B_S模式下一次性口令身份认证方案的设计与分析.pdfVIP

2008年第9期 计算机系统应用 B／S模式下一次性口令身份认证方案的 设计与分析① and Authentication ofanOne——timePassword DesignAnalysis SchemeunderB／SPattern 王庆生邱鹏飞(太原理工大学计算机与软件学院山西太原030024) i· 具有效率高，安全可靠，认证原理灵活等特点。 关键词：身份认证一次性口令加密算法图片口令服务器标识 1 引言 2 口令安全设置和口令易记性难题 身份认证中最常用的技术是口令认证技术，两目 口令的安全性(或保密性)和可记忆性一直是人 前普遍采用的口令认证技术是静态口令认证技术。 们最关心的问题，也是需要解决的十五个典型的信息 静态口令技术的特点是简单、易用并且也具备一定 安全问题之一。在一个网络系统中，每个网络服务或 的安全性，但随着网络应用的复杂化、攻击手段的多 系统都要求不同的认证方式，用户需要记忆多个口令， 样化，静态口令技术的安全缺陷也越来越明显，已经 据估算，用户平均至少需要四个口令，特别是系统管理 不再适用于安全性要求较高的网络应用系统。针对 员，需要记住的口令就更多，例如开机口令、系统进入 1：3令、FTPIZI令、路 静态1：3令技术的安全缺陷而提出的一次性1：3令认证 口令、数据库口令、邮件口令、Telnet 技术fOTPonetimepassword)：在登录过程中加入不由器口令、交换机口令等。按照安全原则，口令设置既 确定因素，使用户每次登录系统时传送的口令都不 要求复杂，而且口令长度要足够长，但是IZI令复杂则记 同，以提高系统的安全性。得到该技术得到了迅速 不住，因此，用户选择El令只好用简单的、重复使用的 地发展。但是，目前现有的一次性口令认证方案并 口令，以便于保管，这样一来攻击者只要猜测到某个用 不是十分完善，各种方案在执行性能和安全性上都 户的口令，就极有可能引发系列口令泄露事件。 存在着缺陷，并且大部分都是基于C／S应用而提出 的。因此随着Web应用层次的不断深入(如：电子商3 B／S架构下一次性1：3令设计难点分析 务，网上银行，网上购物的发展和普及应用)，设计更 3．1设计难点分析 ’ 加完善的适用于Web系统的一次性口令认证方案并 基于B／S的一次性口令系统比起传统的基于C／S 实现相应的认证系统，让一次性1：3令认证技术为更 的一次性口令系统技术有如下难点： 多的网络系统提供更加安全可靠的身份认证。这对 (1)实现上：Http协议是一种无连接、无状态协议， Intemet网络应用的发展有着重大的意义和积极的推 它是通过用户请求／服务器响应得方式工作的，基本上 动作用。 客户的请求都是经过服务器计算处理完成然后发送给 用户的，客户端的浏览器，基本上只是做一个交互界面 ①山西省基金编号：2008011028—1 万方数据 计算机系统应用 2008年第9期 的显示及提供一些表单的提交，无法在本地完成一些