论文部分内容阅读
本文首先分析了当前各种主流身份认证机制,分别对它们的安全性和应用范围进行了分析,然后对一次性口令认证机制的四种模式进行了深入研究,分析了它们的安全性和实用性,最后针对秘密通行短语容易遭受离线字典攻击的缺陷提出了改进的基于事件的一次性口令系统,包括一次性口令生成算法和认证协议。本文提出的一次性口令生成算法不依赖于用户的秘密通行短语,而是利用令牌序列号的转换值作为令牌密钥,对计数器值进行对称密钥加密来产生一次性口令。并且针对现有硬件令牌的缺陷设计了成本低,寿命长的硬件令牌。改进的一次性口令认证协议采用双因子身份认证,利用计数器来实现同步,能够有效防止窃听、重放、口令猜测和小数攻击。服务器端存入令牌序列号,而不存令牌密钥,需要时利用系统密钥对令牌序列号进行加密来产生令牌密钥,这样服务器端只需保管好系统密钥而不需保管所有的令牌密钥,使得密钥管理非常容易。改进的基于事件的一次性口令系统不需要在客户端安装软件、成本低且易于部署,适合于对现有使用静态口令认证的应用系统的改造,也可用于改造其它的认证系统。