基于OTP的移動商務身份認證協(xié)議研究.pdf

1、隨著移動商務的普及和應用,移動商務的安全性己成為人們關注的焦點。身份認證是第一道的安全屏障,通信安全總是始于身份認證的握手過程?；诿艽a技術的認證協(xié)議是實現(xiàn)身份認證最安全的方式,因此,移動商務的身份認證協(xié)議是保證移動商務安全通信的必要條件。
　　 國內(nèi)移動商務的身份認證主要采用基于用戶名/口令的靜態(tài)口令認證機制,這種認證方式易于實現(xiàn)且操作簡單,但其安全性僅依賴于用戶口令的保密性。一次性口令(One-Time Password,簡

2、稱OTP)認證機制可以實現(xiàn)一次一密,具備較高的安全性,同時,其實現(xiàn)簡單、成本低、無需第三方公證,十分適合于受限的移動商務環(huán)境,但其難以抵御小數(shù)攻擊以及沒有實現(xiàn)雙向認證。OTP認證機制的安全隱患主要在于生成一次性口令的隨機數(shù)以及認證信息都以明文方式傳送,因此,可以采取密碼體制對隨機數(shù)及認證信息進行加密。公鑰密碼體制具備較高的安全強度,橢圓曲線密碼體制(Elliptic Curve Cryptosystem,簡稱ECC)是現(xiàn)有公鑰密碼體制中

3、運算效率、安全性最高且無須第三方的體制,存儲空間小、帶寬要求低、計算量小和處理速度快的特點使其十分適合于移動商務的認證環(huán)境。
　　 本文結合OTP認證機制和ECC,提出基于OTP的移動商務身份認證協(xié)議MCIA(Mobile Commerce Identity Authentication,簡稱MCIA),MCIA協(xié)議能夠?qū)崿F(xiàn)雙向認證和密鑰協(xié)商,同時可以抵御小數(shù)攻擊和中間人攻擊。
　　 形式化分析方法是分析認證協(xié)議安全性的

4、有效方法,串空間方法是形式化分析方法中最為直觀、簡潔、嚴格和有效的方法。本文通過基于串空間的認證測試方法證明MCIA協(xié)議能夠滿足數(shù)據(jù)保密性、身份認證及數(shù)據(jù)認證的安全目標。
　　 為了驗證MCIA協(xié)議在真實移動環(huán)境中的運行效率和性能,本文利用仿真軟件Opnet建立MCIA協(xié)議的仿真模型,從認證時間、時延、信道利用率和吞吐量等統(tǒng)計變量分析MCIA協(xié)議性能,并與靜態(tài)口令認證機制EasyUID和基于挑戰(zhàn)/應答的OTP認證機制進行仿真比較