一种实现双向认证动态口令身份认证措施
动态口令
一种实现双向认证的动态口令身份认证方案来源:中国论文下载中心 [ 08-05-05 10:51:00 ] 作者:郭玉娇1 黄建华2 编辑:studa0714Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R 一并用Server的公钥加密后发送给Server。
发送完毕后,客户端会将R备份,并启动计时器,若超过一定时间T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。
Server先用自己的私钥对收到的消息C1进行解密,得到用用户私钥加密的数据包,记为M2,以及和R。
Server根据得到的,在数据库中查找对应用户的公钥。
用解密M2,得到和本次动态密码。
(4) 验证动态密码的正确性。
根据和Client端一样的动态密码生成算法,生成动态密码。
比较和Client端发送过来的。
若不同,拒绝Client的登陆请求,向Client发送拒绝登陆数据包;若相同,接受Client登陆请求,进入第⑤步。
Server向Client发送数据包C2,即将和Client发送过来的R用Server的私钥加密,再和一块打包用Client的公钥加密。
Client收到Server发送的反馈消息后,先用自己的私钥解密得到用加密的加密数据包,记为M4,以及。
根据第⑥步中得到的,取出对应的公钥。
用解密M4,得到和R。
将R和本身暂存的R进行比较。
若相同,则验证服务器为合法身份,Client和Server建立正常通信连接;若不同,判定该服务器为非法的,拒绝和该服务器建立通信连接。
2.2.2 动态口令的生成算法动态密码,纠根揭底就是将动态因子和用户的固有秘密信息融合在一起生成登陆密码。
动态因子可以是时间、计数器次数、随机数等。
本文中设计使用的动态密码生成算法采用计数器作为动态因子。
Client端和Server端各拥有一个计数器,初始值为0。
Client和Server 每成功地进行一次相互认证计数器值增1,以此来保证双方计数器的同步。
口令认证的分类概述
口令认证的分类概述【摘要】网络信息安全给人类带来越来越多的问题,身份认证是网络信息安全的核心,口令认证技术已经成为身份认证技术的主流技术。
根据口令产生方式的不同,口令认证技术可分为静态口令认证、一次性口令认证和双因素动态口令认证三种分类,本文对各种口令认证方式进行了详细的分析并对动态口令中的时变参数进行了重点介绍。
【关键词】身份认证;静态口令认证;双因素动态口令认证0引言随着社会的进步和计算机技术的发展,网络的普及率越来越高,使网络化成为企业信息化发展大趋势,当人们在享受信息化带来的众多好处的同时,网络安全问题已成为信息时代人类共同面临的挑战。
在网络环境下,各种应用都需要通过身份认证来确认用户的合法性,然后再确定用户的个人数据和特定权限。
身份认证是其他的安全服务的基础,一旦身份认证系统被攻破,那么系统的其他安全措施都将形同虚设。
身份认证可以采用各种各样形式进行认证,口令认证系统以其密码算法的抗攻击能力强、兼容性好、使用方便可靠等显著特点而逐渐成为身份认证技术的主流。
根据验证口令的产生方式的不同,口令认证可以分为静态口令认证、一次性口令认证和双因素动态口令认证。
1静态口令认证静态口令认证是指用户登录系统进行身份认证的过程中,提交给系统的验证数据是固定不变的。
静态口令认证主要用于一些比较简单的系统或安全性要求不高的系统,例如:PC机的开机口令、Unix系统中用户的登录、Windows用户的登录、电话银行查询系统的帐户口令等。
静态口令认证方案根据是否采用加密的方法分为两种:口令匹配认证和算法匹配认证。
口令匹配认证: 系统中的口令文件存放的是用户口令的明文,当用户登录时,输入身份ID和对应口令PW,系统根据用户身份ID在口令文件中查找匹配的身份口令记录。
算法匹配认证:系统中的口令文件存放的是口令的杂凑值,而不是口令明文本身。
在使用加密的口令存储方案的认证系统中,用户登录时,输入身份ID和对应口令PW,然后计算口令PW的杂凑值,并将ID和口令PW的杂凑值传送给系统进行认证,系统根据用户身份ID在口令文件中查找匹配的身份口令记录。
一种实现双向认证动态口令身份认证方案
一种实现双向认证动态口令身份认证方案双向认证动态口令身份认证是一种相对安全的身份认证方案,通过使用动态口令可以防止密码的泄露和重复使用。
本文将介绍一种实现双向认证动态口令身份认证方案的方法。
