基于口令的身份认证方案的设计与实现 -前部分

1、1 概述1.1 研究意义与目的随着internet的飞速进展，全球性信息化浪潮也是日新月异的，信息网络技术也正日益普及和广泛应用，不断深入应用层次，同时从传统的小型业务系统，开始逐渐向大型关键业务系统扩展，典型的如金融业务系统、企业商务系统、x政部门信息系统等大型应用领域。internet的飞速广泛应用，产生的安全问题同时也是重要问题，因为internet的自由性、开放性和国际性增加了应用自由度，同时也对网络安全造成了严峻威胁。虽然开放的、自由的并且国际化的internet给企事业单位和政府机构带来了开放和革新，他们可以利用internet提升效率和侦查市场反应，但同时他们也一定面对网络开放带

2、来的各种网络安全的新危险与新挑战。保障各单位信息网络有效抵抗网络攻击，有效爱护网络信息资源，已然成为各单位信息化健康进展的重大事情。当前internet存在的安全威胁主要表现为:非授权访问网络或计算机资源、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。针对以上攻击手段与各种网络威胁形式，对访问网络系统的用户进行身份认证就显得至关重要，身份认证已经成为网络信息安全领域中非常重要的一个分支。口令认证技术是身份认证中最常用的技术，而静态口令认证技术是目前普遍采纳的口令认证技术。其特点是简洁、易用同时也具备一定的安全性，但随着攻击手段的多样化、网络应用的复杂化，静态口令技术的安全缺陷

3、也越来越明显，对于安全性要求高的网络应用系统已经不再适用。专门针对静态口令技术的安全缺陷提出的一次性口令认证技术就得到了迅速地进展。但是，目前现有的一次性口令认证方案并不是十分完善，各种方案在执行性能和安全性上都存在着缺陷。设计更加完善的一次性口令认证方案并实现相应的认证系统，让一次性口令认证技术为更多的网络系统提供更加安全可靠的身份认证。这对internet应用的进展有着重大的意义和积极的推动作用。1.2 口令认证技术的研究现状与进展趋势美国科学家leslie lamport在上世纪80年代初首次提出了利用散列函数产生一次性口令的思想1，指的是每个用户每一次同服务器进行身份认证时，认证口令都

4、是以加密后的密文形式在网上传输的，一次性口令的思想指的是在每一次认证时认证口令都是独一无二的，也是密文形式的，也就是说密文口令是一次有效的。lamport方式就是一次性口令认证明现方式之一。但lamport方式有个最大的缺点，它的计算量格外大，加密计算需要做大量的计算。由于lamport方式计算量大的缺陷，又进展了其他两种实现方式一次性口令认证技术:时间同步方式和挑战/响应方式。时间同步方式这样实现，双方利用相同的时间作为计算因子计算一次性口令，需要客户端和服务器保持时间同步，以此实现身份认证。挑战/响应方式则是先由服务器向客户端发送不同的挑战信息，然后服务器通过验证客户端的响应信息来进行身份

5、认证。这两种方式是借鉴了lamport方式的部分设计思想并且改进了lamport方式计算量大这个缺陷，也就是说以上三种方式都是同一个研究方向。一次性口令认证技术还有另一个研究方向，就是以散列运算和异或运算等低复杂度的运算为基础来实现认证双方通过计算双方交换的认证数据，从而达到进行一次性口令身份认证的目的。这种方式有运算量较小，设计简洁、而且实施的成本也较低等优点。基于这种方式的典型认证方案有sas(simple and secure)认证方案2，sas-2认证方案2，rosi(robust and simple)认证方案5 以及ospa(optimal strong-password auth

6、entication)认证方案4等。在我国，研究一次性口令认证技术起步较晚，目前大部分研究都集中在改进和应用已有的认证方案上。例如中南大学张宏等2021年在计算机工程30卷第17期上发表的一种新型一次性口令身份认证方案的设计与分析7，东南大学杨明等2021年在计算机工程29卷第5期上发表的基于otp的安全web登录系统的设计与实现6等等。基于一次性口令认证方案的各种认证系统正在飞地的进展，并且也得到了广泛的应用。贝尔通信研究中心 (bell core)在1991年首次研制出了基于lamport方式的一次性口令身份认证系统-s/key口令序列认证系统89。s/key口令序列认证方案最初加密口令使

7、用的加密算法是des(data encryption standard)，后因安全问题，其加密算法又改用md4。现在，在新版本的s/key口令序列认证系统上，口令加密算法已经使用更加安全的mds散列算法。其他的一次性口令验证系统还包括: 荷兰wietse venema of eindhoven理工大学项目中的log daemon10 和美国海军研究试验室的opie等，它们是基于lamport方式的，且加密算法默认使用mds算法。rsa secure id6动态口令认证系统:rsa security公司在这方面的权威产品，它采纳时间同步方式，客户端用户持有口令令牌，动态口令每分钟改变一次，认证系

8、统在认证服务器上和口令令牌的专用芯片同时生成动态口令，用户在登录系统时，输入口令令牌上显示的当前动态口令和用户个人口令即可。酷安口令系统2:由国家反计算机入侵和防病毒研究中心和北京看兰电脑软件开发有限公司联合开发，它为每个用户生成海量的口令库，这个口令库的一个拷贝存放在用户的口令卡中。系统中的序列服务器随机生成个人认证序列号提供给用户，用户登录时先向系统恳求个人认证序列号，然后由用户的密码卡(或手机)根据个人认证序列生成用户一次性口令。目前，一次性口令认证系统进展的趋势是，采纳更加完善的认证明现机制，增加认证口令的随机性，做到真正的一次一密，并更加简洁地部署到网络应用系统中。1.3 本文研究内

