基于OTP的移動(dòng)商務(wù)身份認(rèn)證協(xié)議研究.pdf

1、隨著移動(dòng)商務(wù)的普及和應(yīng)用,移動(dòng)商務(wù)的安全性己成為人們關(guān)注的焦點(diǎn)。身份認(rèn)證是第一道的安全屏障,通信安全總是始于身份認(rèn)證的握手過程?；诿艽a技術(shù)的認(rèn)證協(xié)議是實(shí)現(xiàn)身份認(rèn)證最安全的方式,因此,移動(dòng)商務(wù)的身份認(rèn)證協(xié)議是保證移動(dòng)商務(wù)安全通信的必要條件。
　　 國內(nèi)移動(dòng)商務(wù)的身份認(rèn)證主要采用基于用戶名/口令的靜態(tài)口令認(rèn)證機(jī)制,這種認(rèn)證方式易于實(shí)現(xiàn)且操作簡單,但其安全性僅依賴于用戶口令的保密性。一次性口令(One-Time Password,簡

2、稱OTP)認(rèn)證機(jī)制可以實(shí)現(xiàn)一次一密,具備較高的安全性,同時(shí),其實(shí)現(xiàn)簡單、成本低、無需第三方公證,十分適合于受限的移動(dòng)商務(wù)環(huán)境,但其難以抵御小數(shù)攻擊以及沒有實(shí)現(xiàn)雙向認(rèn)證。OTP認(rèn)證機(jī)制的安全隱患主要在于生成一次性口令的隨機(jī)數(shù)以及認(rèn)證信息都以明文方式傳送,因此,可以采取密碼體制對隨機(jī)數(shù)及認(rèn)證信息進(jìn)行加密。公鑰密碼體制具備較高的安全強(qiáng)度,橢圓曲線密碼體制(Elliptic Curve Cryptosystem,簡稱ECC)是現(xiàn)有公鑰密碼體制中

3、運(yùn)算效率、安全性最高且無須第三方的體制,存儲(chǔ)空間小、帶寬要求低、計(jì)算量小和處理速度快的特點(diǎn)使其十分適合于移動(dòng)商務(wù)的認(rèn)證環(huán)境。
　　 本文結(jié)合OTP認(rèn)證機(jī)制和ECC,提出基于OTP的移動(dòng)商務(wù)身份認(rèn)證協(xié)議MCIA(Mobile Commerce Identity Authentication,簡稱MCIA),MCIA協(xié)議能夠?qū)崿F(xiàn)雙向認(rèn)證和密鑰協(xié)商,同時(shí)可以抵御小數(shù)攻擊和中間人攻擊。
　　 形式化分析方法是分析認(rèn)證協(xié)議安全性的

4、有效方法,串空間方法是形式化分析方法中最為直觀、簡潔、嚴(yán)格和有效的方法。本文通過基于串空間的認(rèn)證測試方法證明MCIA協(xié)議能夠滿足數(shù)據(jù)保密性、身份認(rèn)證及數(shù)據(jù)認(rèn)證的安全目標(biāo)。
　　 為了驗(yàn)證MCIA協(xié)議在真實(shí)移動(dòng)環(huán)境中的運(yùn)行效率和性能,本文利用仿真軟件Opnet建立MCIA協(xié)議的仿真模型,從認(rèn)證時(shí)間、時(shí)延、信道利用率和吞吐量等統(tǒng)計(jì)變量分析MCIA協(xié)議性能,并與靜態(tài)口令認(rèn)證機(jī)制EasyUID和基于挑戰(zhàn)/應(yīng)答的OTP認(rèn)證機(jī)制進(jìn)行仿真比較