在该方案中,用户和服务器之间建立了一个双向认证的通信渠道。
用户首先选择一个个人密钥和一个初始的动态口令(例如,OTP-One Time Password)。
用户的个人密钥只有用户自己知道,而动态口令是基于时间戳和个人密钥生成的,每隔一段时间(例如30秒)就会自动生成新的口令。
在进行身份认证时,用户首先向服务器发送一个认证请求。
请求中包括用户的标识信息和动态口令。
服务器接收到请求后,首先验证用户的标识信息是否有效,然后根据用户的标识信息获取到用户的个人密钥。
接下来,服务器根据当前的时间戳和用户的个人密钥生成一个期望的动态口令。
然后,服务器将期望的动态口令与用户发送的口令进行比较。
如果两者相同,则认为该用户是合法用户,身份认证成功。
在这个过程中,用户和服务器都需要进行双向认证。
服务器在验证用户的身份之后,会向用户发送一个随机挑战(challenge)。
用户接收到挑战后,使用个人密钥生成一个相应的响应(response)并返回给服务器。
服务器根据用户的个人密钥和收到的响应生成一个期望的响应,并将期望的响应与用户发送的响应进行比较。
如果两者相同,则认为该服务器是可信的,双向认证成功。
通过这种双向认证的动态口令身份认证方案,可以有效防止身份伪造和密码泄露的风险。
用户的个人密钥只有用户自己知道,而动态口令的生成过程是基于时间戳和个人密钥的,可以有效防止重放攻击和中间人攻击。
然而,这种方案也存在一些问题。
首先,如果用户的个人密钥被猜测到或者被泄露,那么攻击者同样可以生成有效的动态口令进行身份伪造。
其次,如果服务器的随机挑战被截获,攻击者同样可以生成有效的响应进行身份伪造。
因此,在实际应用中,除了采用双向认证动态口令身份认证方案之外,还应该结合其他的安全措施,例如使用加密通信、加强服务器的安全性等,以增加整个身份认证过程的安全性。
[什么是身份认证身份认证的方法]身份认证方法
竭诚为您提供优质的服务,优质的文档,谢谢阅读/双击去除[什么是身份认证身份认证的方法]身份认证方法身份认证是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,那么你对身份认证了解多少呢?以下是由小编整理关于什么是身份认证的内容,希望大家喜欢!身份认证的介绍计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证就是为了解决这个问题,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。
身份认证的方法在真实世界,对用户的身份认证基本方法可以分为这三种:(1)根据你所知道的信息来证明你的身份(whatyouknow,你知道什么);(2)根据你所拥有的东西来证明你的身份(whatyouhave,你有什么);(3)直接根据独一无二的身体特征来证明你的身份(whoyouare,你是谁),比如指纹、面貌等。
在网络世界中手段与真实世界中一致,为了达到更高的身份认证安全性,某些场景会将上面3种挑选2种混合使用,即所谓的双因素认证。
身份认证的工具eID是互联网身份认证的工具之一,也是未来互联网基础设施的基本构成之一。
eID即是俗称的网络身份证,互联网络信息世界中标识用户身份的工具,用于在网络通讯中识别通讯各方的身份及表明我们的身份或某种资格。
静态密码用户的密码是由用户自己设定的。
在网络登录时输入正确的密码,计算机就认为操作者就是合法用户。
实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。
如果密码是静态的数据,在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。
动态口令的基本认证原理
动态口令(One-Time Password,简称OTP)的基本认证原理是通过生成一次性的、仅在一定时间窗口内有效的密码来提供身份认证的安全性。
下面是动态口令的基本认证原理:
客户端请求认证:用户在登录时,会向服务器发送登录请求。
服务器生成密钥:服务器会生成一个密钥,并将其与用户的身份相关联。
动态口令生成:服务器将密钥发送到用户的手机或其他认证设备上,用户的手机或设备会根据一定的算法和当前的时间生成一个动态口令。
口令验证:用户将动态口令输入到登录页面或客户端上,发送给服务器。
服务器验证:服务器会使用与用户相关联的密钥和当前时间来验证用户输入的动态口令是否正确。