9、容本文研究和分析了一次性口令认证，对一次性口令认证技术的原理、实现方式以及安全性进行研究和分析。在s/key口令序列认证方案和sas-2认证方案研究和分析的基础上，提出了一种基于sas-2认证方案的新型一次性口令认证方案。并通过对新型认证方案的执行性能和安全性的分析，得出结论，新方案既保留了sas-2认证方案在执行性能上的优点，同时在安全性上又有一定程度的加强。基于该方案而实现的notp认证系统在执行性能和安全性上都能满足网络应用系统对用户身份认证的要求。2 口令技术的研究2.1 口令认证技术基本原理一次性口令认证技术的基本原理4,5是，在用户登录过程中加入不确定数值，这样就能实现用户在每次登

10、录过程中，每次提交给认证系统的认证数据都不相同，认证系统接收到用户的这个一次性的认证数据后，验算认证数据需要以事先预定的算法去计算，这样就可以验证用户的身份。在基于一次性口令认证技术的认证系统(下文称otp系统)中，用户的秘密通行短语(pass-phrase即用户的口令)并不直接用于验证用户的身份，不确定因子和用户口令使用某种算法生成的一个认证数据才是直接用于用户身份认证的数据。目前的一次性口令认证技术计算用户每次登录的认证数据几乎都采纳单向散列函数。一次性口令认证技术的基本工作流程：首先，远程认证系统与用户之间共享一个口令，即用户的口令，同时还都拥有一个相同的“计算器”，实际上该计算器是硬件

11、或软件实现某种算法，它能计算出每次认证的认证数据，即一次性口令。在用户发出登录恳求给远程认证系统时，远程认证系统收到后向用户发送挑战 (challenge)数据。挑战数据由两部分组成，一部分是种子值 (seed)，它是安排给用户的，并在系统内具有唯一性的数值，也就是说，一个种子对应于一个用户，同时它是非保密的；而另一部分是迭代值(iteration)，是远程认证系统临时产生的数值，它与用户口令和种子不同，因为迭代值是不断改变的。用户收到挑战数据后，将用户口令、种子值和迭代值输入到“计算器”中进行计算，得出结果后作为应答回发给远程认证系统。远程认证系统收到应答数据后临时存储起来，然后使用相同的计

12、算器和三个相同的数据计算出认证数据，通过比对应答数据和认证数据来认证用户身份是否合法。从一次性口令认证技术的基本工作流程来看，用户通过网络，向认证系统发送的认证数据是用户口令、种子值和迭代值通过某个算法得到的计算结果，用户的口令不在网上传播。如果计算器足够复杂，就很难从应答数据中提取出用户口令，这样就能有效抵挡网络窃听攻击。而且迭代值是一个不断改变的数值，例如每次身份认证成功时，认证服务器就将用户迭代值自动减1，这样用户下一次登录时计算所得的应答数据就会与上一次不同，从而有效地防止重放攻击。总之，相比于静态口令认证技术等可重用口令技术的单因子(口令)认证，引入的不确定因子使得一次性口令认证技术

13、更为安全，它是一种多因子(种子值，迭代值和口令)认证技术。2.2 口令认证技术的实现方式目前，一次性口令认证技术主要有以下四种实现方式:lamport方式，又称为哈希链 (hash chains)方式。在初始化阶段选取一个口令pw、一个迭代数n及一个单向散列函数f，计算y=fn (pw)(fn()表示进行n次散列运算)，并把y和n的值存到服务器上。用户端则计算y=fn-1 (pw)的值并且发送给服务器。服务器接着计算z=f(y)，最终服务器将服务器上保存的y同z值进行比较，如果z=y，那么就验证成功，然后用y的值替换服务器上y的值，同时n的值自减1。通过lamport方式可以使用户每次登录到服

14、务器端的口令都不相同。这种方案实现简洁，并且也不需要格外硬件的支持，但这种方案的安全性很大程度上取决于单向散列函数f，在分布式的网络环境下不宜使用。此外lamport方式进行身份认证时，用户要进行重复的散列运算，并且每隔一段时间，系统还需要重新初始化，这样会使服务器的额外开销比较大。s/key口令序列认证方案就是基于lamport方式的认证方案中的一种。时间同步方式(time synchronization)，此方案中每个用户都持有相应的时间同步令牌 (token)，此令牌内置加密算法、时钟和种子密钥。时间同步令牌每分钟根据种子密钥和当前时间动态生成一个一次性口令。用户需要访问系统时，将令牌生成的动态口令发送给认证服务器，服务器通过当前时间和对应种子密钥副本计算出输出值，验证用户，如果匹配则登录成功。时间同步方式的关键点在于认证服务器和令牌的时钟要保持完全同步，这样才能保证在同一时钟内两者计算出的动态口令是相同的。然而时间同步也是时间同步方式的难点，从技术上出发，是很难保证认证服务器和用户的时间令牌在时间上严格同步，并且网络上传输和处理数据存在一定