一种实现双向认证动态口令身份认证方案

什么是身份认证身份认证的方法身份认证是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，那么你对身份认证了解多少呢?以下是由店铺整理关于什么是身份认证的内容，希望大家喜欢!身份认证的介绍计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

身份认证的方法在真实世界，对用户的身份认证基本方法可以分为这三种：(1) 根据你所知道的信息来证明你的身份(what you know ，你知道什么 ) ;(2) 根据你所拥有的东西来证明你的身份(what you have ，你有什么 ) ;(3) 直接根据独一无二的身体特征来证明你的身份(who you are ，你是谁 ) ，比如指纹、面貌等。

在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2种混合使用，即所谓的双因素认证。

身份认证的工具EID是互联网身份认证的工具之一，也是未来互联网基础设施的基本构成之一。

EID即是俗称的网络身份证，互联网络信息世界中标识用户身份的工具，用于在网络通讯中识别通讯各方的身份及表明我们的身份或某种资格。

用户的密码是由用户自己设定的。

在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。

实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。

如果密码是静态的数据，在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。

因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。

一种实现双向认证的动态口令身份认证方案来源：中国论文下载中心 [ 08-05-05 10:51:00 ] 作者：郭玉娇1 黄建华2 编辑：studa0714Client将和本次的动态密码用自己的私钥加密，再和，此次产生的随机数R 一并用Server的公钥加密后发送给Server。

发送完毕后，客户端会将R备份，并启动计时器，若超过一定时间T后仍无收到Server的应答数据包则丢弃该随机数R；或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。

Server先用自己的私钥对收到的消息C1进行解密，得到用用户私钥加密的数据包，记为M2，以及和R。

Server根据得到的，在数据库中查找对应用户的公钥。

用解密M2，得到和本次动态密码。

(4) 验证动态密码的正确性。

根据和Client端一样的动态密码生成算法，生成动态密码。

比较和Client端发送过来的。

若不同，拒绝Client的登陆请求，向Client发送拒绝登陆数据包；若相同，接受Client登陆请求，进入第⑤步。

Server向Client发送数据包C2，即将和Client发送过来的R用Server的私钥加密，再和一块打包用Client的公钥加密。

Client收到Server发送的反馈消息后，先用自己的私钥解密得到用加密的加密数据包，记为M4，以及。

根据第⑥步中得到的，取出对应的公钥。

用解密M4，得到和R。

将R和本身暂存的R进行比较。

若相同，则验证服务器为合法身份，Client和Server建立正常通信连接；若不同，判定该服务器为非法的，拒绝和该服务器建立通信连接。

2.2.2 动态口令的生成算法动态密码，纠根揭底就是将动态因子和用户的固有秘密信息融合在一起生成登陆密码。

动态因子可以是时间、计数器次数、随机数等。

本文中设计使用的动态密码生成算法采用计数器作为动态因子。

Client端和Server端各拥有一个计数器，初始值为0。

Client和Server 每成功地进行一次相互认证计数器值增1，以此来保证双方计数器的同步。

口令认证的分类概述【摘要】网络信息安全给人类带来越来越多的问题，身份认证是网络信息安全的核心，口令认证技术已经成为身份认证技术的主流技术。

根据口令产生方式的不同，口令认证技术可分为静态口令认证、一次性口令认证和双因素动态口令认证三种分类，本文对各种口令认证方式进行了详细的分析并对动态口令中的时变参数进行了重点介绍。

【关键词】身份认证；静态口令认证；双因素动态口令认证０引言随着社会的进步和计算机技术的发展，网络的普及率越来越高，使网络化成为企业信息化发展大趋势，当人们在享受信息化带来的众多好处的同时，网络安全问题已成为信息时代人类共同面临的挑战。

