双向认证系统的研究与实现
|
摘要
随着全球信息化的飞速发展,网络,作为一种重要的信息传递手段,已经成为现代人生活中不可或缺的一部分。尤其是近几年来,我国网络建设的普及范围越来越广泛,已经成为一个网络大国。伴随着蓬勃发展的网络而来的是令人担忧的网络安全问题,而事实上各种利用网络进行的违法行为也日益呈现上升趋势。作为网络安全技术重要组成部分的身份认证技术自然成为了人们关心的热门话题。
口令认证是最常用的身份认证方式,而一次性口令由于其较高的安全性受到人们普遍关注。本文论述了一次性口令的原理及实现方式,通过分析比较几种常见的一次性口令认证技术,总结了现有一次性口令认证方式中存在的一些不足,并结合公钥加密及SSL协议的基本思想,设计了一种双向认证的一次性口令认证方案。文中对新方案的具体实现做了详细说明,并采用B/S模式对方案进行了实现。
新方案中采用SSL协议的思想安全地实现了服务器和客户端的密钥交换,确保了信息能准确无误地到达对方,并采用两个随机数来加强口令的随机性。整个系统具有简单灵活,实现成本低,安全性高等特点。
With the rapid globalization of information, the network, as one of the informationtransmission methods, has already become a very important part in people's life nowadays,especially when China has become a network country due to the widespread of networkconstruction in recent years. But at the same time, network security becomes a problemwhich arouses more people's concern. In fact, there are more and more illegal activities byusing the network. Therefore, identity authentication, the important part of networksecurity technology, becomes a heated topic recently.
Among all the identity authentications, password authentication is the one used most,and among which the one time password scheme draws most attention because of its highsecurity. This paper introduces the principle and the realization way of the one timepassword scheme at first, and then summarizes the defects of existing schemes bycomparing several kinds of common one time password schemes. Combining those withpublic key encryption and SSL protocol, a bidirectional authentication one time passwordscheme is designed. Then the concrete steps of the new scheme are given, and it is simplerealized by the B/S mode.
During the design of the new scheme, SSL protocol is used to guarantee the safeexchange of keys between the server and the customers, so that the information can be sentto the other side correctly. Besides, the method of two random numbers is used tostrengthen the randomness of the password. The system is simply and flexible. It costslower, but is much safer.
口令认证是最常用的身份认证方式,而一次性口令由于其较高的安全性受到人们普遍关注。本文论述了一次性口令的原理及实现方式,通过分析比较几种常见的一次性口令认证技术,总结了现有一次性口令认证方式中存在的一些不足,并结合公钥加密及SSL协议的基本思想,设计了一种双向认证的一次性口令认证方案。文中对新方案的具体实现做了详细说明,并采用B/S模式对方案进行了实现。
新方案中采用SSL协议的思想安全地实现了服务器和客户端的密钥交换,确保了信息能准确无误地到达对方,并采用两个随机数来加强口令的随机性。整个系统具有简单灵活,实现成本低,安全性高等特点。
With the rapid globalization of information, the network, as one of the informationtransmission methods, has already become a very important part in people's life nowadays,especially when China has become a network country due to the widespread of networkconstruction in recent years. But at the same time, network security becomes a problemwhich arouses more people's concern. In fact, there are more and more illegal activities byusing the network. Therefore, identity authentication, the important part of networksecurity technology, becomes a heated topic recently.
Among all the identity authentications, password authentication is the one used most,and among which the one time password scheme draws most attention because of its highsecurity. This paper introduces the principle and the realization way of the one timepassword scheme at first, and then summarizes the defects of existing schemes bycomparing several kinds of common one time password schemes. Combining those withpublic key encryption and SSL protocol, a bidirectional authentication one time passwordscheme is designed. Then the concrete steps of the new scheme are given, and it is simplerealized by the B/S mode.
During the design of the new scheme, SSL protocol is used to guarantee the safeexchange of keys between the server and the customers, so that the information can be sentto the other side correctly. Besides, the method of two random numbers is used tostrengthen the randomness of the password. The system is simply and flexible. It costslower, but is much safer.
