系的安全性。這種從物理層面的分離是任何黑客或木馬不可超越的。
2．3 人工識別
由于用戶(hù)每次登陸使用密碼時(shí)，都是自動(dòng)手動(dòng)操作，因此利用人工識別判斷圖片，幾乎無(wú)需增加任何成本。但對于盜號者而言，一旦盜取需要人工識別，與之前的機器直接盜取，這將極大增加難度和成本。

3 設計過(guò)程
3．1 方案流程
利用動(dòng)態(tài)密碼，輸入與密碼信息分離，以及人工識別技術(shù)，給出一種安全有效的密碼認證方案，其流程圖如圖l所示。

3．2 密碼生成函數
首先根據用戶(hù)名u，從數據庫中調出用戶(hù)名u相對應的全碼Acode=(a1 a2 a3 a4 a5 a6)并從全碼中隨機抽出1～4個(gè)字符。這里以3個(gè)字符為例，再從全碼字符之外隨機抽出4～7個(gè)字符，作為干擾碼。共從兩個(gè)碼中抽出8個(gè)字符，所以這里取5個(gè)干擾碼Dcode=(dm1 dm2 dm3 dm4 dm5)。
從全碼Acode中抽出3個(gè)字符，與干擾碼中的字符一起隨機排列，加上提示碼1到8，組成示碼：

其中，全碼字符對應的提示碼為隨機口令Lcode=[2 5 8]。
將示碼圖像化，形成示碼圖片。服務(wù)器接收用戶(hù)登錄信息后，使用密碼生成函數F=f(u)，調出用戶(hù)名DQ對應的全碼whu029，在其中隨機抽出3個(gè)字符w02，在whu029之外任意選擇5個(gè)字符mlove作為干擾碼。w02和干擾碼mlove一起隨機排列v12ewmoo，再加上提示碼12345678形成示碼。

其中，2w0所對應的(3 5 7)為此次的隨機口令。
服務(wù)器形成并傳遞示碼Seode圖片。用戶(hù)看到其中的2w0是自己設置的全碼中的字符，就輸入對應的357此時(shí)即登錄成功。倘若輸入錯誤或者超時(shí)服務(wù)器記錄非法嘗試一次，記錄超過(guò)三次就啟動(dòng)保護措施。