口令基于手机的动态口令身份认证系统的设计与实现

基于手机的动态口令身份认证系统的设计与实现

The Design and Implementation of Dynamic

Password Identity Authentication System Based on the Phone作者姓名付强

专业名称计算机应用技术

指导教师兰书梅副教授

学位类别工学硕士

答辩日期 年 月 日

未经本论文作者的书面授权依法收存和保管本论文书面版本、电子版本的任何单位和个人均不得对本论文的全部或部分内容进行任何形式的复制、修改、发行、 出租、改编等有碍作者著作权的商业性使用但纯学术性使用不在此限。否则应承担侵权的法律责任。

吉林大学硕士学位论文原创性声明

本人郑重声明所呈交学位论文是本人在指导教师的指导下独立进行研究工作所取得的成果。除文中已经注明引用的内容外本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。

学位论文作者签名

日期 2009年04月06日

《中国优秀博硕士学位论文全文数据库》投稿声明研究生院

本人同意《中国优秀博硕士学位论文全文数据库》出版章程的内容愿意将本人的学位论文委托研究生院向中国学术期刊光盘版电子杂志社的《中国优秀博硕士学位论文全文数据库》投稿希望《中国优秀博硕士学位论文全文数据库》给予出版并同意在《中国博硕士学位论文评价数据库》和CNKI系列数据库中使用同意按章程规定享受相关权益。

论文级别 硕士□博士

学科专业计算机应用技术

论文题目基于手机的动态口令身份认证系统的设计与实现

作者签名 指导教师签名

年 月 日

作者联系地址邮编

作者联系电话

提 要

口令是目前使用最广泛的身份认证手段而且大部分的信息系统采用了传统的静态口令进行用户身份认证。传统静态口令系统的安全性严重依赖于用户的安全意识安全性难以控制而且在对抗窥探、 网络数据流窃听等口令攻击方式没有有效的应对措施。研究动态口令系统并使其具有实用性便成为提高信息系统口令安全的一种切实有效的方法。

本文提出的新型的基于手机终端的动态口令系统NOTP New OTPAuthentication System是基于J2ME、 J2EE的一次性口令系统在进行身份认证时基于事件同步采用了挑战/应答的方式通过在注册过程和登录过程加入不确定变化因素生成变化的口令验证系统对接收到的登录口令进行验算确认用户的合法性并利用单向散列算法Hash算法提高了数据的完整性从而提高了用户登录过程的安全性。

本文的内容是一个动态口令系统的设计和实现主要对系统实现的关键技术点算法的选用和方案的逻辑结构确定、系统的程序实现以及对系统的性能和应用进行了说明提出并实现了新型的基于手机终端的动态口令系统NOTP

New OTP Authentication System。

目 录

目 录. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .I

第1章 绪 论. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1. 1 项目的背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1. 1. 1 项目的需求背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1. 1.2 项目的技术背景. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

