基于时间的一次性口令认证的原理与实现

基于时间的一次性口令认证的原理与实现

索望[1]2005年在《一次性口令身份认证方案的设计与实现》文中研究说明计算机网络是一个开放的系统。但由于其开放性导致计算机网络中存在相当多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和复制。因此,对网络资源访问者的合法身份进行认证就变得非常的重要,身份认证技术已经成为网络系统安全中最重要的技术之一。 较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证。但是,随着网络应用的深入化和网络攻击手段的多样化,静态口令认证技术由于其自身的安全缺陷已经不再适应于安全性要求较高的网络应用系统。静态口令认证技术面临的主要网络攻击手段有:明文形式的口令在网络上传输容易遭受口令窃听攻击;加密形式的口令则容易遭受截取/重放攻击;其他攻击手段还包括伪造主机攻击、内部人员攻击、字典攻击等等。 针对静态口令认证技术存在的安全缺陷,业界提出了一次性口令认证技术(One-Time Password Authentication),也称为动态口令认证技术。一次性口令认证技术是指用于认证用户合法身份的口令是一次性的,即每个口令都只是使用一次,每次认证都是使用不同的口令。这里所指的口令并不是用户口令,而是由用户口令和其他不确定因子计算所得的认证口令。一次性口令认证技术消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。 本文首先对一次性口令认证技术的基本原理、实现方式和安全性进行了深入的分析。在此基础上,对两个典型的一次性口令认证方案—S/KEY口令序列认证方案和SAS-2认证方案进行了详细地描述和深入地研究。通过研究这些认证方案的工作过程,分析了这些认证方案以及其改进方案的安全性,并指出其中所存在的部分安全缺陷。在综合上述一次性口令认证方案及改进方案的基础上,本文提出了一种新型的一次性口令认证方案—NOTP认证方案(New One-Time Password Authentication Scheme),并实现了基于此方案的新型一次性口令认证系统—NOTP认证系统。NOTP认证方案具有认证步骤简单、执行性能优异、无需重新初始化、用户可任意修改口令等特点。同时,NOTP认证方案还增强了抵御各种

钱学洪[2]2011年在《基于动态口令的网上银行安全认证研究》文中认为网络时代为人们开辟了一个新天地。在这个新天地中,越来越多的传统领域通过网络给人们带来了极大的便利,同时也提出了新的课题和挑战,其中之一就是如何在网络电子商务中实现现实交易的种种固有特性,包括机密性、隐私保护、身份认证和不可抵赖性。网络银行的安全问题日益引起人们关注。目前,静态口令是一种广泛采用的客户端身份认证方式。然而,它很容易通过在客户端进行系统侦听和网络嗅探来窃取。对此,银行必须通过强化身份认证机制设计将安全保护延伸到每个用户的桌面上,通过在用户登录过程中加入服务器的主动参与来强化身份认证。一次性口令(OTP)正是这样一种针对静态口令弱点而提出的身份认证方案。OTP技术通过在用户登录过程中加入不确定因素来提高口令在传输过程中的安全性。自出现以来,它已成为网上电子交易普遍采用的身份认证模式。然而,已证明:仅将OTP应用于身份认证过程而不将其与交易过程相结合容易遭受中间人(MITM)攻击。为此,很多机构都直接求助于公钥体系(PKI)。然而,PKI有其自身的弱点,如体系复杂、技术门槛高、代价高昂、技术标准不统一等。本文对现有OTP技术的优缺点进行分析讨论后,提出一种方案,利用OTP将认证和交易过程进行无缝对接,将认证结果作为交易的初始化数据,从而将OTP技术延伸到交易过程中。本文建立一套基于MD5算法的运行于B/S架构下的动态口令身份认证系统,系统由OTP认证服务器模块和负责动态口令生成的客户端程序组成。Web服务器用于与客户端程序通信,认证服务器负责生成挑战数,生成动态口令并验证用户身份。验证完用户身份后,服务器将会在每次交易前发给用户一个基于OTP的用于和口令相结合加密数据流的一次性随机数。该方案可以抗击重放攻击、中间人攻击,设计过程中也应用了加解密算法和哈希函数,保持了较高安全性而克服了部署PKI所面临的复杂局面。