认证结果返回:服务器将认证结果返回给用户,如果认证成功,用户将被授权登录系统。
动态口令认证的关键在于生成一次性的密码,这样即使密码被截获,也只能在一定时间内使用,提高了安全性。
同时,动态口令的生成需要与服务器端的密钥和当前时间相关联,使得每个用户的口令都是唯一的,提高了认证的准确性和防止重放攻击的能力。
(完整版)双因素认证解决方案
双因素认证方案一、网络安全认证的需求背景网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况,用户如果只依赖个人密码进行帐户登录或网上交易,是非常危险和不可靠的认证方法。
针对这些问题,北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务,对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。
他们只要安装了中科恒伦的双因素认证系统,便能为其客户提供身份认证服务,使其消费者日后能以简单轻松的方法,随时随地享受网上服务。
IT管理员或者终端消费者也不用再终日提心吊胆,网上商户因此能与其客户建立更亲密和信任的关系。
二、现存主要的身份认证技术分析目前,计算机及网络系统中常用的身份认证方式主要有以下几种:1.用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法,是基于“what you know”的验证手段。
每个用户的密码是由用户自己设定的,只要能够正确输入密码,计算机就认为操作者就是合法用户。
出于对安全的要求,要求用户定期更改密码,且不能重复,而实际上,由于许多用户为防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样就容易造成密码泄漏。
即使能保证用户密码不被泄漏,由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。
因此,从安全性上讲,用户名/密码方式是一种极不安全的身份认证方式。
2.智能卡认证智能卡是一种内置集成电路的芯片,芯片中存有与用户身份相关的数据,智能卡由专门的厂商通过专门的设备生产,是不可复制的硬件。
智能卡由合法用户随身携带,登录时必须将智能卡插入专用的读卡器读取其中的信息,以验证用户的身份。
智能卡认证是基于“what you have”的手段,能过智能卡硬件不可复制来保证用户身份不会被仿冒。
然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息,因此还是存在安全隐患。
基于时间同步的身份认证解决方案
基于时间同步的动态口令身份认证解决方案一、方案背景随着Internet网络技术的飞速发展,电子商务、电子政务、企业内部网的信息管理、Internet网络信息服务已获得广泛应用,由此造成许多重要的信息和机密的资料都存放在计算机或网络上。
如何有效识别合法用户并使其能安全地使用受限资源,成为当前网络安全研究的一个重点,其中对网络用户进行身份认证就是其中一项必要手段。
身份认证是企业内部系统安全中最重要的问题,只有在进行安全可靠的身份认证的基础上,各种安全系统才能最有效地发挥安全防护作用,也只有完成了身份认证才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。
统一的身份认证平台可以提供有效、可靠的账户集中式管理机制。
帐号安全保护是提供服务方向服务使用方提供的一项关于帐号的安全保护措施。
网上银行、证券及网络游戏等系统的用户资金或虚拟资源正受到越来越严重的安全威胁。
例如前段时间的CSDN用户账号密码遭泄露的事件,中国民生银行和中国工商银行等银行用户信息泄露事件,向我们证明身份认证是保护信息系统安全的第一道大门。
二、需求分析基于政府办公信息系统的行业特点,网络安全显得尤其重要。
政府办公系统中有大量需要保密的信息,必须对访问系统的人员进行严格的身份认证。
目前,公司有3个项目:能源局评审管理系统,大唐集团投资系统二期,湖南省经信委煤电油气运,按照三个项目的业务性质和用户对系统安全的明确要求的标准,以用户名+固定口令的传统的静态口令认证技术作为用户在政府办公信息系统网络中唯一合法的身份标识已不能满足安全的需要。
