第4章平台方案设计.doc

PAGE \* MERGEFORMAT 摘要 密级： 保密期限： 硕士学位论文 题目： 基于OAUTH协议的动态口令 认证平台设计与实现 学 号： 2011111081 姓 名： 吴世梁 专 业： 电子科学与技术 导 师： 刘杰 学 院： 电子工程学院 2014年 1 月 6 日北京邮电大学硕士学位论文 摘要 独创性（或创新性）声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： 日期： 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。（保密的学位论文在解密后遵守此规定） 保密论文注释：本学位论文属于保密在 年解密后适用本授权书。非保密论文注释：本学位论文不属于保密范围，适用本授权书。 本人签名： 日期： 导师签名： 日期： PAGE \* MERGEFORMAT68 PAGE \* MERGEFORMAT69 基于OAUTH协议的动态口令认证平台的设计与实现 摘 要 随着互联网发展，其开放性已成必然趋势，互联网大公司纷纷推出各自开放平台。开放平台将服务包装成统一接口，并且接口对第三方是开放的。第三方可以开发基于开放平台接口的各种应用程序。在此过程中，用户、第三方与开放平台间的信任机制主要采用OAUTH授权方式。OAUTH协议的优势在于第三方可以使用目标网站的用户资源，而无需知道目标网站用户账号和密码，所以其得到各大互联网厂商青睐，获得广泛地应用。而对于OAUTH协议来说，是一种授权协议而不是认证协议，所以OAUTH协议的安全问题也随着它的广泛使用而暴露出来。无论是OAUTH2.0还是OAUTH1.0，安全问题将阻碍其发展。 在对OAUTH协议、身份认证技术、动态口令技术深入研究的基础上，首先，对OATUH协议进行BAN逻辑的形式化分析以及就OAUTH2.0四种授权模式展开具体分析，获取安全问题的根源所在；其次，结合动态口令、应用广播、日志记录等相关技术和理论对OAUTH协议中涉及的安全问题进行尝试性弥补；再者，将前文的研究成果以平台形式来展示，对平台中涉及的相关模块进行设计，如动态口令实现、OAUTH授权实现、REST WEB服务等，具体包括比较不同身份认证技术和不同口令认证技术的优劣、选取合适的健全的认证方式、设计口令生成算法、设计口令认证基础流程、设计access token与authorization code等；最后，本文将前文设计的平台进行JAVA编程实现，完成一个安全可靠、开放并具有强扩展能力的平台。 基于OAUTH协议的动态口令平台，一方面可以提供健全的身份认证，以满足安全性需求；另一个方面可以实现用户资料的共享，提高网络资源的利用率，降低平台开发维护用户管理系统成本，也省去用户注册账号的环节。并且改进OAUTH协议，加入动态认证，从而避免攻击者利用XSS、CSRF等挟持用户账号，进而对用户进行统一的身份认证和权限管理。 关键词：OAUTH, REST, 动态口令， BAN逻辑 The Design and Implementation of Dynamic password Platform Based on OAUTH protocol ABSTRACT With the development of Internet, its openness will be more necessary and large Internet companies introduce their open platform. Open platform will package the service into a unified interface