引文
[1] Eric Maiwald.网络安全实用指南.第1版.北京:清华大学出版社.2003
[2] 蔡皖东.计算机网络.第1版.西安:西安电子科技大学出版社.2000
[3] 蔡皖东.网络与信息安全.第1版.西安:西北工业大学出版社.2004
[4] 戴宗坤.信息安全实用技术.第1版.重庆:重庆大学出版社.2005
[5] William Stallings.张英译.网络安全基础应用与标准.第1版.北京:中国电力出版社.2004
[6] William Stallings.潇湘工作室译.网络安全要素—应用与标准.第1版.北京:人民邮电出版社,2000
[7] Jhon Bell.Tony Lonton.马树奇等译.Java Servlets 2.3编程指南.第1版.北京:电子工业出版社.2002
[8] 孙一林,彭波.Java网络编程实例.第1版.北京:清华大学出版社,2003
[9] 何梅.Java Appet编程实例.第l版.北京:清华大学出版社,2003
[10] William Stallings.刘玉珍译.密码编码学与网络安全-原理与实践.第3版.北京:电子工业出版社.2004
[11] 胡建伟.网络安全与保密.第1版.西安:西安电子科技大学出版社.2003
[12] Bruce Schneier.应用密码学.第1版.北京:机械工业出版社.2000
[13] Steve Bumett,Stephen Paine.密码工程实践指南[M].第1版.北京:清华大学出版.2001
[14] Daris Wagner, Bruce Schneier.Analysis of the SSL3.0 Protocol[DB/OL]. 1997
[15] Nei M Hailer. The S/KEY One-time Password System. RFC1760, Network Working Group. 1994
[16] Manjula Sandiringama, Akihiro Shimizu, Matu-tarow Noda.Simple and Secure Password AuthenticationProtocol. IEICE trans. Comm 2000, 83(6): 363-1365
[17] Jess Garms,Daniel Somerfield.庞南等译.Java安全性编程指南.第1版.北京:电子工业出版社.2002
[18] 卢开澄.计算机密码学——计算机网络中的数据保密与安全.第2版.北京:清华大学出版社.1998
[19] 徐迎晓.Java安全性编程实例.第1版.北京:清华大学出版社.2003
[20] Jamie Jaworski.邱仲潘译.Java安全手册.第1版.北京:电子工业出版社.2001
[21] Eric Rescorla.SSL与TLS[M].第1版.北京:中国电力出版社.2004
[22] Marty Hall.邓英材,孟杰,孙建春译.Servlet与JSP核心技术.第1版.北京:人民邮电出版社.2001
[23] 王克宏,李京华,柳菁,蒋长浩.JAVA语言APPLET编程艺术.第1版.北京:清华大学出版社.1997
[24] 王柳鋐.JAVA Applet在WWW上的应用.第1版.哈尔滨:哈尔滨工程大学出版社.1997
[25] Elliotte Rusty Harold.朱涛江,林剑译.Java网络编程.第1版.北京:中国电力出版社.2005
[26] 柳永坡,刘雪梅,赵长海.JSP应用开发技术.第1版.北京:人民邮电出版社.2005
[27] Mike Horfon,Clinton Mugge.网络安全手册.第1版.北京:清华大学出版社.2005
[28] 王滨,张远洋.一次性口令身份认证方案的分析与改进.计算机工程.2006,32(14):149—150
[29] 王春枝,唐皓.一种新型的一次性口令机制与实现.科教文汇.2006(2):187—188
[30] 张宏,陈志刚.一种新型一次性口令身份认证方案的设计与分析.计算机工程.2004,30(17):112—113
[31] 王宏健,邵佩英,张籍.一次性口令身份验证系统的设计与实现.计算机应用研究.2001(11):59—61
[32] 高雪,张焕国,孙晓梅.一种改进的一次性口令认证方案.计算机应用研究.2006(6):127—128
[33] 刘刚,司渐美.对一个双向身份认证方案的改进.计算机安全.2006(10):7—8
[34] 吴和生,范训礼,谢俊元.网络环境下一次性口令身份认证的研究与实现.计算机科学.2003,30(5):153—156
[35] 陈航,周剑岚,冯珊.基于SHA和RSA算法实用有效的双向身份认证系统[J].计算机安全.2006(4):6-8
[36] 张峰岭.基于Java2的身份认证数字签名和SSL实现技术.现代计算机.2002(2):27—31
[37] 翟东锴,徐孟春,赵欣,韩儒博.一种加强SSL协议安全性的解决方案.计算机应用与软件.2005,22(6).108—109
