B-S架構(gòu)下一次性口令身份認(rèn)證方案的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著全球信息化發(fā)展和Internet普及，計(jì)算機(jī)網(wǎng)絡(luò)安全逐漸成為人們關(guān)注的焦點(diǎn)問題。計(jì)算機(jī)網(wǎng)絡(luò)的開放性導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)中存在相當(dāng)多的安全漏洞和安全威脅，網(wǎng)絡(luò)中的各類資源很容易被人非法訪問和復(fù)制。因此，對網(wǎng)絡(luò)資源訪問者的合法身份進(jìn)行認(rèn)證就變得非常的重要，目前網(wǎng)絡(luò)通信主要提供五種安全服務(wù)，即身份認(rèn)證服務(wù)、訪問控制服務(wù)、機(jī)密性服務(wù)、完整性服務(wù)和抗否認(rèn)性服務(wù)。其中，身份認(rèn)證作為安全應(yīng)用系統(tǒng)的第一道防線，是最重要的安全服務(wù)，所有其它的安全服務(wù)都依賴

2、于該服務(wù)，它的失敗可能導(dǎo)致整個(gè)系統(tǒng)的失敗。因此，身份認(rèn)證技術(shù)已經(jīng)成為網(wǎng)絡(luò)系統(tǒng)安全中最重要的技術(shù)之一。 較為常用的身份認(rèn)證技術(shù)是基于靜態(tài)口令的身份認(rèn)證技術(shù)，該技術(shù)的特點(diǎn)是簡單、易用，在一定的安全程度上可以進(jìn)行有效的用戶身份認(rèn)證。但是，隨著網(wǎng)絡(luò)應(yīng)用的深入化和網(wǎng)絡(luò)攻擊手段的多樣化，靜態(tài)口令認(rèn)證技術(shù)由于其自身的安全缺陷己經(jīng)不再適應(yīng)于安全性要求較高的網(wǎng)絡(luò)應(yīng)用系統(tǒng)。靜態(tài)口令認(rèn)證技術(shù)面臨的主要網(wǎng)絡(luò)攻擊手段有:明文形式的口令在網(wǎng)絡(luò)上傳輸容易遭受

3、口令竊聽攻擊；加密形式的口令則容易遭受截取重放攻擊；其他攻擊手段還包括偽造主機(jī)攻擊、內(nèi)部人員攻擊、字典攻擊等等。 針對靜態(tài)口令認(rèn)證技術(shù)存在的安全缺陷，業(yè)界提出了一次性口令認(rèn)證技術(shù)(One-Time Password Authentication)，也稱為動態(tài)口令認(rèn)證技術(shù)。一次性口令認(rèn)證技術(shù)是在登陸過程中加入不確定因素，使每次的密碼都不相同，系統(tǒng)接收到登陸口令后，以同樣的算法做一次驗(yàn)算即可驗(yàn)證用戶的身份。一次性口令是一種無需第三方

4、如CA參與的，具有“一次一密”等優(yōu)點(diǎn)的認(rèn)證技術(shù)。它消除了靜態(tài)口令認(rèn)證技術(shù)的大部分安全缺陷，能有效抵抗靜態(tài)口令認(rèn)證技術(shù)所面臨的主要安全威脅和攻擊，為網(wǎng)絡(luò)應(yīng)用系統(tǒng)提供了更加安全可靠的用戶身份認(rèn)證保障。 本論文提出的適用于Web應(yīng)用的一次性口令登陸方案，采用了RSA，AES,MD5加密算法和運(yùn)用普通口令和圖片口令結(jié)合的雙口令技術(shù)及服務(wù)器標(biāo)識語(server identification)等設(shè)計(jì)出一種適用于B/S架構(gòu)的一次性口令身份認(rèn)證