基于脚本一次性口令系统探究与实现.docVIP

基于脚本一次性口令系统探究与实现 　　【 摘 要 】 一次性口令系统是为了避免网络窃听获得用户ID和密码而创新的一种技术。由于Web应用系统的广泛性，本文提出了使用脚本实现客户端的运算来完成整个认证过程。它的安全性高、容易实现，能实现对用户的身份认证，增强应用系统的安全性。 【 关键词 】 一次性口令；脚本；身份验证 1 引言 口令是计算机用户普遍使用的一种认证方式，被普遍应用于Web系统中。一般的认证体系是使用静态口令进行用户身份验证，即用户网上传输的是重复使用同一个口令登录到系统中。但这种方法还存在许多缺陷，如易猜测、易被窃取、若不加密，能清楚地被看到明文。一次性口令验证方案就是在登录过程中加入不确定因素，使用户每次登录系统时传送的口令都不一样。 GJ.Simmons在1984年提出了认证系统的信息理论，为认证系统的研究奠定了理论基础。认证理论有两个主要目标：一个是推导出欺骗者成功的概率降低；另一个是构造欺骗者成功概率尽可能最小的认证码。一个安全的身份认证系统一般必备几个特征：1）验证者正确识别合法用户的概率极大；2）攻击者伪装成合法用户骗取验证者新人的成功率极小；3）通过重放认证信息进行欺骗和伪装的成功率极小；4）秘密参数能够安全储存；5）第三方可信赖。 身份认证的核心在于主体身份的验证。根据被认证方证明自己身份的不同，现有的身份认证技术都可以从