基于一次性口令的身份認證系統(tǒng)的設計與實現(xiàn).pdf

1、隨著全球信息化發(fā)展和Internet普及，計算機網絡安全逐漸成為人們關注的焦點問題。目前網絡通信主要提供五種安全服務，即身份認證服務、訪問控制服務、機密性服務、完整性服務和抗否認性服務。其中，身份認證作為安全應用系統(tǒng)的第一道防線，是最重要的安全服務，所有其它的安全服務都依賴于該服務，它的失敗可能導致整個系統(tǒng)的失敗。 身份認證就是證實用戶真實身份與其所聲稱的身份是否相符，以防止非法用戶通過身份欺詐訪問系統(tǒng)資源的過程。常用的身份認證

2、技術主要包括靜態(tài)口令、一次性口令、PKI數(shù)字證書和生物特征技術。根據(jù)國外應用情況以及從我國的國情出發(fā)，一次性口令身份認證技術與其它幾種技術比較起來，由于其安全性高、使用方便、管理簡單、成本便宜，具有廣泛的應用前景。一次性口令就是在登錄過程中加入不確定因素，使每次登錄傳送的認證信息都不相同，以提高登錄過程安全性。 安全可靠的身份認證協(xié)議是認證系統(tǒng)的核心。本文以身份認證技術和認證協(xié)議為研究重點，圍繞網絡環(huán)境下身份認證系統(tǒng)的特點和面臨

3、的威脅進行探討，闡述了基于挑戰(zhàn)—應答機制產生一次性口令的認證原理與實現(xiàn)過程，并對其安全性進行分析。針對CHAP協(xié)議存在服務器欺騙、會話劫持等安全隱患，結合Differ-Hellman密鑰交換協(xié)議提出一個改進方案。新方案將身份認證和會話密鑰產生有機結合起來，支持通信雙方的雙向認證，并在用戶和認證服務器之間建立安全的保密信道，能夠積極有效地防范重放、網絡監(jiān)聽、破壞正常會話等網絡攻擊。 基于改進的CHAP協(xié)議，本文設計了一個一次性口令

4、身份認證系統(tǒng)，對網絡結構、工作流程、密碼算法等進行了詳細論述，并編程實現(xiàn)了認證客戶端、認證服務器端、系統(tǒng)管理程序和數(shù)據(jù)庫表等軟件模塊。系統(tǒng)采用客戶/服務器工作模式，主要由兩部分組成：認證服務器和認證客戶端。在一次認證過程中，用戶在認證客戶端輸入認證口令信息，作必要的密碼處理之后，發(fā)送給身份認證服務器。身份認證服務器驗證用戶認證信息的真實性，合法用戶登錄成功后可以訪問系統(tǒng)資源。同時為了進一步增強認證系統(tǒng)的安全性，引入了用戶口令自主修改、增