基于一次性口令的身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著全球信息化發(fā)展和Internet普及，計(jì)算機(jī)網(wǎng)絡(luò)安全逐漸成為人們關(guān)注的焦點(diǎn)問題。目前網(wǎng)絡(luò)通信主要提供五種安全服務(wù)，即身份認(rèn)證服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、完整性服務(wù)和抗否認(rèn)性服務(wù)。其中，身份認(rèn)證作為安全應(yīng)用系統(tǒng)的第一道防線，是最重要的安全服務(wù)，所有其它的安全服務(wù)都依賴于該服務(wù)，它的失敗可能導(dǎo)致整個(gè)系統(tǒng)的失敗。 身份認(rèn)證就是證實(shí)用戶真實(shí)身份與其所聲稱的身份是否相符，以防止非法用戶通過身份欺詐訪問系統(tǒng)資源的過程。常用的身份認(rèn)證

2、技術(shù)主要包括靜態(tài)口令、一次性口令、PKI數(shù)字證書和生物特征技術(shù)。根據(jù)國外應(yīng)用情況以及從我國的國情出發(fā)，一次性口令身份認(rèn)證技術(shù)與其它幾種技術(shù)比較起來，由于其安全性高、使用方便、管理簡單、成本便宜，具有廣泛的應(yīng)用前景。一次性口令就是在登錄過程中加入不確定因素，使每次登錄傳送的認(rèn)證信息都不相同，以提高登錄過程安全性。 安全可靠的身份認(rèn)證協(xié)議是認(rèn)證系統(tǒng)的核心。本文以身份認(rèn)證技術(shù)和認(rèn)證協(xié)議為研究重點(diǎn)，圍繞網(wǎng)絡(luò)環(huán)境下身份認(rèn)證系統(tǒng)的特點(diǎn)和面臨

3、的威脅進(jìn)行探討，闡述了基于挑戰(zhàn)—應(yīng)答機(jī)制產(chǎn)生一次性口令的認(rèn)證原理與實(shí)現(xiàn)過程，并對其安全性進(jìn)行分析。針對CHAP協(xié)議存在服務(wù)器欺騙、會(huì)話劫持等安全隱患，結(jié)合Differ-Hellman密鑰交換協(xié)議提出一個(gè)改進(jìn)方案。新方案將身份認(rèn)證和會(huì)話密鑰產(chǎn)生有機(jī)結(jié)合起來，支持通信雙方的雙向認(rèn)證，并在用戶和認(rèn)證服務(wù)器之間建立安全的保密信道，能夠積極有效地防范重放、網(wǎng)絡(luò)監(jiān)聽、破壞正常會(huì)話等網(wǎng)絡(luò)攻擊。 基于改進(jìn)的CHAP協(xié)議，本文設(shè)計(jì)了一個(gè)一次性口令

4、身份認(rèn)證系統(tǒng)，對網(wǎng)絡(luò)結(jié)構(gòu)、工作流程、密碼算法等進(jìn)行了詳細(xì)論述，并編程實(shí)現(xiàn)了認(rèn)證客戶端、認(rèn)證服務(wù)器端、系統(tǒng)管理程序和數(shù)據(jù)庫表等軟件模塊。系統(tǒng)采用客戶/服務(wù)器工作模式，主要由兩部分組成：認(rèn)證服務(wù)器和認(rèn)證客戶端。在一次認(rèn)證過程中，用戶在認(rèn)證客戶端輸入認(rèn)證口令信息，作必要的密碼處理之后，發(fā)送給身份認(rèn)證服務(wù)器。身份認(rèn)證服務(wù)器驗(yàn)證用戶認(rèn)證信息的真實(shí)性，合法用戶登錄成功后可以訪問系統(tǒng)資源。同時(shí)為了進(jìn)一步增強(qiáng)認(rèn)證系統(tǒng)的安全性，引入了用戶口令自主修改、增