因为传统的静态口令认证技术是通过口令的匹配来确认用户的合法性,这种身份认证方式就是用户名口令核对法:系统为每一个合法用户建立一个ID/PW 对,当用户登录系统时,提示用户输入自己的用户名和口令,系统通过核对用户输入的用户名,口令与系统内已有的合法用户的ID/PW 是否匹配,来验证用户的身份。
这种以固定口令为基础的认证方式存在很多问题,最明显的有以下几种:1、为了便于记忆,用户多选择常用词作为密码,因此很容易被猜测和破解。
基于RSA算法的动态双身份认证的设计与实现
基于 RSA 算法的动态双身份认证的设计与实现摘要:针对网络通信中相互身份认证困难的问题,提出一种基于 RSA 算法的动态双身份认证方案,比其他基于公钥体制的身份认证方案相比,具有安全性更高、方便简洁、认证时间少等优点,并通过 VC++实现了基于该方案的系统关键词:密码体制;RSA 算法;身份认证;公1、RSA 加密算法及身份认证目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。
其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败网络应用系统中通信双方的身份认证问题,传统的做法是采用用户名加口令来验证登录用户的身份,但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测,存在较大的安全隐患;另外这种认证方式只能完成单方面的身份认证,即只能解决服务器验证客户端身份的问题,无法解决客户端验证服务器身份的问题,因此不能完全满足互联网业务应用的需要。
公钥加密算法的安全性主要是基于复杂的数学难题。
目前比较流行的主要有两类[2] :一类是基于大整数因子分解系统,以 RSA 为典型代表,它是目前被研究和应用得最为广泛的公钥算法,经过长年的攻击考验,该算法已被普遍认为是目前最优秀的公钥方案之一2、RSA 工作原理[1]如下:(1)任意选取两个不同的大质数 p 和 q,计算乘积 r=p*q(2)任意选取一个大整数 e,e 与(p-1)*(q-1)互质,整数 e 用做加密密钥。
注意 e 的选取是很容易的,例如所有大于 p 和q 的质数都可用.(3)确定解密密钥 d,由d*e=1 mod((p-1)*(q-1)),根据 e,p 和q 可以容易地计算出 d(4)公开整数 r 和 e,但是不公开 d(5)将明文 P(假设 P 是一个小于 r 的整数)加密为密文 C,计算方法为 C=Pe mod r(6)将密文 C 解密为明文 P,计算方法为 P=cd mod r然而,只根据 r 和 e(不是 p 和 q)要计算出 d 是不可能的,因此,任何人都可对明文进行加密,但只有授权用户(知道 d)才可对密文解密。
动态口令身份认证
动态口令身份认证动态口令身份认证1动态口令身份认证原理1.1主要思想动态口令认证就是在登录过程中加入不确定因素,使每次登录时传送的认证信息都不相同,以提高登录过程安全性。
动态口令认证技术消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。
该技术主要思想是为每个用户分配一个帐号,每个帐号配有种子、迭代值和通行短语,种子(时间)及变化的迭代值(随机数)就能够产生一系列口令,每个口令用户只能使用一次,由于用户的秘密通行短语(时间对密钥加密结果)从来不在网上传送,因此,系统不易受到重放攻击。
(最初一般的基于时间的动态口令算法是将时间对密钥的加密结果作为验证数据,传送给服务器)1.2运行原理用户通过客户机访问服务器时,首先向服务器传送自己的帐号,服务器响应一个由与该帐号对应的种子和迭代值组成的挑战,客户机使用该挑战和秘密通行短语产生一个一次性口令,并以该一次性口令登录,作为对挑战的答复,服务器随即产生一次性口令与之对比,从而完成服务器对登录用户的鉴别,每次登录成功后,迭代值递减,当该值为0或秘密通行短语泄密后,必须重新初始化。
1.3动态口令框图动态口令身份认证主要包括3个部分:认证服务器、客户端和用户信息数据库。
认证服务器是动态口令认证系统的核心,它主要由3个模块构成:系统初始化模块、用户管理模块、动态口令认证模块。
其中系统初始化模块的主要功能是系统维护,设置环境参数等。
用户管理模块负责用户的增减及用户口令、权限、密钥的设置。
动态口令认证模块负责对用户的身份进行认证。
系统的客户端采用软件来实现挑战应答器,作为挑战码的响应,它以AS端产生的挑战码为输入,使用和AS端完全相同的动态口令产生机制,连同User端保存的用户的秘密密钥,输出一个大整数作为响应码。