[38] 李春光,孙朝霞。基于安全散列算法的口令安全机制及其java实现.青岛理工大学学报.2005,26(5):67—70
[39] 李辉,刘文军.一种动态口令认证系统的设计与实现.计算机应用.2006(26):104—106
[40] 党继胜,汪学明.基于公钥的Kerberos认证协议的改进与证明.计算机应用.2006(26):78—81
[41] 朱玲玲.网络安全中的用户身份认证机制.中国科技信息.2006(1):46—47
[42] 刘涛,严楠,甘洁净.基于RSA算法动态相互认证的设计.安徽工程科技学院学报.2006,21(3):29—33
[43] 钟声,孙红兵,邱钢.基于时间戳的密码身份认证方案.计算机应用.2006(26):71—72
[44] 褚建立,张洪星,李洪燕,马雪松.基于Web的多重身份认证的实际与实现.电脑知识与技术.2006(12):50—51
[45] 王庆.个人身份网络认证技术初探.重庆工贸职业技术学院学报.2006(1):48—50
[46] 张喆.口令认证协议的分析与设计.计算机与信息技术.2006(5):51—53
[47] 张馨,冯全源.基于动态ID的远程用户身份认证方案。计算机工程与设计.2007,28(3):545—546
[48] 马俊,敖山.SSL客户端认证和基于数字签名的动态口令认证技术.学术平台.2006(7):33
[49] 薛辉,王再芊,梁晶,王平,安凯.网络身份认证若干安全问题及其解决方案.计算机与数字工程.2007,35(1):81—84
[50] 陈航,周剑岚,冯珊.基于SHA和RSA使用有效的双向身份认证系统.计算机安全.2006(4):6—8
[51] 张连宽.基于单向散列函数的一次性口令身份认证方法.华南金融电脑.2004(7):31—32
[52] 张丽,毕于深,杨武英,关颖,李子梅.一次性口令认证系统的研究.辽宁石油化工大学学报.2004,24(4):71—73.
[53] 赵毅.Interne SSL编程及Java实现.上海工程技术大学学报.2005,19(3):247—249
[54] 赵毅.Internet网络低层编程及Java实现[J].上海工程技术大学学报.2004,18(4):332—335.
[55] 曲毅.网络安全中身份认证技术的研究.淮安工学院学报.2001,10(1):24—27
[56] 陈敬佳.SSL/TLS的安全性分析与实现.武汉理工大学学报.2005,27(5):70—72
[57] 丁月华,熊前兴.SSL安全代理的Java实现.交通与计算机.2003(6):103—106
[58] 黄林,朱卫东.SSL协议的分析和应用.电脑知识与技术.2006(10):347—348
[59] 赵榛,鲍飞,刘克钧.用Java Applet实现SSL的128位强加密.华中科技大学学报(自然科学版).2004,32(4):74—76
[60] Freier Karlton, Kocher.The SSL Protocol Version3.0[DB/OL]. 1996.
[61] Lamport L.Password authentication within secure communication [J].Communications of the ACM.1981, 24 (11): 770-772
[62] N. Haller Bellcore, C. Metz. A One-Time Password System.RFC 2289.[EB/OL] http://www.faqs.org/rfcs/rfc2289.html. 1998
[63] Java 2 SDK HtmlHelp Docmentation by F.Allimant
[64] http://www.acm.org/~ops.java.html
[65] http://java.sun.com/tutorial/TOC.html
[66] www.knownsky.com
[67] 肖美华,江耘,邓宸芳,马小薏,薛锦云.网络安全认证协议形式化分析.计算机安全.2006(2):36—38
[68] 何健.SSL协议及其实现.武汉工业学院学报.2003,22(2):69—71
[69] 欧阳星明,舒之兵.对SSL握手协议密钥交换方式的改进与应用.计算机工程与科学.2006,28(11):15—17
[70] 张毅.基于SSL的身份认证的访问控制实现原理.商场现代化.2007(3):78—79
[71] 付沙,何诚,文旭华.基于SSL协议的安全网络通信的理论何实现.计算机与现代化.2006(11):27—29
[72] D. Mitton, M. St.Johns, S.Barkley, D. Nelson, B. Patil, M. Stevens, B.Wolff. Authentication and Accounting: Protocol Evaluation. RFC3127. June 2001.
