一次性密码验证系统.pdfVIP

维普资讯 第29卷 第2期 物探化探计算技术 2007年3月 文章编号：10o1—1749(2007)O2—O177—o5 一 次性密码验证系统 王 曦，史闻博，苗 放 (成都理工大学 信息工程学院，成都 610059) 摘 要：简单介绍一次性密码系统机理，并与现有密码机制进行比较。一次性密码体现 出诸多 优势，其算法设计灵活、复杂度适中、计算量较小且安全性较高，这里给出了应用该算法设计的登 陆系统的实现和工作原理。实践应用证明，该算法的登陆系统应用灵活性强，系统资源消耗小， 这均表明该算法的高性能及高-*fh~性。 关键词：OPA(One—timePasswordAlgorithms)；一次性密码系统；PAM；安全；攻击 中图分类号：TP393．08 文献标识码 ：A 码 (One—timePassword)o[1,11]作者在文中提出了 0 前言 一 种算法灵活、复杂度适中、计算量较小，且有较高 安全性的一次性密码算法设计。 随着社会信息化程度的提高，信息作为与人们 的切身利益息息相关的产业，其安全性正 日益受到 1 系统简介 关注。为验证用户身份和确保计算机资源被安全 合理地使用，密码认证技术、Ic卡技术、数字证书、 在传统的密码认证模式中，每个用户有 自己的 指纹识别认证技术、虹膜识别技术等科学的认证技 用户名和密码，如果用户想登陆一个远程的服务器 术被广泛应用。虽然数字证书、指纹识别、虹膜识 并获取服务，用户必须发送 自己的用户名和密码给 别技术都具有最大限度的安全性和唯一性，但是相 服务器。一个最简单的认证方法是保存和维护一 个用户名和密码对应的数据表在服务器上。当用 对系统使用的终端物理设备十分昂贵，对于当前的 户认证登陆时，服务器在收到用户的用户名和密码 社会经济现状，就显得不太适合。而密码认证作为 后，查询这个数据表，然后验证密码的正确性，一旦 最简单而且最方便的认证方式之一 ，它给合法用户 与数据表中的数据相符，则该用户就获得了访问服 使用远程服务器的资源提供了机会。但在当今这 务器的权利。但是如果密码在服务器上保存成明 样一个不安全的网络环境下，传输的数据总是对攻 文，就很容易被攻击者盗取，然后攻击者就可以假 击者开放的。而且静态密码认证技术中，用户反复 冒合法用户登陆。这是所谓的 “盗取攻击”；或者 使用登陆数据进行登陆是再所难免的，这就给了攻 攻击者在用户发送数据的时候截获用户名和密码 ， 击者造成攻击的机会。攻击者可以对用户的密码 稍后再用这个截获的数据进行登陆，这个是 “重放 数据进行截获后冒充合法用户使用资源；且静态密 攻击”。 码认证技术中密码较容易被攻击者破译。为防止 为了防治密码数据被盗取，密码数据通常被哈 类似的攻击发生，许多现代安全措施被应用于密码 希或者加密保存在计算机中。但