一次性口令身份認證技術的研究和實現(xiàn).pdf

1、在開放式的網絡環(huán)境中，身份認證指的是用戶身份的確認技術，它是網絡安全的一道重要防線。無疑，口令是最簡單也是最常用的一種身份認證方法。但通常使用的靜態(tài)口令有許多固有的弱點：在分布式網絡系統(tǒng)中，如不加密，可以被清晰地看到明文；即使加密，也易受重放攻擊、差分密碼分析等其他攻擊手段的影響，從而給系統(tǒng)的安全性埋下隱患。 20世紀80年代初，針對靜態(tài)口令認證的缺陷，美國科學家LeslieLamport首次提出了利用散列函數(shù)產生一次性口令(O

2、ne-TimePasswordSystem，簡稱OTP)的思想。OTP的基本原理是在登陸過程中加入不確定因素，即每次登錄過程中計算所得的密碼都不相同，系統(tǒng)接收到口令后，以同樣的算法作一個驗算即可驗證用戶的身份。OTP是一種摘要認證，它采用單向迭代雜湊函數(shù)來計算用戶的密碼。在基于OTP的身份認證技術中，客戶端用戶用以產生OTP口令的秘密通行短語不在網絡上傳輸，而在網絡上傳輸?shù)腛TP口令是一次一變且絕不重復的，可以防止重放攻擊、詞典攻擊等常

3、用的攻擊手段，為對付竊聽者以及公開的登陸會話提供了強有力的保護。但是，基于OTP技術的身份認證系統(tǒng)在實際實施和運用中，仍然存在一些潛在的問題。 本文以S/KEY身份認證系統(tǒng)為例，詳細討論了一次性口令身份認證系統(tǒng)的原理和工作機制，分析了這種認證系統(tǒng)的安全性，指出了其中的安全漏洞：(1)S/KEY身份認證系統(tǒng)的協(xié)議部分實際是一個單向認證協(xié)議，無法防止冒充攻擊； (2)在S/KEY身份認證系統(tǒng)協(xié)議執(zhí)行過程中，服務器端發(fā)送的挑戰(zhàn)

4、信息及客戶端發(fā)送的OTP短語均以明文形式在網上傳輸，這就給黑客攻擊創(chuàng)造了條件；(3)S/KEY身份認證系統(tǒng)不具有協(xié)商與交換會話密鑰的功能。 因此，本文給出了一種增強型OTP身份認證系統(tǒng)——SOTPIA系統(tǒng)的設計方案。該系統(tǒng)將先進的加密技術——IDEA算法、RSA算法及Diffie-Hellman密鑰交換協(xié)議與原一次性口令身份認證系統(tǒng)——S/KEY身份認證系統(tǒng)相結合，使其可以具有雙向身份鑒別、避免明文傳輸、擁有會話密鑰等特點，并有