[2] 蔡皖东.计算机网络.第1版.西安:西安电子科技大学出版社.2000
[3] 蔡皖东.网络与信息安全.第1版.西安:西北工业大学出版社.2004
[4] 戴宗坤.信息安全实用技术.第1版.重庆:重庆大学出版社.2005
[5] William Stallings.张英译.网络安全基础应用与标准.第1版.北京:中国电力出版社.2004
[6] William Stallings.潇湘工作室译.网络安全要素—应用与标准.第1版.北京:人民邮电出版社,2000
[7] Jhon Bell.Tony Lonton.马树奇等译.Java Servlets 2.3编程指南.第1版.北京:电子工业出版社.2002
[8] 孙一林,彭波.Java网络编程实例.第1版.北京:清华大学出版社,2003
[9] 何梅.Java Appet编程实例.第l版.北京:清华大学出版社,2003
[10] William Stallings.刘玉珍译.密码编码学与网络安全-原理与实践.第3版.北京:电子工业出版社.2004
[11] 胡建伟.网络安全与保密.第1版.西安:西安电子科技大学出版社.2003
[12] Bruce Schneier.应用密码学.第1版.北京:机械工业出版社.2000
[13] Steve Bumett,Stephen Paine.密码工程实践指南[M].第1版.北京:清华大学出版.2001
[14] Daris Wagner, Bruce Schneier.Analysis of the SSL3.0 Protocol[DB/OL]. 1997
[15] Nei M Hailer. The S/KEY One-time Password System. RFC1760, Network Working Group. 1994
[16] Manjula Sandiringama, Akihiro Shimizu, Matu-tarow Noda.Simple and Secure Password AuthenticationProtocol. IEICE trans. Comm 2000, 83(6): 363-1365
[17] Jess Garms,Daniel Somerfield.庞南等译.Java安全性编程指南.第1版.北京:电子工业出版社.2002
[18] 卢开澄.计算机密码学——计算机网络中的数据保密与安全.第2版.北京:清华大学出版社.1998
[19] 徐迎晓.Java安全性编程实例.第1版.北京:清华大学出版社.2003
[20] Jamie Jaworski.邱仲潘译.Java安全手册.第1版.北京:电子工业出版社.2001
[21] Eric Rescorla.SSL与TLS[M].第1版.北京:中国电力出版社.2004
[22] Marty Hall.邓英材,孟杰,孙建春译.Servlet与JSP核心技术.第1版.北京:人民邮电出版社.2001
[23] 王克宏,李京华,柳菁,蒋长浩.JAVA语言APPLET编程艺术.第1版.北京:清华大学出版社.1997
[24] 王柳鋐.JAVA Applet在WWW上的应用.第1版.哈尔滨:哈尔滨工程大学出版社.1997
[25] Elliotte Rusty Harold.朱涛江,林剑译.Java网络编程.第1版.北京:中国电力出版社.2005
[26] 柳永坡,刘雪梅,赵长海.JSP应用开发技术.第1版.北京:人民邮电出版社.2005
[27] Mike Horfon,Clinton Mugge.网络安全手册.第1版.北京:清华大学出版社.2005
[28] 王滨,张远洋.一次性口令身份认证方案的分析与改进.计算机工程.2006,32(14):149—150
[29] 王春枝,唐皓.一种新型的一次性口令机制与实现.科教文汇.2006(2):187—188
[30] 张宏,陈志刚.一种新型一次性口令身份认证方案的设计与分析.计算机工程.2004,30(17):112—113
[31] 王宏健,邵佩英,张籍.一次性口令身份验证系统的设计与实现.计算机应用研究.2001(11):59—61
[32] 高雪,张焕国,孙晓梅.一种改进的一次性口令认证方案.计算机应用研究.2006(6):127—128
[33] 刘刚,司渐美.对一个双向身份认证方案的改进.计算机安全.2006(10):7—8
[34] 吴和生,范训礼,谢俊元.网络环境下一次性口令身份认证的研究与实现.计算机科学.2003,30(5):153—156
[35] 陈航,周剑岚,冯珊.基于SHA和RSA算法实用有效的双向身份认证系统[J].计算机安全.2006(4):6-8
[36] 张峰岭.基于Java2的身份认证数字签名和SSL实现技术.现代计算机.2002(2):27—31
[37] 翟东锴,徐孟春,赵欣,韩儒博.一种加强SSL协议安全性的解决方案.计算机应用与软件.2005,22(6).108—109
