基于一次性口令的身份認證系統(tǒng)研究及實現(xiàn).pdf

1、目前大部分網(wǎng)絡系統(tǒng)所使用的訪問控制方法是傳統(tǒng)的靜態(tài)口令認證技術，即通過用戶名和口令的匹配來確認用戶的合法性。該技術實現(xiàn)簡單，但在很多情況下存在口令泄密風險。其他認證機制如基于證書的數(shù)字簽名認證，雖然安全，但須以完整的CA體系為基礎，技術復雜，成本高，不具有普適性。針對以上問題，專家提出了一次性口令OTP(One-TimePassword)技術。 OTP的原理是在登陸過程中加入動態(tài)因子，使得每次的密碼都不相同，系統(tǒng)接收到登陸口令后

2、，以相應的算法做一次驗算即可驗證用戶的身份。OTP是一種摘要認證，可以抵抗重放攻擊和竊聽攻擊，是一種切實可行、安全有效的認證方案。 本文針對S/KEY系統(tǒng)不能抵抗小數(shù)攻擊、偽服務器攻擊和服務器崩潰的不足，提出和設計了一種改進的一次性口令身份認證系統(tǒng)。在改進方案中，一方面，服務器根據(jù)客戶端發(fā)送過來的經(jīng)過DES算法加密的用戶信息驗證用戶并發(fā)送挑戰(zhàn)值，再通過返回的應答值對客戶端進行認證；另一方面，客戶端對于服務器傳來的挑戰(zhàn)值，解密后與