用户信息数据库中含有用户认证信息表,该表的主要字段应有用户ID、用户的公共密钥、秘密密钥等,其中用户ID是区分用户的标志,不可相同。
身份认证解决方案
3.引入安全协议和加密技术,保障数据传输与存储安全。
4.实施用户身份验证措施,对接权威数据源进行核验。
5.部署行为分析与风险控制系统,提高身份认证的准确性。
6.加强隐私保护措施,确保合规性。
7.持续跟踪国内外身份认证技术的发展动态,不断完善和优化身份认证方案。
4.开发用户身份识别功能,对接权威数据源;
5.部署用户行为分析系统,提高身份认证准确性;
6.加强隐私保护措施,确保合规性;
7.持续优化和升级身份认证方案,应对不断变化的安全风险。
五、风险评估与应对措施
1.身份冒用风险:通过多因素认证、用户行为分析等技术手段,降低身份冒用风险;
2.数据泄露风险:采取数据加密存储、合规性审查等措施,保障用户数据安全;
4.行为分析与风险控制
运用大数据分析和人工智能技术,实时监测用户行为,发现异常行为,及时采取风险控制措施。
5.隐私保护与合规性
-最小化原则:仅收集与身份认证直接相关的信息,减少用户隐私泄露风险。
-合规性审查:定期对身份认证方案进行合规性审查,确保符合国家法律法规要求。
四、实施流程
1.开展身份认证技术调研,评估不同认证方式的优缺点。
第2篇
身份认证解决方案
一、引言
在信息技术高速发展的当下,网络信息安全成为至关重要的议题。身份认证作为保障信息安全的基础环节,其重要性不言而喻。本方案旨在制定一套详尽的、合法合规的身份认证解决方案,以确保用户身份的真实性、合法性和有效性。
二、目标
1.提升身份认证安全性能,降低身份冒用风险。
2.优化用户体验,平衡安全与便捷性。
3.法律合规风险:遵循国家法律法规,确保身份认证方案的合法合规性;
基于SHA和RSA算法 实用有效的双向身份认证系统
() 2 将静 态 口令机制和动态 口令机 制相结合 , 动态口令 用
计安24 簟茔O 棚 o 6 6 _ i
维普资讯
弥补静 态 口令易于被截取 /重放攻击 的弱点; 在进行动态 口令 认证的同时 又必 须通过静 态口令 的验证 , 从而解决 了动态口令
重要地位 。 身份认证足信息安全领域的一个重要方面 , 它是根
据用户身 份号UI D、口令、网络地址 及其 他信息对用户所声称 的身份进 行认证 的过程 , 是安全 系统的第一道防线 。因此 ,身
( ) 战 /应答方案 ( hl ne R so s) 3挑 c al g / ep ne e 每个 用户都持 有相应的挑战/应答令牌。 令牌 内置密钥和
目前有 许多方法可 以实现 一次性 口令方案 。 常用的有如下
三 种…:
点是明显的【:1采 用C /S 1() 1 模式 , 易于在网络环境下实现; 2 () 在 客户端 和服务器之间通过密钥 鉴别 , 密钥不用在 网络传送 ; () 3灵活的认证机制 ,可支持 P P, A c P P P, HAP, NI lgn U x o i 等。因而本文的设计 以挑战 /应答 方案为基 础。
份认证方案。
身份认证 系统 的方案设计
虽然 S Ke / y方案易于实现而且无 需特殊的硬件 ,但其安
全性依 赖于单 向函数 , 而且 不宜用在分布式 网络环 境下 。 时钟
一
、
常用的一次性口令身份认证方案分析
同步 方案 对时 钟偏差的解决会引起其他相关的安 全问题。 虽然 挑战 /应 答方案直 接用在网络环境下也存在一些 不足 , 但其优
维普资讯
认证系统
研 究所 陈 航 周剑 岚 冯 珊
网络安全认证技术
网络安全认证技术身份认证的概念O身份认证是计算机及网络系统识别操作者身份的过程计算机网络是一个虚拟的数字世界,用户的身份信息是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份保证操作者的物理身份与数字身份相对应身份认证的功能O信息安全体系的目的是保证系统中的数据只能被有权限的“人”访问,未经授权的“人” 无法访问O身份认证是整个信息安全体系的基础用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据O防火墙、入侵检测、VPN、安全网关等安全技术建立在身份认证之上。
