基于动态口令的身份认证技术.doc

1、厦门大学软件学院毕业论文 - 1 - 本科毕业论文 (科研训练、毕业设计 ) 题 目：基于动态口令的身份认证技术 姓 名： 学 院：软件学院 系：软件工程 专 业：软件工程 年 级： 学 号： 指导教师（校内）： 职称： 年 月 厦门大学软件学院毕业论文 - 2 - 基于动态口令的身份认证技术 摘要 计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中，一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权 。而我们生活的现实世界是一个真实的物理世界，每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操

2、作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。 身份认证技术可以用于解决访问者的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个信息安全体系的基础。 本文大致介绍了身份认证技术及其主要实现方式，并通过对传统静态口令认证方式的安全性分析，了解静态口令身份认证的缺陷和目前信息 安全的主要攻击手段。针对静态口令认证方式的缺陷，本文进一步提出了动态口令认证方式，详细介绍了动态口令技术的概念，基本原理，特点和实现方式，并对其安全性进行了大致分析。 为了使读者更好地理解动

3、态口令技术，本文详细介绍了两种动态口令认证方案： S/KEY口令序列认证方案和 SAS-2认证方案，通过对其安全性进行分析并提出改进方案。另外，本文实现了基于 MD5算法和 Schnorr协议的双因素动态口令认证系统，并对其进行了系统设计。 关键词 身份认证 动态口令 S/KEY SAS-2 Schnorr协议 厦门大学软件学院毕业论文 - 3 - Authentication Technology Based on Dynamic Password Abstract Computer systems and computer networks is a virtual digital wor

4、ld. In the digital world, all information, including the identity of the user information is showed by a particular set of data. Computer can only identify the digital identity of user. The authentication to user is validating the digital identity of user. We live in the real physical world, and eve

5、rybody has a unique physical identity. How to ensure that the operator who uses the digital identity is the legitimate owners of the digital identify is a very important problem. People solve this problem by using authentication technology. Authentication technology can be used to solve the problem

6、how the identity of visitors meets their digital identity. It provides the other security technology the basis for the privilege of management. Therefore, authentication is the basics of the entire information security system. The paper makes the people understood the major authentication methods by

7、 introducing authentication technology. Through analyzing the traditional static-password authentication, we can know the weaknesses of the static-password authentication and the current major means of attack information security. This paper proposes the dynamic-password authentication against stati

8、c-password authentication flaws. It introduces the concept, the basic principles, the characteristics and the ways of the dynamic-password authentication, and analyzes its security. In order to enable readers to better understand the dynamic-password technology, the paper describes in detail the two

9、 dynamic-password authentication schemes: S/KEY scheme and SAS-2 scheme. And this paper makes the improvements through their security analysis. In addition, the paper realizes the two-factor dynamic authentication system based on the MD5 algorithm and Schnorr protocol. Keyword Authentication Dynamic

10、-Password S/KEY SAS-2 Schnorr protocol 厦门大学软件学院毕业论文 - 4 - 目录 第一章 引言 . - 8 - 1.1 身份认证技术 (Authentication) . - 8 - 1.1.1 身份认证技术的重要性 . - 8 - 1.1.2 身份认证技术的目的 . - 8 - 1.1.3 身份认证技术的基本实现方式 . - 9 - 1.2 传统静态口令认 证技术的缺陷 . - 9 - 1.3 相关技术说明 . - 11 - 1.3.1 散列函数 . - 11 - 1.3.2 符号说明 . - 11 - 第二章 动态口令身份认证技术 . - 12 -

11、2.1 动态口令身份认证的概念 . - 12 - 2.2 动态口令身份认证 的基 本原理 . - 12 - 2.3 动态口令技术的特点 . - 12 - 2.4 动态口令认证的实现方式 . - 13 - 2.4.1 异或运 算方式 . - 13 - 2.4.2 Lamport 方式 . - 13 - 2.4.3 时间同步方式 (Time Synchronization) . - 13 - 2.4.4 挑战 /应答方式 (Challenge/Response) . - 14 - 2.5 动态口令认证技术的安全性分析 . - 14 - 2.6 动态口令技术的缺陷 . - 15 - 第三章 主要的动

