基于脚本级的口令系统的实现.pdfVIP

基于脚本级的口令系统的实现 龙生平 银川供电局 1 引言 当前，Weh应用十分盛行，如何做好安全防范，是备受关{辛的问题之一，而身份验证，是所有 涉及安全性的网络应用系统必需的一个环节。本文通过分析几种常用力‘法的优劣．给出用VBScript 进行身份验证的方案。 2几种常用方法的分析 1．1在身份验证的页面中设计一个表单，其中包括用户名称和密码两个域。提交表单时浏览器将 用户名称和密码传给用于身份验证的脚本，脚本通过验证用户名称和密码来判断该用户是甭合法。 这是常见的一种方案，但安全性较低。使用这种办法时，户名和密码都是以明文的形式在网上传输， 容易被运行在网络上的探测器截获。 1 2采用基本验证法。为是H丌P协议采用的公开加密算法，几乎所有的浏览器都支持这种方法。 不法者通过回放或是破解捕获到的密码密文，达到非法入侵的目的，所以这种方法的安全性也较低。 它是一种安全性很高的方法。下面简述其流程： 1，3 1客户机向服务器提出身份验证的要求： 1 3．2服务器接到请求后向客户机返回一个随机数(Challenge)； J 送回服务器。 密码原文(用户名+密码明文+随机数)+加密算法 (1) 1．3．4知道用户密码明文的服务器进行同样的计算，将结果与客户机送来的密码密文进行比较， 以此来确定用户身份。 公式(1)中的随机数要求是唯一、不重复的。现有的技术可以保证同样的值在所有的身份验 证过程中只出现一次，南此得到的密码密文也是唯一的。它只能在唯一的一次身份验证过程中正确 标示用户的身份，之后便消失，所以它是一个一次性的口令系统。 公式(1)中的加密算法是一个不可逆算法。从应用的角度来看是无法破解的。另外．要想通 过回放捕获到的密码密文来通过验证，其可性只有一个，即在此次验证过程中服务器提出的Challenge 值与捕获到的那次Challenge值相同，但如前所述，这是不可能的。从以上分析可知，这是一种可 NT环境下的，因此存在不少的局限．如：只 信赖的高安全度的方法，但由于它是集成在Windows 有微软的服务器的和浏览器支持这种方法；不会在一个HnlP的代理连接中T作；’芝是基于服务器 NT的域用户数据库，而不是白定义的用户数据 级的，授权访问其资源的用户必须存在于Windows 库，因此其灵活性低。 3解决方案 综上所述，现有的验证力‘法均不能很好地解决问题，而目在服务器上实现自定义的验证方法， 又不能得到其它服务器和浏览器的广泛支持。所以本文提出了一种基于脚本级的解决方案。 利用上面所捕述的典犁一次性口令系统，在脚本级实现可能会出现问题。问题出现在服务器与 客户机的密码密文比较，因为服务器在计算正确的回答时，不知道自已曾给出的Challeng(-内容。 因为H1TrP协议是非状态的，当服务器回应一个客户请求后，它将断开与服务器的连接，并会丢失 ．18卜 关于此次会话的一切信息。 Session对象仃一个Session 1D属性，它用来唯一标识水站点的所有会话，不同的会话会有不同 的Session ID值。因此．将Session ID作为挑战值非常可靠，同时也非常经济。因为这样就无需自 便服务器记住它。Session 期内一直都存在着。 在客户端将用户密码加密后送出并在服务器端进行同样的验证计算。为此，我们在验证表单中 然它的内容南脚本在服务器端填写脚本的实现片段如下： FORM NAME=“h)gin”ACTION=“Authentication” METHOD=“POST”ONSUBMIT=“EnclTptO” INPUTTYPE=“TEXT”NAME=“USERNAME”VALUE=“” INPUT TYPE=“1)assword”NAME=“PASSWORD” INPUT TYPE=“HIDDEN”NAME=“Challenge”