针对数字身份进行权限管理,解决数字身份能干什么的问题身份认证的分类O用户与主机之间的认证-认证人的身份•单机状态下的身份认证计算机验证人的身份:你是否是你声称的那个人?人的存储和计算能力有限o记忆高数量的密码密钥困难o执行密码运算能力有限O主机与主机之间的认证-通信的初始认证握手•网络环境下的身份认证计算机验证计算机计算机存储和计算能力强大o能存储高数量的密码和密钥O能够快速地进行密码运算认证人的身份认证人的身份o 所矢口(what you know)•密码、口令o 所有(what you have)•身份证、护照、智能卡等o 所是(who you are) 指纹、DNA等用户名/密码方式。
用户设定密码,计算机验证O易泄露用户经常用有意义的字符串作为密码用户经常把密码抄在一个自己认为安全的地方密码是静态的数据,每次验证过程使用的验证信息都是相同的,易被监听设备截获O用户名/密码方式一种是极不安全的身份认证方式可以说基本上没有任何安全性可言IC卡认证o IC卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据,可以认为是不可复制的硬件o IC卡由合法用户随身携带,登录时必须将IC卡插入专用的读卡器读取其中的信息,以验证用户的身份o IC卡硬件的不可复制可以保证用户身份不会被仿冒o IC卡中读取的数据还是静态的通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息动态口令1O是一种让用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次的技术。
网络安全认证机制
网络安全认证机制网络安全认证机制是确保网络系统和数据安全的重要措施。
它通过验证用户身份、验证网络通信、控制访问权限、检测和预防威胁等方式来保护网络环境。
网络安全认证机制主要包括以下几种:1. 用户身份验证:用户身份验证是确定用户身份真实性的过程。
常见的用户身份验证方式包括密码登录、指纹识别、声纹识别、虹膜识别等。
通过这些方式,系统可以确保只有授权的用户才能访问系统。
2. 双因素认证:双因素认证是在用户身份验证之外,再添加一层额外的认证机制。
常见的双因素认证包括输入独立的验证码、使用硬件令牌、通过手机短信验证等方式。
这样可以提高系统的安全性,避免密码单一因素暴露风险。
3. 访问控制:访问控制是网络安全中用于管理用户权限和限制用户访问资源的一种机制。
通过设置访问控制策略和权限,系统可以确保只有授权用户可以访问特定资源,同时保护敏感数据不被未经授权的用户获取。
4. 加密通信:加密通信是通过对传输数据进行加密来保护数据安全的一种机制。
常见的加密通信方式包括SSL/TLS协议、VPN等。
这样可以防止数据在传输过程中被窃取、篡改或伪造,保障网络通信的机密性和完整性。
5. 威胁检测和预防:威胁检测和预防是网络安全中常用的一种机制。
通过使用防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术,对网络流量进行实时监测和分析,及时发现和阻止各类网络威胁。
网络安全认证机制的目的是保护网络环境的安全性和可靠性。
有效的认证机制可以降低网络系统被攻击的风险,防止数据泄露和网络威胁的发生。
因此,在构建网络环境和系统时,需要综合考虑各种认证机制,并采取适当的组合和应用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一种实现双向认证的动态口令身份认证方案来源:网店装修 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。
关键词双向身份认证、动态口令、同步重调,动态身份认证系统身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。
这也就使之成为黑客攻击的主要目标。
因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。
就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。
本文中主要展开对动态口令认证法的讨论和研究。
1 背景知识介绍 1.1 PKI体系PKI<Public Key Infrastructure 公共密钥基础设施)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理。
公共密钥基础设施则是希望从技术上解决网上身份认证、信息的保密性、信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口<API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
