基于移動終端的雙因子身份認證系統(tǒng)_第1頁
基于移動終端的雙因子身份認證系統(tǒng)_第2頁
基于移動終端的雙因子身份認證系統(tǒng)_第3頁
基于移動終端的雙因子身份認證系統(tǒng)_第4頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

基于移動終端的雙因子身份認證系統(tǒng)

1基于移動終端的otp與共享密鑰的雙因子身份認證系統(tǒng)考慮到用戶/密碼和omp身份認證方案的缺點,本文提出了基于移動設備的omp和共享密鑰技術(shù)的雙因素身份認證系統(tǒng)。根據(jù)分析,該系統(tǒng)可以有效解決上述兩種方案的缺點,從而有效解決客戶隱患的潛在安全問題。2生成共享密鑰為了方便描述,文中約定表示符號如下:,——用戶的身份標識;——秘密通行短語;KEY——移動終端與認證服務器之間的共享密鑰;——種子值;,——用戶第——單向哈希函數(shù);——對MACMAC(para1,para2,…)——用密鑰KEY計算para1、para2等參數(shù)的報文驗證碼.3s.keyS/KEY系統(tǒng)由兩部分組成:即注冊階段和認證階段.3.1用戶身份標識用戶選擇用戶身份標識=第=用戶將3.2tep233研磨坡4.4%對接受的被壓第Step1Step2Step3Step4服務器對收到的3.3防止網(wǎng)絡釣魚攻擊S/KEY系統(tǒng)存在以下嚴重的安全缺陷(1)S/KEY系統(tǒng)不能防止小數(shù)攻擊.當(2)S/KEY系統(tǒng)不能防止網(wǎng)絡釣魚攻擊.攻擊者可以冒充(3)S/KEY系統(tǒng)不能防止客戶機信息泄露引起的冒充攻擊.攻擊者利用木馬、間諜軟件等惡意程序控制客戶機,竊取用戶秘密通行短語4鑰技術(shù)安全分析系統(tǒng)將一次性口令和共享密鑰技術(shù)安全有效地結(jié)合在一起,引入移動終端對認證服務器和用戶身份提供真實性保證4.1生成用戶共享密鑰ko用戶選擇用戶身份標識=第=然后,用戶使用自己的移動終端隨機生成與認證服務器之間的共享密鑰KEY,并由移動終端保存.最后,用戶將注冊過程如圖1所示.4.2認證服務器更新過程這一階段引入另外一種密碼算法——報文驗證碼(MAC)第Step1Step2Step3Step4Step5Step6認證服務器對收到的Step7認證服務器對保存的信息進行更新,序列號減一,認證口令改為認證過程如圖2所示.5androidst認證客戶端文中使用藍牙技術(shù)實現(xiàn)了原型系統(tǒng),系統(tǒng)包括Sevlet認證服務器,Applet認證客戶端,MIDlet手機程序以及客戶機藍牙程序.其中Sevlet認證服務器完成用戶的注冊和一次性口令的驗證;Applet認證客戶端提示用戶輸入秘密通行短語對于相關(guān)的密碼操作,Sevlet認證服務器和Applet認證客戶端采用JCE(JavaCryptographicExtensions)實現(xiàn),MIDlet手機程序采用BouncyCastleLightweightCryptoAPI實現(xiàn).對于藍牙傳輸,客戶機藍牙程序采用BlueZBluetoothprotocolstackforLinux配合Rococosoft’sImprontoDeveloperKitforJava實現(xiàn),MIDlet手機程序通過調(diào)用JSR82API實現(xiàn).5.1防釣魚欺騙的主要措施系統(tǒng)實現(xiàn)了用戶身份和認證服務器身份之間的雙向認證,可以有效防范以下攻擊行為:(1)小數(shù)攻擊、網(wǎng)絡釣魚:使用共享密鑰KEY生成報文驗證碼MAC,用戶可以通過移動終端驗證認證服務器身份的真實性,防止攻擊者冒充認證服務器向用戶發(fā)起“小數(shù)”攻擊來獲得一次性口令,或者利用網(wǎng)絡釣魚欺騙用戶.(2)重放攻擊:通過在認證過程中使用客戶機和認證服務器各自生成的隨機數(shù),可以有效防止重放攻擊.(3)口令猜測、字典攻擊:用戶、認證服務器身份的真實性依賴于使用共享密鑰KEY生成報文驗證碼MAC.共享密鑰KEY由移動終端隨機生成并進行存放,不需要用戶記憶,其長度和隨機性完全可以滿足密鑰的選擇規(guī)則,因此可以有效防止攻擊者采取的口令猜測和字典攻擊.(4)客戶機惡意程序:通過移動終端生成每個一次性口令的報文驗證碼MAC,認證服務器可以確定用戶身份是否真實.因為即使攻擊者使用木馬、間諜軟件等惡意程序入侵客戶機竊取了用戶的秘密通行短語(5)移動終端惡意程序(6)除了可以防范一些常見的攻擊以外,方案還可以主動發(fā)現(xiàn)用戶的客戶機是否遭受攻擊,秘密通行短語是否遭竊.如果攻擊者使用木馬、間諜軟件等惡意程序入侵客戶機竊取了用戶的秘密通行短語5.2認證系統(tǒng)測試考慮到當前移動終端的計算能力,系統(tǒng)在設計時采用報文驗證碼算法代替了傳統(tǒng)的公鑰密碼算法,同時將少量的加密計算放在移動終端,每次認證移動終端只需做2次報文驗證碼計算.原型系統(tǒng)選擇HMAC-SHA1作為MAC函數(shù),在局域網(wǎng)環(huán)境下,通過在NokiaN70手機上進行測試,系統(tǒng)性能參數(shù)如表1所示.另外,由于沒有修改S/KEY系統(tǒng)的認證流程,只是在其基礎(chǔ)上進行了雙因子擴展.因此系統(tǒng)可以無縫集成到當前廣泛應用的S/KEY系統(tǒng)中,在達到更高安全性的同時降低了部署成本.6種雙因子身份認證系統(tǒng)針對用戶名/密碼靜態(tài)身份認證方案和OTP身份認證方案各自的缺點,同時考慮到二者的安全性都是建立在用戶客戶機安全的基礎(chǔ)上,文中提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論