在线建立会话密钥身份认证协议设计与实现.docVIP

在线建立会话密钥身份认证协议设计与实现 　　【 摘 要 】 挑战-应答身份认证协议由于安全性较高，用户端运算量较小成为中小型网络应用系统十分青睐的身份认证解决方案。本文在分析、改进挑战-应答经典协议的基础上，从易于实现、符合用户使用习惯的角度，提出一种新的挑战-应答协议，并对其进行了安全性分析，在B/S模式下实现了应用。这种协议具有高安全性的同时，结构简捷，易于实现，而且能够让通信双方在线建立会话密钥，对加密随后的通信具有重要意义。 　　【 关键词 】 网络安全；身份认证；挑战-应答协议；Chap协议 　　【 中图分类号 】 TP 309.2 【 文献标识码 】 A 　　Design and Implementation an Authentication Protocol online Establishing a Session Key 　　Wei Zong-xiu 　　（Office of the Tianjin Normal University Tianjin 300387） 　　【 Abstract 】 Challenge-response authentication protocol has higher security and its client has a smaller amount of calculation， so it is a very popular Identity authentication solution in small network application system. This paper puts forward a new challenge-response protocol whose security is analyzed and implemented the application. The protocol has high security， simple structure， easy to implement and can let both sides of communication online to establish a session key， so it has a vital significance to the subsequent communication encryption. 　　【 Keywords 】 network security； authentication； challenge-response protocol； chap protocol 　　1 引言 　　身份认证是网络信息系统安全的首要条件，一次性口令身份认证由于安全性较高，用户端运算量小和容易实现，受到中小型网络应用系统的青睐。相比较口令序列，时间同步，事件同步这几种典型的一次性口令身份认证，基于挑战-应答 （Challenge-Response） 机制的一次性口令协议，由于抗小数攻击能力强，同步性能好，客户端计算开销小，便于B/S模式实现身份认证系统，易于建立在线会话密钥，因此更加受到重视。 　　广义的挑战-应答认证协议是各类认证协议分析和设计的依据，对其相互认证的安全实现，来学嘉教授从理论上提出了充要条件；Chap协议作为挑战-应答协议的经典，得到了前沿学者的重视，实践上出现了很多研究成果。本文在综合研究的基础上，基于对称密钥和异或运算，设计出一款新的基于挑战-应答机制的一次性口令认证协议，对其进行了安全性分析，并在B/S模式下实现应用。该协议还让通信双方在线建立了动态会话密钥，运用此会话密钥对用户安全修改密码、安全信息发布具有重要的意义。 　　2 Chap协议概述 　　在协议的初始化阶段，用户A以安全的方式将口令递交给服务器S，服务器保存该用户的口令。 　　Chap协议的认证过程简单地概括如下：（1） S--A：CH；（2） A--S：A，H（s ||CH）； （3） S--A：ACK。 　　服务器向用户端发送随机数CH；用户端接收后，提示用户输入口令s，计算H（s||CH），然后将（A，H（s||CH））作为响应发送给服务器S；服务器S收到响应消息后，查找用户A的口令s，并计算H（s||CH），与接收到的数值进行比较，两者相等则给用户发送认证成功的回执ACK；否则，断开与用户的连接。 　　认证成功后，服务器随时重复步骤（1）―（3），以便在通信过程中验证用户身份的合法性。 　　3 Chap改进协议 　　Chap存在着明文存储密码，服务器欺骗，插入信道攻击等安全缺陷，该协议的详细分析见参考文献[3]。学者们相继对Chap协议提出了改进方案，如任传伦等在2002年提出了Chap协议的改进方案IChap协议，刘阳等在2005年提出Chap改进