1.2 论文结构和主要内容. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

第2章 动态口令系统的背景和介绍. . . . . . . . . . . . . . . . . . . . . . . . .4

2. 1 身份认证的基本方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

2.2 静态口令存在的问题. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

2.3 动态口令技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

2.3. 1 基于挑战/应答方式. . . . . . . . . . . . . . . . . . . . . . . . . . .7

2.3.2 基于时间戳方式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

2.3.3 动态口令认证系统的特点. . . . . . . . . . . . . . . . . . . . . .9

第3章 动态口令系统的总体设计. . . . . . . . . . . . . . . . . . . . . . . . . .10

3. 1 动态口令系统的总体架构. . . . . . . . . . . . . . . . . . . . . . . . . .10

3.2 动态口令系统的设计思想. . . . . . . . . . . . . . . . . . . . . . . . . .10

3.3 加密算法的选择. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

3.3. 1 对称密码算法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

3.3.2 不对称密码算法. . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

3.3.3 单向散列函数算法. . . . . . . . . . . . . . . . . . . . . . . . . . .15

3.4 SAS-2认证方案的研究. . . . . . . . . . . . . . . . . . . . . . . . . . . .18

3.4. 1 SAS-2认证方案的注册过程. . . . . . . . . . . . . . . . . . .19

3.4.2 SAS-2认证方案的认证过程. . . . . . . . . . . . . . . . . . .20

3.4.3 SAS-2认证方案的执行性能分析. . . . . . . . . . . . . . .21

3.4.4 SAS-2认证方案的安全性能分析. . . . . . . . . . . . . . .22

3.5 动态口令方案的提出. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

3.5. 1 NOTP方案的注册过程. . . . . . . . . . . . . . . . . . . . . . . .24

3.5.2 NOTP方案的认证过程. . . . . . . . . . . . . . . . . . . . . . . .25

3.5.3 NOTP认证方案的执行性能分析. . . . . . . . . . . . . . . .26

3.5.4 NOTP认证方案的安全性能分析. . . . . . . . . . . . . . . .27

第4章 动态口令系统的实现. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29

4. 1 动态口令系统的客户端. . . . . . . . . . . . . . . . . . . . . . . . . . . .29

4. 1. 1 动态口令系统客户端开发所使用的技术. . . . . . . . . 30

4. 1.2 动态口令系统客户端开发所使用的开发工具. . . . . 30

I

4. 1.3 动态口令系统客户端的程序实现. . . . . . . . . . . . . . .30

4.2 动态口令系统的服务器端. . . . . . . . . . . . . . . . . . . . . . . . . .38

4.2. 1 动态口令系统服务器端开发所使用的技术. . . . . . . 39

4.2.2 动态口令系统服务器端开发所使用的开发工具. . . 39

4.2.3 动态口令系统服务器端的程序实现. . . . . . . . . . . . . 39

4.3 动态口令系统的优势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

4.4 动态口令系统的应用设计. . . . . . . . . . . . . . . . . . . . . . . . . .42

第5章 总 结. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44

参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

致 谢. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47

摘 要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

Abstract. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

II

第1章绪 论

第1章 绪 论

随着信息的多元化及数字化的迅猛发展信息已成为重要的战略资源信息安全理论与技术正在逐步得到丰富和完善社会信息化对密码保护提出了新的要求。信息安全技术越来越显示出其重要地位信息安全技术应用水平的高低直接影响了信息高速公路建设的进一步发展。近二十年来身份认证成为了网络安全技术的一个重要方面身份认证已经成为了其它安全机制的基础。

1.1 项目的背景

身份认证用以实现信息系统对操作者身份合法性的检查是保证信息安全的第一道防线。对信息系统中的各种服务和应用来说身份认证是最基本的安全服务其他的安全服务都要依赖于它。入侵者攻击信息系统时选择的首要目标往往就是身份认证系统。一旦身份认证系统被攻破那么系统的所有安全措施将形同虚设。传统的静态口令系统的安全性严重依赖于用户的安全意识安全性难以控制而且在对抗窥探、 网络数据流窃听等口令攻击方式没有有效的的应对措施。研究动态口令系统是提高信息系统口令安全的一种切实有效的方法。

1.1.1 项目的需求背景

动态口令技术是针对传统静态口令的安全弱点提出的一种口令一次一变的身份认证方式通过在登录过程中加入不确定变化因素生成变化的口令。使用动态口令的认证方式用户每次登录使用的口令都不相同身份验证系统对接收到的登录口令进行验算确认用户的合法性从而提高登录过程的安全性。

本文所提出的动态口令系统的应用中针对中国网游玩家具有多数在网吧等公共场所玩游戏 网游玩家的虚拟财产、账号、密码等容易被盗的特点提出了将动态口令系统的客户端安装在用户的手机终端上新的动态口令系统可以保护网吧等公共场所的认证安全并且手机终端的便捷性可使得业务更好地推广。

1

第1章绪 论

1.1.2 项目的技术背景

动态口令技术在国外已经被广泛接受并进入了应用阶段。在我国动态口令系统的设计与实现才刚刚起步部分安全产品在认证部分也开始采用动态口令思想。

密码认证的安全问题多年来一直是人们讨论的焦点例如密码被窃听、盗用、入侵等问题。密码认证的运作方式直接影响计算机系统的安全性早在l974年 P ur dy_l就提到为了保护密码的安全绝对不能以明文的方式储存密码提出将密码以单向函数Y=f(X)转换后 以加密的方式将密码与账号资料存放在一个验证表中单向函数具有下列特性知道X可以很容易计算出Y知道Y要算出X在计算上是不可行的(Computationally Infeasible) 。

此后便有很多关于密码认证的方法被提出这些方法有的着重讨论加密的运算有的强调加/解密的效率 目的是为了保护密码数据库 即使密码数据库被别人窃取要想破解密码的明文也是非常困难的但是他们都忽略了密码重放的攻击。当入侵者从网络上窃听到合法用户的账号和密码然后进行重放攻击主机系统无法判断密码认证请求的信息是来自合法用户还是重放攻击。只要密码认证的请求信息被复制重放计算机系统就会处于不安全状态中。

针对密码认证存在重放攻击的问题 Leslie Lamport提出利用散列函数产生一次性口令的思想后贝尔通信研究中心开发了采用MD4加密算法基于一次性口令思想的身份认证系统S/KEY[1] 此后美国海军研究实验室开发了基于更安全的MD5散列算法的一次性口令验证系统OPIE2.31[2] 荷兰Wietse Venemaof Eindhoven理工大学也实现了LogDaemon5.0[3]。

1.2 论文结构和主要内容

论文共包括五章除了绪论和结束语外其它章节的主要内容如下

1) 动态口令系统的背景和介绍第二章

本章首先介绍了身份认证的基本方法探讨了静态口令存在的问题并

介绍了动态口令的相关技术从实用性的角度论证了动态口令系统的可

行性。

2) 动态口令系统的总体设计第三章

本章给出了动态口令系统的总体架构提出了动态口令系统的设计思想

讨论了加密算法的选择并且深入研究了SAS-2认证方案的认证流程、

可执行性和安全性。在此基础上提出了新动态口令方案并对新动态口

2