一次性口令身份認(rèn)證技術(shù)的研究和實(shí)現(xiàn).pdf

1、在開放式的網(wǎng)絡(luò)環(huán)境中，身份認(rèn)證指的是用戶身份的確認(rèn)技術(shù)，它是網(wǎng)絡(luò)安全的一道重要防線。無疑，口令是最簡單也是最常用的一種身份認(rèn)證方法。但通常使用的靜態(tài)口令有許多固有的弱點(diǎn)：在分布式網(wǎng)絡(luò)系統(tǒng)中，如不加密，可以被清晰地看到明文；即使加密，也易受重放攻擊、差分密碼分析等其他攻擊手段的影響，從而給系統(tǒng)的安全性埋下隱患。 20世紀(jì)80年代初，針對靜態(tài)口令認(rèn)證的缺陷，美國科學(xué)家LeslieLamport首次提出了利用散列函數(shù)產(chǎn)生一次性口令(O

2、ne-TimePasswordSystem，簡稱OTP)的思想。OTP的基本原理是在登陸過程中加入不確定因素，即每次登錄過程中計算所得的密碼都不相同，系統(tǒng)接收到口令后，以同樣的算法作一個驗(yàn)算即可驗(yàn)證用戶的身份。OTP是一種摘要認(rèn)證，它采用單向迭代雜湊函數(shù)來計算用戶的密碼。在基于OTP的身份認(rèn)證技術(shù)中，客戶端用戶用以產(chǎn)生OTP口令的秘密通行短語不在網(wǎng)絡(luò)上傳輸，而在網(wǎng)絡(luò)上傳輸?shù)腛TP口令是一次一變且絕不重復(fù)的，可以防止重放攻擊、詞典攻擊等常

3、用的攻擊手段，為對付竊聽者以及公開的登陸會話提供了強(qiáng)有力的保護(hù)。但是，基于OTP技術(shù)的身份認(rèn)證系統(tǒng)在實(shí)際實(shí)施和運(yùn)用中，仍然存在一些潛在的問題。 本文以S/KEY身份認(rèn)證系統(tǒng)為例，詳細(xì)討論了一次性口令身份認(rèn)證系統(tǒng)的原理和工作機(jī)制，分析了這種認(rèn)證系統(tǒng)的安全性，指出了其中的安全漏洞：(1)S/KEY身份認(rèn)證系統(tǒng)的協(xié)議部分實(shí)際是一個單向認(rèn)證協(xié)議，無法防止冒充攻擊； (2)在S/KEY身份認(rèn)證系統(tǒng)協(xié)議執(zhí)行過程中，服務(wù)器端發(fā)送的挑戰(zhàn)

4、信息及客戶端發(fā)送的OTP短語均以明文形式在網(wǎng)上傳輸，這就給黑客攻擊創(chuàng)造了條件；(3)S/KEY身份認(rèn)證系統(tǒng)不具有協(xié)商與交換會話密鑰的功能。 因此，本文給出了一種增強(qiáng)型OTP身份認(rèn)證系統(tǒng)——SOTPIA系統(tǒng)的設(shè)計方案。該系統(tǒng)將先進(jìn)的加密技術(shù)——IDEA算法、RSA算法及Diffie-Hellman密鑰交換協(xié)議與原一次性口令身份認(rèn)證系統(tǒng)——S/KEY身份認(rèn)證系統(tǒng)相結(jié)合，使其可以具有雙向身份鑒別、避免明文傳輸、擁有會話密鑰等特點(diǎn)，并有