论文部分内容阅读
随着网络应用的不断普及,认证技术作为分布式系统和CS方式系统的首要安全技术得到了迅速的发展。从目前的应用来看,一次性口令(One-timepassword,简称OTP)认证系统和基于证书的认证系统是认证系统的发展趋势。虽然基于证书的认证系统的前景非常好,但目前还有很多技术的和非技术的因素限制了它的全面推广和普及。OTP系统属于一种系列密码系统,被认为是理论上不可破译的密码体制,它的实现策略简单且灵活多变,并且安全性和性能都比较高,当前OTP认证系统按其一次性口令的生成方式主要分为需要专用设备支持的硬件类和不需要专用设备支持的纯软件类两大类。但在实际应用中,硬件类OTP存在配置成本较高,缺少跨平台支持,管理维护复杂等问题,而目前主流的软件类OTP也面临着小数攻击和口令攻击问题,并且大部分核心技术和主要算法都掌握在国外产家手中。
为此本文提出了一种基于移动通信(BasedonMobileCommunicationsNet)的OTP系统模型BMCN-OTP。对其安全性和基本结构进行了介绍,在此基础上详细介绍了基于BMCN-OTP的广东省移动BOSS系统安全接入系统BASS系统的设计思想和主要算法。
最后引用系统安全工程能力成熟模型(SSE-CMM)对系统进行了安全风险评估,查找了不足,提出了经后的改进和发展的思路。BASS系统目前已经在广东移动BOSS系统中实际应用,效果良好。