[38] 李春光,孙朝霞。基于安全散列算法的口令安全机制及其java实现.青岛理工大学学报.2005,26(5):67—70
[39] 李辉,刘文军.一种动态口令认证系统的设计与实现.计算机应用.2006(26):104—106
[40] 党继胜,汪学明.基于公钥的Kerberos认证协议的改进与证明.计算机应用.2006(26):78—81
[41] 朱玲玲.网络安全中的用户身份认证机制.中国科技信息.2006(1):46—47
[42] 刘涛,严楠,甘洁净.基于RSA算法动态相互认证的设计.安徽工程科技学院学报.2006,21(3):29—33
[43] 钟声,孙红兵,邱钢.基于时间戳的密码身份认证方案.计算机应用.2006(26):71—72
[44] 褚建立,张洪星,李洪燕,马雪松.基于Web的多重身份认证的实际与实现.电脑知识与技术.2006(12):50—51
[45] 王庆.个人身份网络认证技术初探.重庆工贸职业技术学院学报.2006(1):48—50
[46] 张喆.口令认证协议的分析与设计.计算机与信息技术.2006(5):51—53
[47] 张馨,冯全源.基于动态ID的远程用户身份认证方案。计算机工程与设计.2007,28(3):545—546
[48] 马俊,敖山.SSL客户端认证和基于数字签名的动态口令认证技术.学术平台.2006(7):33
[49] 薛辉,王再芊,梁晶,王平,安凯.网络身份认证若干安全问题及其解决方案.计算机与数字工程.2007,35(1):81—84
[50] 陈航,周剑岚,冯珊.基于SHA和RSA使用有效的双向身份认证系统.计算机安全.2006(4):6—8
[51] 张连宽.基于单向散列函数的一次性口令身份认证方法.华南金融电脑.2004(7):31—32
[52] 张丽,毕于深,杨武英,关颖,李子梅.一次性口令认证系统的研究.辽宁石油化工大学学报.2004,24(4):71—73.
[53] 赵毅.Interne SSL编程及Java实现.上海工程技术大学学报.2005,19(3):247—249
[54] 赵毅.Internet网络低层编程及Java实现[J].上海工程技术大学学报.2004,18(4):332—335.
[55] 曲毅.网络安全中身份认证技术的研究.淮安工学院学报.2001,10(1):24—27
[56] 陈敬佳.SSL/TLS的安全性分析与实现.武汉理工大学学报.2005,27(5):70—72
[57] 丁月华,熊前兴.SSL安全代理的Java实现.交通与计算机.2003(6):103—106
[58] 黄林,朱卫东.SSL协议的分析和应用.电脑知识与技术.2006(10):347—348
[59] 赵榛,鲍飞,刘克钧.用Java Applet实现SSL的128位强加密.华中科技大学学报(自然科学版).2004,32(4):74—76
[60] Freier Karlton, Kocher.The SSL Protocol Version3.0[DB/OL]. 1996.
[61] Lamport L.Password authentication within secure communication [J].Communications of the ACM.1981, 24 (11): 770-772
[62] N. Haller Bellcore, C. Metz. A One-Time Password System.RFC 2289.[EB/OL] http://www.faqs.org/rfcs/rfc2289.html. 1998
[63] Java 2 SDK HtmlHelp Docmentation by F.Allimant
[64] http://www.acm.org/~ops.java.html
[65] http://java.sun.com/tutorial/TOC.html
[66] www.knownsky.com
[67] 肖美华,江耘,邓宸芳,马小薏,薛锦云.网络安全认证协议形式化分析.计算机安全.2006(2):36—38
[68] 何健.SSL协议及其实现.武汉工业学院学报.2003,22(2):69—71
[69] 欧阳星明,舒之兵.对SSL握手协议密钥交换方式的改进与应用.计算机工程与科学.2006,28(11):15—17
[70] 张毅.基于SSL的身份认证的访问控制实现原理.商场现代化.2007(3):78—79
[71] 付沙,何诚,文旭华.基于SSL协议的安全网络通信的理论何实现.计算机与现代化.2006(11):27—29
[72] D. Mitton, M. St.Johns, S.Barkley, D. Nelson, B. Patil, M. Stevens, B.Wolff. Authentication and Accounting: Protocol Evaluation. RFC3127. June 2001.