康丽军[3]2002年在《基于时间的一次性口令认证的原理与实现》文中研究说明本论文从网络安全体系结构分析入手,以信息加密技术为基础,对网络应用层的身份认证技术,特别是一次性口令认证(OTP)技术进行了深入研究。本系统采用JAVA设计了WEB用户一次性口令认证系统,用于远程登录的身份认证。对原有OTP方案进行了改进,在生成一次性口令因子中增加了系统随机数及系统时间,并在系统实现时使用服务器的公钥/私钥对由RSA算法加密和解密每个用户的通行密语,有效地阻止攻击者进行口令窃取和字典攻击。 在设计中涉及的概念主要有身份认证机制,加密算法,MD5报文摘要函数等,技术内容广泛而新颖,既具有较强的理论性,又有较广的实用性。系统功能强大、使用简洁、易于移植,稍加改动就可以广泛地应用于任何需要认证的场所。

刘文军[4]2007年在《基于挑战/应答的动态口令身份认证系统研究》文中研究表明随着计算机网络的快速发展,计算机网络的安全问题也变得越来越重要。身份认证是网络安全技术的一个重要组成部分,它限制非法用户访问网络资源。较常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证。但是,随着网络应用的深入化和网络攻击手段的多样化,静态口令认证技术由于其自身的安全缺陷已不再适应安全性要求较高的网络应用系统。针对静态口令认证技术存在的安全缺陷,业界提出了一次性口令认证技术(One-Time Password Authentication),也称为动态口令认证技术。动态口令认证就是在登录过程中加入不确定因素,使每次登录时传送的认证信息都不相同,以提高登录过程安全性。动态口令认证技术消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。本文首先对身份认证技术和文中所涉及的密码学基础作了介绍,并围绕网络环境下身份认证系统的特点和面临的威胁进行探讨,阐述了基于挑战/应答机制产生动态口令的认证原理与实现过程,并对其安全性进行分析。针对CHAP协议存在服务器欺骗、会话劫持等安全隐患,提出一个改进方案。新方案将身份认证和会话密钥有机结合起来,支持通信双方的双向认证,并在用户和认证服务器之间建立安全的保密信道,能够积极有效地防范重放、网络监听、破坏正常会话等网络攻击。同时对服务器端的信息也采用公钥加密后保存的形式,以防止信息泄露。最后详细设计并实现了本论文所提出的动态口令身份认证方案。

罗婵[5]2007年在《基于事件的一次性口令系统的研究与实现》文中进行了进一步梳理本文首先分析了当前各种主流身份认证机制,分别对它们的安全性和应用范围进行了分析,然后对一次性口令认证机制的四种模式进行了深入研究,分析了它们的安全性和实用性,最后针对秘密通行短语容易遭受离线字典攻击的缺陷提出了改进的基于事件的一次性口令系统,包括一次性口令生成算法和认证协议。本文提出的一次性口令生成算法不依赖于用户的秘密通行短语,而是利用令牌序列号的转换值作为令牌密钥,对计数器值进行对称密钥加密来产生一次性口令。并且针对现有硬件令牌的缺陷设计了成本低,寿命长的硬件令牌。改进的一次性口令认证协议采用双因子身份认证,利用计数器来实现同步,能够有效防止窃听、重放、口令猜测和小数攻击。服务器端存入令牌序列号,而不存令牌密钥,需要时利用系统密钥对令牌序列号进行加密来产生令牌密钥,这样服务器端只需保管好系统密钥而不需保管所有的令牌密钥,使得密钥管理非常容易。改进的基于事件的一次性口令系统不需要在客户端安装软件、成本低且易于部署,适合于对现有使用静态口令认证的应用系统的改造,也可用于改造其它的认证系统。

