论文部分内容阅读
随着网络的不断发展,人们在各方面对网络的依赖性逐步增加。现在,以网络为平台的网上购物、网上银行、网上金融交易等迅速盛行,但是消费者也必须对相应的安全问题提高警惕,账号、口令被盗成了越来越常见的问题。尤其是最近几年,随着智能终端市场份额的逐步增加,更多的消费者选择在智能终端进行网上交易,因此,智能终端的安全问题更是成为人们关注的焦点。如何准确的鉴别用户的身份、保护用户的信息、维护个人和企业的利益是要尽快解决的安全问题。静态口令的认证是基于用户名Id和口令Pw这组信息,因此,这种认证方法的安全性主要取决于口令Pw的保密性及健壮性,静态口令认证机制在一些在线交易中已经不能满足消费者在安全方面的需求。针对上述提到的静态口令认证的缺陷,Leslie Lamport首次提出了一次性口令OTP的思想。OTP的主要思路是:在登录认证时,加入不确定的因子,由于这个因子的存在,使用户每次认证的口令都不一样,采用一次一密的方法来提高安全性。而且,OTP认证不涉及到第三方,理论上来说,是一种较安全的身份认证机制。针对智能终端系统资源受限的特点,结合已有一次性口令认证方案的一些缺点,例如使用一段时间后用户需要重新注册、计算繁琐、计算量大、没有实现双向认证、使用明文传输、不能抵御冒充攻击等,研究了一种新型的适用于智能终端的一次性口令身份认证方案——ST-OTP。ST-OTP认证方案采用椭圆曲线加密算法ECC,在保证完成一次性口令认证基本功能的前提下,提供了客户端与服务器之间的互相认证,并对传输的数据进行有选择性的加密。ST-OTP方案认证步骤简单、运算量较小、可以有效的保护客户端信息,能抵御重放攻击、冒充攻击、拒绝服务攻击等常见的攻击手段。选择目前比较流行的Android嵌入式操作系统作为平台来验证ST-OTP方案相对于S/KEY、SAS、SAS-2一次性口令认证方案的区别,在Android平台上用Java语言编程,分别实现S/KEY、SAS、SAS-2、ST-OTP这四种认证方案注册过程、登录认证过程和修改口令过程。通过对四种认证方案在认证过程中系统CPU的平均占有率、内存占有量和功耗的对比,来说明ST-OTP方案相对的优越性,而且经过实验证明,ST-OTP认证方案在保证认证过程安全性的前提下,运行效率有所提高。此外,也可以根据其他的一些因素来说明方案ST-OTP与其它方案的差异,例如,客户端和服务器端存储的数据个数、Hash函数的运算次数、加解密次数和信息传送次数。