12、态口令身份认证方案 . - 16 - 3.1 S/KEY 口令序列认证方案 . - 16 - 3.1.1 S/KEY 口令序列认证方案描述 . - 16 - 3.1.2 S/KEY 口令序列认证方案的实现过程 . - 17 - 3.1.3 S/KEY 口令序列认证方案的安全性分析 . - 20 - 3.1.4 S/KEY 的改进方案 . - 20 - 3.2 SAS-2 认证方案 . - 21 - 厦门大学软件学院毕业论文 - 5 - 3.2.1 SAS-2 认证方案的实现过程 . - 21 - 3.2.2 SAS-2 认证方案的安全性和效率分析 . - 23 - 3.2.3 SAS-2 改进

13、方案 . - 24 - 第四章 系统方案说明及其实现 . - 25 - 4.1 系统方案说明 . - 25 - 4.2 系统设计相关知识 . - 25 - 4.2.1 MD-5 算法 . - 25 - 4.2.2 Schnorr 协议描述 . - 25 - 4.3 系统实现过程 . - 26 - 4.4 系统安全性分析 . - 28 - 4.5 系统实现效果 . - 28 - 结论 . - 30 - 致谢 . - 31 - 参考文献 . - 32 - 厦门大学软件学院毕业论文 - 6 - Contents Chapter 1 Introduction . - 8 - 1.1 Authentic

14、ation . - 8 - 1.1.1 The Importantance of Authentication . - 8 - 1.1.2 The Objective of Authentication . - 8 - 1.1.3 The Realization of Authentication . - 9 - 1.2 The Weakness of Static-Password. - 9 - 1.3 The Note of Related Technology . - 11 - 1.3.1 Hash Function . - 11 - 1.3.2 The Note of Symbol .

15、 - 11 - Chapter 2 Dynamic-Password Authentication . - 12 - 2.1 The Concept of Dynamic-Password Authentication . - 12 - 2.2 The Basic tenets of Dynamic-Password Authentication . - 12 - 2.3 The Features of Dynamic-Password Authentication. - 12 - 2.4 The Realization of Dynamic-Password Authentication .

16、 - 13 - 2.4.1 XOR Way . - 13 - 2.4.2 Lamport Way. - 13 - 2.4.3 Time Synchronization Way . - 13 - 2.4.4 Challenge/Response Way . - 14 - 2.5 Security Analysis . - 14 - 2.6 The Weakness of Dynamic-Password Authentication . - 15 - Chapter 3 Common Dynamic-Password Authentication Schemes. - 16 - 3.1 S/KE

17、Y Authentication Schemes . - 16 - 3.1.1 Description of S/KEY Scheme. - 16 - 3.1.2 Realization Process . - 17 - 3.1.3 Security Analysis . - 20 - 3.1.4 The Improvement of Schemes . - 20 - 3.2 SAS-2 Scheme . - 21 - 3.2.1 Realization Process . - 21 - 3.2.2 Security and Efficiency Analysis . - 23 - 3.2.3

18、 The Improvement of SAS-2 . - 24 - Chapter 4 Description and Realization of the Program . - 25 - 4.1 Program Description . - 25 - 厦门大学软件学院毕业论文 - 7 - 4.2 Related Knowledge . - 25 - 4.2.1 MD-5 Algorithm . - 25 - 4.2.2 Schnorr Description . - 25 - 4.3 Realization Process . - 26 - 4.4 Security Analysis

19、. - 28 - 4.5 Achieving results. - 28 - Summary . - 30 - Acknowledgemen. - 31 - References . - 32 - 厦门大学软件学院毕业论文 - 8 - 第一章 引言 随着信息科学与技术的迅速发展 ,人类生活方式也正在经历着一场深刻的变革 ,计算机的日益普及 ,网络的高速发展，一个全球性的信息社会正在形成。信息技术的应用无 处不在，然而在信息技术带给人类前所未有的方便与快捷的同时也带来了信息安全方面的威胁，非法入侵计算机系统窃取篡改信息数据，攻击重要部门的服务器，给国家与社会造成了难以估计的损失同时也给信息技术进