谢寒冰[6]2009年在《基于双向认证的一次性口令认证系统的研究与设计》文中提出随着计算机网络应用的日益深入,网络安全问题已成为不可忽视的一个问题,而事实上各种利用网络进行的违法行为也日益呈现上升趋势。网络的安全访问控制越来越重要,身份认证作为网络应用系统的首要屏障,目的是验证用户的真实身份,防止非法用户窃取敏感数据。口令认证是最常用的身份认证方式,而一次性口令由于其较高的安全性受到人们的普遍关注。本文论述了一次性口令的原理及实现方式,通过分析传统的一次性口令认证技术S/KEY和现有的一些结合密码算法的改进方案,总结出现有的认证方案中存在的一些不足,并结合对称加密算法DES和公钥密码算法RSA,设计了一种能够实现双向认证的一次性口令改进方案。文中对新方案原理做了详细的描述,对其系统的具体设计实现做了说明,并采用C/S模式对方案进行了编程实现,对B/S模式的实现做了设计和说明。新方案中采用RSA加密技术实现服务器和客户端的双向认证,采用客户端和服务器端都存储两个随机数来作为挑战信息,共享一个校验用随机数T及步长step以防止第叁方破坏性攻击,采用DES加密技术实现认证后的一些附加功能,认证过程中实现了通信双方会话密钥K的传递,认证双方在通过身份认证以后,可以采用此会话密钥来加密用户在网络上传输的信息,从而保证了认证的连续性。整个系统具有简单灵活,实现成本低,安全性高等特点。

安宁[7]2015年在《HMAC口令认证技术在路政管理信息化》文中研究指明随着信息时代的到来,网络技术已经广泛涉及到各行各业之中,各种信息系统已成为国家基础设施。但是紧随信息系统的应用而带来的安全问题也日益突出,如何确保信息数据的安全传输和存储已成为信息安全领域的研究热点之一。论文以高速公路路政管理信息系统为背景,提出了基于混沌密码学的一次性口令认证方案作为身份认证方法,其安全性能大大高于了传统的用户名/口令认证方式。论文在分析研究高速公路路政管理信息系统的安全机制的基础上,针对其网络现状面临的威胁和风险,提出了对系统身份认证的改进方案。通过比较分析当前身份认证技术几大类方法优劣状况,论文选择了应用广泛且实现简单的一次性口令认证方法作为身份认证模式。采用的Soft Token生成方式避免了基于挑战/应答模式的一次性口令带来的固有缺陷,减少了额外开销。针对高速公路路政管理信息系统的数据保密要求的级别高度,在实现一次性口令认证的核心加密算法时,采用了当前密码学界的研究热门——混沌hash函数加密算法作为一次性口令认证的核心加密算法。构造加密算法时,从统计性能和抗攻击性能等几个角度对算法进行分析和修改,使得算法的安全性能达到最理想状态。实验结果表明,基于混沌系统的HMAC加密算法的一次性口令认证方式既能够防止重放攻击、冒充攻击,该加密算法也很好地达到了数据加密的各项性能要求,能够抵抗现有的暴力攻击、统计分析攻击等;整个身份认证机制满足了路政管理系统需求的安全高度,且具有广阔的研究前景。

陈恳[8]2005年在《基于ECC的一次性口令身份认证方案设计与实现》文中指出随着计算机网络的发展和网络应用的普及,网络安全日益受到人们的重视。身份认证是网络安全中非常重要的方面,它是网络应用系统中的第一道防线,是安全的网络系统的门户。“一次性口令(One-Time Password OTP)”认证技术是一种不需要第叁方参与的身份认证技术。一次性口令认证系统采用“一次一密”的方法能够有效地防止口令监听和传输泄露。 本文首先对论文中所涉及的密码技术作了介绍,重点讨论了椭圆曲线加密算法和几种常见的身份认证技术。然后分析了一次性口令认证技术,并指出其存在的不能抵御小数攻击和不能进行双向身份认证等缺点。基于椭圆曲线密码体制,提出了一种改进的一次性口令身份认证方案。在改进方案中,根据一次性口令认证的特点,利用椭圆曲线密码算法对通信时的挑战信息进行加密,同时对服务器端保存的信息也采用公钥加密后保存的形式,以防止信息泄露。由此实现了双向的身份验证,同时保证了服务器和用户的安全,可以有效的防止冒充攻击、重放攻击、小数攻击。而且在认证过程中,加入了用于会话的对称密钥k,认证双方在通过相互的身份认证以后,可以用此对称密钥来加密用户在网络上传输的信息。最后详细设计实现了本论文所提出的一次性口令身份认证方案。