1.2 RSA加密算法RSA加密算法,又称非对称算法,采用公钥——私钥对来对信息进行加、解密。
RSA加密算法的过程如下:<1)取两个随机大素数p和q<保密)。
<2)计算公开的模数r=pq(公开>。
<3)计算秘密的欧拉函数® =<p-1)(q-1><保密),丢弃两个素数p和q。
<4)随机选取整数e,满足gcd(e,公开e,加密密钥>。
<5)计算d,满足de≡1(mod ®>(保密d,解密密钥,陷门信息><6)将明文x<其值的范围在0到r-1之间)按模为r自乘e次幂以完成加密操作,从而产生密文y<其值也在0到r-1范围内)y=xe (mod r><7)将密文y按模为r自乘d次幂,完成解密操作x=yd (mod r>下面用一个简单的例子来说明RSA公开密钥密码算法的工作原理。
取两个素数p=11,q=13,p和q的乘积为r=p×q=143,算出秘密的欧拉函数®=(p-1>×(q-1>=120,再选取一个与®=120互质的数,例如e=7,作为公开密钥,e的选择不要求是素数,但不同的e的抗攻击性能力不一样,为安全起见要求选择为素数。
对于这个e值,可以算出另一个值d=103,d是私有密钥,满足e×d=1 mod ®,其实7×103=721除以120确实余1。
欧几里德算法可以迅速地找出给定的两个整数a和b的最大公因数gcd<a,b),并可判断a与b是否互素,因此该算法可用来寻找解密密钥。
1.3 动态口令生成原理及技术动态口令<Dynamic Password),又称一次性口令<OTP-One Time Password),是相对于传统的静态口令而说的。
它一般由某种终端设备,根据动态口令生成算法产生的随动态参数变化而变化的口令。
动态口令是变化的密码,其变化来源于产生密码的运算因子是变化的。
动态口令的生成算法一般都采用双运算因子,一是用户身份的识别码,是固定不变的,如用户的私有密钥;二是变动因子,如时间、随机数、计数器值等。
根据动态因子的不同,产生了不同的动态口令认证技术。
主要分为两种,即同步认证技术和异步认证技术。
其中同步认证技术又分为基于时间同步认证技术<Time Synchronous)和基于事件同步认证技术<Event Synchronous);异步认证技术即为挑战/应答认证技术<Challenge/Response)。
一次性口令的概念是在20世纪80年代初由美国科学家Leslie Lamport提出的。
之后贝尔通信研究中心于1991年研制出了第一个动态口令认证系统S/KEY。
随之美国著名加密算法研究室RAS研制成功了基于时间同步的动态口令认证系统RSA SecureID。
自此身份认证步入了动态口令身份认证系统的时代。
国内最早的动态口令系统大约出现在十年前,但技术不成熟,市场前景惨淡,至今尚未得到推广。
2 现存动态口令认证系统的不足和缺陷以及解决方案2.1 存在的不足和缺陷不可否认基于动态口令的身份认证系统给网络安全带来了福音。
它的优点,如动态性、一次性、随机性、多重安全性等,从根本上有效修补了传统身份认证系统存在的一些安全隐患。
比如,可以有效防止重放攻击、窃听、猜测攻击等。
但就目前的研究成果、使用情况来看,它同样也存在这不足,以及技术上的难关。
现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,这样就不能避免来自服务器端的攻击。
随着网络应用的多样性发展,越来越多的网络应用要求能够实现双向认证以确保双发的利益,如电子商务、金融业务等,因此实现双向认证就成为了身份认证的一个必然趋势。
对于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。
此时如何保持服务器和众多客户端同步就成了一个技术难关。
基于同步认证技术的动态身份认证系统都存在“漂移”问题,也即“失步”。
目前的解决办法往往是以牺牲口令的随机度来弥补这个缺陷。
这无疑给系统带来了很大的安全隐患。
当然异步认证技术不存在“漂移”问题,但是它进行认证的过程比较繁琐,占用通讯时间太长,效率比较低。
本文针对上面提到的动态口令认证系统的不足和缺陷设计了一个新方案。
该方案采用双向认证通信协议实现了双向认证,并设计了一种失步重调机制。
2.2 改进方案 2.2.1 双向认证通信协议在这个协议中使用了直接信任模型,即客户端和服务器端通过注册阶段而建立直接信任关系。
