基于脚本一次性口令系统的研究和实现.docVIP

基于脚本一次性口令系统的研究和实现 　　【 摘 要 】 一次性口令系统是为了避免网络窃听获得用户ID和密码而创新的一种技术。由于Web应用系统的广泛性，本文提出了使用脚本实现客户端的运算来完成整个认证过程。它的安全性高、容易实现，能实现对用户的身份认证，增强应用系统的安全性。 　　【 关键词 】 一次性口令；脚本；身份验证 　　1 引言 　　口令是计算机用户普遍使用的一种认证方式，被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证，即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷，如易猜测、易被窃取、若不加密，能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素，使用户每次登录系统时传送的口令都不一样。 　　GJ.Simmons在1984年提出了认证系统的信息理论，为认证系统的研究奠定了理论基础。认证理论有两个主要目标：一个是推导出欺骗者成功的概率降低；另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征：1）验证者正确识别合法用户的概率极大；2）攻击者伪装成合法用户骗取验证者新人的成功率极小；3）通过重放认证信息进行欺骗和伪装的成功率极小；4）秘密参数能够安全储存；5）第三方可信赖。 　　身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同，现有的身份认证技术都可以从三个方面研究：主体所掌握的秘密信息、主体所拥有的信物信息、主体本身具有独一无二的特征或能力。 　　目前，已有的身份认证系统有Kerberors认证系统、S/Key认证系统、智能卡认证系统、USBKey认证系统、指纹认证系统等。这些身份认证系统所采用的技术主要有几种。 　　静态口令。基于文本的用户名/密码方式是目前身份认证系统中应用最普通的认证技术。该技术的主要特点是操作简单、方便易用，并且也有一定的安全性，不便记忆和密码静态不变是这种认证方式的最大弊端。许多用户为了防止忘记密码，偏向于使用易被人联想到字符串作为密码，如名字拼音、电话号码、生日等。这在网络传输中很容易被窃听、截获及冒用。从安全性上来说，这种认证技术是极不安全的。 　　PKI认证技术。PKI认证的基础是公开密匙加密技术，能够保证传输信息的机密性、真实性、完整性、不可抵赖性，核心是证书的管理，理论是安全的。但PKI系统建设成本高，使用复杂，且存在证书保存的安全问题。 　　一次性口令。一次性口令OTP的基本原理是在登录过程中加入不确定因素，使每次登录过程中计算所得的密码都不一样。这是当前被认为是最安全的身份认证方式，在每次认证过程中，网络上传输的认证信息都是动态变化的，因此能有效地避免重放攻击，使静态密码在传输过程避免被窃取。但用户密码管理依旧是一次性口令无法忽视的问题，用户一旦不小心泄露了秘密通行短语，非法用户就可以伪装成合法用户的身份进行客户端登录。 　　生物识别技术。生物识别技术主要是通过可测量的身体或行为等特征进行身份认证的一种技术。生物特征是指唯一可以测量或可自动识别和验证的特征或行为方式。从理论上来说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，几乎不可能被仿冒。 　　相比于传统的身份认证方式，生物识别技术具有无法比拟的优点。生物识别技术使用方便，可不必再记忆和设置密码。其中指纹识别技术是目前发展最成熟的生物识别技术。正是由于生物特征的唯一性，不宜直接使用生物特征进行身份识别，因为一旦生物特征泄露，就会造成个人信息丢失的严重后果。而且，容易受到干扰是单一的生物特征在网络传输和匹配时最大的不足。 　　2 脚本语言的描述 　　脚本语言（Script Languages）是为了缩短传统的编写-编译-链接-运行过程而创建的计算机编程语言。早期的脚本语言经常被称为批量处理语言或工作控制语言。一个脚本通常是解释运行而非编译。虽然许多脚本语言都超越了计算机简单任务自动化的领域，成熟到可以编写精巧的程序，但仍然还是被称为脚本。几乎所有计算机系统的各个层次都有一种脚本语言。包括操作系统层，如计算机游戏、网络应用程序、字处理文档、网络软件等。在许多方面，高级编程语言和脚本语言之间互相交叉，二者之间没有明确的界限。一个脚本可以使得本来要用键盘进行的相互操作自动化。一个Shell脚本主要由原本需要在命令行输入的命令组成，或在一个文本编辑器中，用户可以使用脚本来把一些常用的操作组合成一组序列。很多脚本语言实际上已经超过简单的用户命令序列的指令，还可以编写更复杂的程序。 　　常见的有脚本语言有Java Script、VB Script、Perl、PHP、Python、Ruby、Lua。 　　脚本语言的特点是语法简单，一般以文本形式保