邱鹏飞[9]2008年在《B/S架构下一次性口令身份认证方案的设计与实现》文中提出随着全球信息化发展和Internet普及,计算机网络安全逐渐成为人们关注的焦点问题。计算机网络的开放性导致计算机网络中存在相当多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和复制。因此,对网络资源访问者的合法身份进行认证就变得非常的重要,目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败。因此,身份认证技术已经成为网络系统安全中最重要的技术之一。较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证。但是,随着网络应用的深入化和网络攻击手段的多样化,静态口令认证技术由于其自身的安全缺陷己经不再适应于安全性要求较高的网络应用系统。静态口令认证技术面临的主要网络攻击手段有:明文形式的口令在网络上传输容易遭受口令窃听攻击;加密形式的口令则容易遭受截取/重放攻击;其他攻击手段还包括伪造主机攻击、内部人员攻击、字典攻击等等。针对静态口令认证技术存在的安全缺陷,业界提出了一次性口令认证技术(One-Time Password Authentication),也称为动态口令认证技术。一次性口令认证技术是在登陆过程中加入不确定因素,使每次的密码都不相同,系统接收到登陆口令后,以同样的算法做一次验算即可验证用户的身份。一次性口令是一种无需第叁方如CA参与的,具有“一次一密”等优点的认证技术。它消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。本论文提出的适用于Web应用的一次性口令登陆方案,采用了RSA,AES,MD5加密算法和运用普通口令和图片口令结合的双口令技术及服务器标识语(server identification)等设计出一种适用于B/S架构的一次性口令身份认证系统方案。该方案实现了双向认证,具有效率高,安全可靠,认证原理灵活等特点。

李坤[10]2008年在《一种基于多种身份认证方式单点登录系统的实现》文中研究指明随着互联网web应用的发展,企业内部的应用系统也大量增加,单点登录技术(Single Sign On)将多个不同应用服务的身份认证和登录系统进行集中管理,对于简化网络用户登录多个应用、提高网络安全性有非常现实的意义。本文在分析了国内、外各种单点登录系统的实现模型及其优缺点的基础上,提出了一种基于多种认证方式的单点登录系统模型,该系统模型采用认证中心统一信息库存储用户认证信息,可以支持用户名/口令认证,一次性口令认证,CHAP认证叁种认证方式;采用了基于时间戳的数字签名技术,结合非对称性加密,有效地防止了非法用户对数据的伪造和篡改,实现了用户、认证服务器、应用服务器叁者间信息的安全传递。通过理论分析和实验验证该系统具有良好的可部署性、扩展性和安全性。论文的主要工作如下:1.对现有的单点登录系统的设计模型进行了概述并分析了它们的优缺点。2.提出并实现了一种基于多种认证方式的单点登录系统,给出了该系统的整体模型和实现流程。3.详细给出了认证服务器、应用服务器中实现认证的接口,重点分析和设计了认证过程中认证服务器、应用服务器和用户的信息传输互动过程。4.对实现的单点登录系统进行了安全性能分析,并指出了该系统的优缺点以及今后的研究方向。

参考文献:

[1]. 一次性口令身份认证方案的设计与实现[D]. 索望. 四川大学. 2005

[2]. 基于动态口令的网上银行安全认证研究[D]. 钱学洪. 电子科技大学. 2011

[3]. 基于时间的一次性口令认证的原理与实现[D]. 康丽军. 太原理工大学. 2002

[4]. 基于挑战/应答的动态口令身份认证系统研究[D]. 刘文军. 北京化工大学. 2007

[5]. 基于事件的一次性口令系统的研究与实现[D]. 罗婵. 西安建筑科技大学. 2007

[6]. 基于双向认证的一次性口令认证系统的研究与设计[D]. 谢寒冰. 西南交通大学. 2009

[7]. HMAC口令认证技术在路政管理信息化[D]. 安宁. 电子科技大学. 2015

[8]. 基于ECC的一次性口令身份认证方案设计与实现[D]. 陈恳. 西南交通大学. 2005

[9]. B/S架构下一次性口令身份认证方案的设计与实现[D]. 邱鹏飞. 太原理工大学. 2008

[10]. 一种基于多种身份认证方式单点登录系统的实现[D]. 李坤. 西安电子科技大学. 2008

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于时间的一次性口令认证的原理与实现
下载Doc文档

猜你喜欢