20、一步的应用设置了障碍。电子商务和电子政务等领域都对信息系统的安全性提出了较高的要求，因此信息安全在当前显得越来越重要。 1.1 身份认证技术 (Authentication) 1.1.1 身份认证技术的重要性 身份认证技术是信息安全理论和技术中非常重要的方面，它是网络应用系统中的第一道防线，是安全的网络系统的门户。 现代 信息安全 服务 模型 一般包括以下 6个方面 ：身份认证、授权控制、审计确认、数据保密、数据完整和可用性。其中身份认证（ Authentication）、授权控制（ Authorization）和审计确认（ Accounting， 或 Auditing），一般简称为 AAA技

21、术，它们正是现代信息安全系统的 3个主要组成部分。同时，身份认证这第一个 A又是后 2个 A的前提。身份认证通过了，才谈得上授权控制和审计确认。 因此，我们可以说身份认证是信息安全的基础。 1.1.2 身份认证技术的目的 身份认证的目的是验证通信 双方的真实身份，防止非 法用户假冒合法用户访问敏感的信息资源。在安全的网络通信中，涉及的通信各方必须通过某种形式的身份验证机制来证明它们的身份，验证用户的身份与所宣称的是否一致，然后才能实现对于不同用户的访问控制和记录。 厦门大学软件学院毕业论文 - 9 - 1.1.3 身份认证技术的基本实现方式 一般说来，用户的身份认证可以通过三种基本方式或其组合

22、方式来实现： 1 所知（ Knowledge），即用户所知道的某个秘密信息。例如用户知道自己的用户名和口令。这是传统的、也是目前应用最广泛的身份认证技术。 2 所有（ Possesses），即用户所持有的某个秘密信息 （ 硬件 ） 。 例如智能卡 。 用户必须持有这种合法的物理介质，智能卡中存储了用户的个性化参数，访问系统资源时必须要有智能卡。 3 个人特征（ Characteristics），即用户所具有的某些生物学特征。例如指纹、声音、DNA和视网膜等等。生物特征识别方法是利用用户的生物特征作为在网络上识别身份的要素。采用这种认证方案 虽然具有很高的安全性和先进性，但是 需要配置相应的生物

23、识别设备，由于生物识别设备的造价很高，而且不方便移动用户使用，所以只适用于保密程度很高的场合。 在上述的三种基本身份认证方式中，第一种方式即静态口令认证方式是 最基本的，也是应用得最为广泛的。第二、三种认证方式都具有一定的模糊性，一般都与静态口令认证配合使用。 1.2 传统静态口令认证技术的缺陷 传统的身份认证方式是采用静态口令认证技术：系统为每一个合法用户建立一个用户名 /口令对，当用户登录系统时，提示用户输入自己的用户名和口令，系统通过核对用户输入的用户名 /口令与系统内已有的合法用户的用户名 /口令对是否匹配，来验证用户的身份。 因为静态口令技术实现的身份认证方式简单、易用，并且具备一定

24、的安全性，所以得到了广泛的应用。但是，随着网络应用的复杂化、攻击手段的多样化 ，静态口令技术的安全缺陷也越来越明显，主要表现在以下三个方面： 1 线路安全 线路安全是指口令认证系统所使用的口令在网络上传输过程中产生的安全性问题。由于目前局域网使用最广泛的以太网是基于广播方式的，所以每一个节点发送的信息能够被所有的节点所接收。即便是在广域网上传输数据，如果攻击者掌握了足够的网络设备控制权，也能够窃听到通过被控制设备的所有数据。攻击者实施线路安全攻击的主要形式有 ： 厦门大学软件学院毕业论文 - 10 - (1) 网络数据流窃听 ： 窃听网络传输的认证数据，因为许多静态口令认证系统的口令在传输过程中都是未经加密的明文形式，攻击者通过 窃听网络数据就很容易分辨出某种特定系统的认证数据，并提取出用户名和密码。 (2) 认证数据截取 /重放 (Record/Replay)： 即使有的系统会将认证数据进行简单的加密后再进行传输，攻击者无法通过第一种方式获得明文形式的密码，但是攻击者可以截取加密后的认证数据，实施重放攻击