<直接信任是最简单的信任形式。
两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。
)协议中包括两个阶段:注册阶段、登陆阶段。
1) 注册阶段注册阶段是为了让Client 和Server 建立初始信任关系。
整个注册过程通过安全信道进行。
注册阶段中Client 和Server 交换各自的id 和公钥。
服务器端将加密后存储。
客户端将 加密后存储在令牌中。
图1 client 通过安全信道在服务器进行注册2)登陆阶段符号说明: 表示用密钥加密括号内信息。
表示用密钥解密括号内信息。
表示客户端公钥。
表示客户端私钥。
表示服务器端公钥。
表示服务器端私钥。
表示客户端id 。
表示服务器端id 。
表示客户端某一次的动态密码。
R表示客户端生成的一次性随机数。
图2 登陆阶段的通信过程在登陆阶段,主要有七个步骤。
Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。
发送完毕后,客户端会将R备份,并启动计时器,若超过一定时间T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。
Server先用自己的私钥对收到的消息C1进行解密,得到用用户私钥加密的数据包,记为M2,以及和R。
Server根据得到的,在数据库中查找对应用户的公钥。
用解密M2,得到和本次动态密码。
(4> 验证动态密码的正确性。
根据和Client端一样的动态密码生成算法,生成动态密码。
比较和Client端发送过来的。
若不同,拒绝Client的登陆请求,向Client发送拒绝登陆数据包;若相同,接受Client登陆请求,进入第⑤步。
Server向Client发送数据包C2,即将和Client发送过来的R用Server的私钥加密,再和一块打包用Client的公钥加密。
Client收到Server发送的反馈消息后,先用自己的私钥解密得到用加密的加密数据包,记为M4,以及。
根据第⑥步中得到的,取出对应的公钥。
用机密M4,得到和R。
将R和本身暂存的R进行比较。
若相同,则验证服务器为合法身份,Client和Server建立正常通信连接;若不同,判定该服务器为非法的,拒绝和该服务器建立通信连接。
2.2.2 动态口令的生成算法动态密码,纠根揭底就是将动态因子和用户的固有秘密信息融合在一起生成登陆密码。
动态因子可以是时间、计数器次数、随机数等。
本文中设计使用的动态密码生成算法采用计数器作为动态因子。
Client端和Server端各拥有一个计数器,初始值为0。
Client 和Server每成功地进行一次相互认证计数器值增1,以此来保证双方计数器的同步。
采用单向哈希函数进行加密。
HASH<哈希)函数提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串,又称HASH值。
MD5算法是希哈函数的一种,输入为任意长度的报文,以512比特报文分组进行处理,产生一个128比特长度的报文摘要。
“单向”也就说明了Hash函数的不可逆性,即知道输出结果不能推出输入。
它的不可逆性大大提高了安全性。
本文中使用MD5算法来计算生成动态口令。
用户固有秘密信息为:用户自定义的、用户私钥;动态因子为:计数器的计数值,即Client和Server成功通过双向认证的次数。
定义Hash值为h=H(M>。
H表示Hash函数;M表示需要加密的信息。
h为Hash值,即为本文中设计算法的动态密码。
从本质上来说,动态密码就是使用MD5加密后的密文。
相应的身份认证系统还要配备必需的硬件设施:令牌卡。
令牌卡为客户持有,里面芯片集成动态口令生成算法,并有一个计数器。
客户每次要登陆的时候,将令牌卡插入读卡器,读取计数器值,生成本次登陆的密码传给客户端登陆程序。
客户端登陆程序根据双向认证的通信协议进行打包发送给服务器。
服务器端接收到客户发送过来的请求数据包,解密后验证动态密码的合法性。
服务器端会根据同步认证算法来验证密码的合法性。
并根据判定结果发送给服务器端应答包。
成功完成双向认证后,Client端令牌卡和服务器中的计数器各增加1。
2.2.3 失步重调机制采用同步认证技术的动态口令身份认证系统还存在着一个不可避免的问题:同步。
若要保证Client和Server能够顺利通过双向认证就必须保持双方的高度同步。