基于时间同步的动态口令认证系统.docx

          基于时间同步的动态口令认证系统                    李晓东，贾慧斌（北京电子科技学院，北京100070）摘要：采用一次性口令认证增强信息系统安全性用户利用一次性口令生成器，以当前时间和初始口令作为MD5算法输入计算出动态口令每次登录输入不同的动态口令，可以克服传统静态口令认证的问题一次性口令生成器和主机完全隔离，对MD5算法进行必要的优化以烧写到89C51单片机中运行关键词：时间同步；动态口令TP309.5 ：A0引言现实生活中，个人身份主要通过各种证件来确认，如：身份证、户口本等电脑世界和现实世界很相似，各种计算资源（如：文档、数据库、应用系统）也需要认证机制的保护，确保这些资源仅被合法使用者所使用现在各类计算资源仍主要靠固定口令的方式来保护口令虽然是普遍采用的用户认证方式，但这种以固定口令为基础的认证方式存在很多问题，最明显的是以下几种：网络数据流窃听(Sniffer)：很多通过网络传递的认证信息是未经加密的明文（如FTP, TELNET等），易被攻击者通过窃听网络数据分辨出认证数据，并提取用户名和口令认证信息截取／重放(Record/Replay)：简单加密后进行传输的认证信息，攻击者会使用截取／重放方式推算出密码。

字典攻击：以有意义的单词或数字作为密码，攻击者会使用字典中的单词来尝试用户的密码穷举尝试(Brute Force):这是一种特殊的字典攻击，它使用字符串的全集作为字典如果用户的密码较短，很容易被穷举出来另外，窃取系统口令文件和偷听网络连接获取用户ID和口令是最常见的攻击方式，大部分攻击的主要方向和目的是得到用户ID和用户密码，其中以各种形式的木马对用户口令的安全威胁最大当数据库服务器和数据库应用服务端被注入木马后，现有的所有安全保密措施形同虚设，木马将把键盘输入的用户名和密码记录下来以电子邮件或其它方式发送给攻击者只要获得了用户ID和密码，所有敏感数据将暴露无遗，因此用户登录验证方法还有待于改进遗憾的是目前大多数网络信息工程都没有很重视口令的安全性，而且相关的工程实践文献和理论文献都比较少鉴于以上原因，对动态口令进行了探究，同时在工程上进行了实现验证1动态口令系统设计1.1设计思路OTP( One Time Password)的主要思路是：在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性例如：登录密码=E(用户名，密码，时间)．系统接收到登录口令后做一个验算即可验证用户的合法性。

这些不确定[来自wwW.lW]因子选择方式大致有以下几种：1)口令序列：口令为一个单向的前后相关的序列，系统只用记录第N个口令用户用第N-l个口令登录时，系统用单向算[来自WwW.lw5U.com]法算出第N个口令与自己保存的第N个口令匹配，以判断用户的合法性2)挑战／回答：用户要求登录时，系统产生一随机数发送给用户用户用某种单向算法将自己的秘密口令和随机数混合发给系统，系统用同样的方法做验算即可验证用户身份3)时间同步：以用户登录时间作为随机因素这种方式对双方的时间准确度要求较高，一般采取以分钟为时间单位的折中办法4)事件同步：这种方法以挑战／回答方式为基础，将单向的前后相关序列作为系统的挑战信息，以节省用户每次输入挑战信息的麻烦本文的一次性口令认证系统选取的是时间同步方案，实现了用户在一次性口令生成器上设置原始口令，登录目标应用时点击一次性口令生成器按键生成一次性口令，目标应用根据用户输入的一次性口令验证其合法性一次性口令生成器的时间与目标应用出现不符时，可以通过一次性口令生成器按键进行调整使之符合传统静态口令认证的问题在于：口令在输入时容易被看到；输入的口令容易被宿主机上的恶意程序（如木马）所窃取。

一旦用户口令被窃取，即使是安全强度高的系统也难以抵挡非法访问者的入侵，从而造成不可挽回的损失本文的动态口令系统克服了上述缺点，可应用于对安全性要求较高的口令登录系统，如政府机关，网上银行及企事业单位的信息系统等系统1.2实现方案1.2.1系统方案本系统采取基于系统时间同步的一次性口令认证方案：用户认证时，点击一次性口令生成器的按键，一次性口令生成器读取用户的原始口令R和当前的时间Tl，用MD5算法和小变换进行变换后取前8个字符显示在液晶上，口令生成的可能性有232种，重复概率可以忽略用户在目标应用的登录界面上输入用户名和一次性口令目标应用服务器端通过数据库中用户的记录获得原始口令，以同样的变换过程得到一次性口令通过将这两个一次性口令进行比较来验证用户的身份由于时间是按分钟变化来改变的，使得同一用户在不同时间内的口令必然是不一致的而不同用户由于原始口令的不同，使得他们的最终口令的不一致这样达到了一次一密的效果1.2.2系统框图2结论本文所设计的一次性口令生成器，用户可随身携带，用户在设置核心口令后可以每次输入挑战参数获得相应的一次性口令在实现一次性口令生成器之后，进行了大量的测试，改进了一些不足之处，目前技术上已比较完善，接近实用程度。

责编程斌）参考文献：[1]郑海龙，刘建伟．一次性口令认证机制的分析与研究[J]．信息安全与通信保密．2008．[2]吴佩萱，基于时间同步机制的动态密码认证系统[J]长江大学学报，2005，2(7)．作者简介：李晓东(1970-)，男，博士研究生，副教授，主要研究方向：网络安全；贾慧斌(1988-)，男，大学本科，主要研究方向：网络安全  -全文完-。