动态口令双因素认证及其应用.docVIP

word. . 动态口令双因素认证及其应用 李兰燕 毛雪石来源：?计算机时代?2022年第04期 ????????摘要：身份认证是信息平安技术领域的一个重要局部，文章阐述了身份认证的主要因素和动态口令双因素认证的机制，并详细分析了动态密码双因素认证技术在各种信息系统中的应用。 ????????关键词：双因素认证；动态口令；一次性口令；信息平安技术 ???????? ????????0　引言 ???????? ????????目前最普遍采用的身份认证机制是结合用户ID和密码的身份认证方案，它已经被广泛的应用于各种网络和系统中。用户的密码过于简单或容易被猜中，用户使用密码存在不良习惯，都可能造成密码的失窃。许多企事业单位开始意识到密码已经不能满足他们对关键信息资源保护的需求，开始着手实施更可靠的身份认证方案来保护他们的信息资源。目前主要采用的强认证方案是动态口令双因素认证方案。 ???????? ????????1　双因素身份认证 ???????? ????????在信息平安领域，对共享信息资源保护的第一步就是实施一种用户身份认证效劳。通常这—效劳基于指定的用户ID，系统或者网络通过某种方式识别出使用者，这个过程就是身份认证(Authentication)。身份认证是最重要的平安效劳，也是其他平安控制的根底，比方访问控制机制基于用户ID来分配信息资源，日志记录机制基于用户ID控制用户的访问和使用信息〞。 ????????身份认证过程是基于“某种信息片段〞如密码、指纹等进行的，这些信息片段被称为认证因素(Authentication factor)。认证因素通常可以分为以下三类： ????????第一类因素是指“你所具备的特征(something you are)〞，通常是使用者本身拥有的惟一生物特征，例如指纹、瞳孔、声音等。 ????????第二类因素是指“你所知道的事物(something you know)〞，通常是需要使用者记忆的身份认证内容，例如密码和身份证号码等。 ????????第三类因素是指“你所拥有的事物(Something you have)〞，通常是使用者拥有的特殊认证加强机制，例如动态密码卡，IC卡，磁卡等。 ????????采用以上三类因素中任意两类因素的身份认证称为双因素认证(Two-factor authentication)。双因素认证并不是新鲜事物，在日常生活中我们经常用到，例如我们通过银行ATM机提款的身份认证就是双因素认证，插入的银行卡是“你所拥有的〞因素，输入的密码是“你所知道的〞因素。 ????????单独来看，这三个要素中的任何一个都有问题。“所拥有的物品〞可以被盗走；“所知道的内容〞可以被猜出、被分享，复杂的内容可能会忘记；“所具备的特征〞最为强大，但是代价昂贵且拥有者本身易受攻击，一般用在顶级平安需求中。 ????????双因素身份认证机制，通常是在静态密码的根底上，增加一个物理因素，构成一个他人无法复制和识破的平安密码。最常见的物理因素有：生物特征和智能卡。生物特征因技术及设备的复杂性而只在某些特殊的领域中使用。静态密码加智能卡是目前应用最广泛的双因素身份认证机制，又称为动态口令认证机制或一次性口令认证机制。动态口令认证机制主要思路是：在登录过程中参加不确定的变化因素用以生成随机用户口令，以一次性动态口令登录，使得每次登录的认证信息都不相同，从而提高登录过程的平安性。 ???????? ????????2　动态口令认证机制 ???????? ????????动态口令是变动的口令，其变动来源于产生口令的运算因子是变化的。动态口令一般都使用两个运算因子生成：其一，为用户的私有密钥，它是代表用户身份的识别码，是固定不变的。其二，为变动因子，正是变动因子的不断变化，才产生了不断变动的动态口令。采用不同的变动因子形成了不同的动态口令认证技术：基于时间同步(Time Synchronous)认证技术、基于事件同步(Event Synchronous)认证技术和挑战，应答方式的异步(Challenge／Response Asynchronous)认证技术。 ????????基于时间同步认证技术。这是基于令牌和效劳器的时间同步，通过运算来生成一致的动态口令的认证技术。基于时间同步的令牌，一般更新率为60s，每60s产生一个新口令。由于其同步的参照物是国际标准时间，因此要求效劳器能够保持十分精确的时钟，同时对其令牌的晶振频率也有严格的要求。另一方面，基于时间同步的令牌在每次进行认证时，效劳器端将会检测令牌的时钟偏移量，相应地不断微调自己的时间记录，从而保证了令牌和效劳器的同步。由此可知，对于时间同步的设备，利用系统时钟进行保护是十分必要的，特别是对于软件令牌，由于其依赖的是用户终端PC机或移动