在网络环境下，各种应用都需要通过身份认证来确认用户的合法性，然后再确定用户的个人数据和特定权限。

身份认证是其他的安全服务的基础,一旦身份认证系统被攻破，那么系统的其他安全措施都将形同虚设。

身份认证可以采用各种各样形式进行认证，口令认证系统以其密码算法的抗攻击能力强、兼容性好、使用方便可靠等显著特点而逐渐成为身份认证技术的主流。

根据验证口令的产生方式的不同，口令认证可以分为静态口令认证、一次性口令认证和双因素动态口令认证。

１静态口令认证静态口令认证是指用户登录系统进行身份认证的过程中，提交给系统的验证数据是固定不变的。

静态口令认证主要用于一些比较简单的系统或安全性要求不高的系统，例如：PC机的开机口令、Unix系统中用户的登录、Windows用户的登录、电话银行查询系统的帐户口令等。

静态口令认证方案根据是否采用加密的方法分为两种:口令匹配认证和算法匹配认证。

口令匹配认证: 系统中的口令文件存放的是用户口令的明文,当用户登录时，输入身份ID和对应口令PW，系统根据用户身份ID在口令文件中查找匹配的身份口令记录。

算法匹配认证:系统中的口令文件存放的是口令的杂凑值，而不是口令明文本身。

在使用加密的口令存储方案的认证系统中，用户登录时，输入身份ID和对应口令PW，然后计算口令PW的杂凑值，并将ID和口令PW的杂凑值传送给系统进行认证，系统根据用户身份ID在口令文件中查找匹配的身份口令记录。

1概述1.1研究意义与目的随着Internet的飞速发展，全球性信息化浪潮也是日新月异的，信息网络技术也正日益普及和广泛应用，不断深入应用层次，同时从传统的小型业务系统，开始逐渐向大型关键业务系统扩展，典型的如金融业务系统、企业商务系统、党政部门信息系统等大型应用领域。

Internet的飞速广泛应用，产生的安全问题同时也是重要问题，因为Internet的自由性、开放性和国际性增加了应用自由度，同时也对网络安全造成了严重威胁。

虽然开放的、自由的并且国际化的Internet给企事业单位和政府机构带来了开放和革新，他们可以利用Internet提升效率和侦查市场反应，但同时他们也必须面对网络开放带来的各种网络安全的新危险与新挑战。

保障各单位信息网络有效抵抗网络攻击，有效保护网络信息资源，已然成为各单位信息化健康发展的重大事情。

当前Internet存在的安全威胁主要表现为:非授权访问网络或计算机资源、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。

针对以上攻击手段与各种网络威胁形式，对访问网络系统的用户进行身份认证就显得至关重要，身份认证已经成为网络信息安全领域中非常重要的一个分支。

口令认证技术是身份认证中最常用的技术，而静态口令认证技术是目前普遍采用的口令认证技术。

其特点是简单、易用同时也具备一定的安全性，但随着攻击手段的多样化、网络应用的复杂化，静态口令技术的安全缺陷也越来越明显，对于安全性要求高的网络应用系统已经不再适用。

专门针对静态口令技术的安全缺陷提出的一次性口令认证技术就得到了迅速地发展。

但是，目前现有的一次性口令认证方案并不是十分完善，各种方案在执行性能和安全性上都存在着缺陷。

设计更加完善的一次性口令认证方案并实现相应的认证系统，让一次性口令认证技术为更多的网络系统提供更加安全可靠的身份认证。

这对Internet应用的发展有着重大的意义和积极的推动作用。

1.2口令认证技术的研究现状与发展趋势美国科学家Leslie Lamport在上世纪80年代初首次提出了利用散列函数产生一次性口令的思想[1]，指的是每个用户每一次同服务器进行身份认证时，认证口令都是以加密后的密文形式在网上传输的，一次性口令的思想指的是在每一次认证时认证口令都是独一无二的，也是密文形式的，也就是说密文口令是一次有效的。

一种实现双向认证动态口令身份认证方案双向认证动态口令身份认证是一种相对安全的身份认证方案，通过使用动态口令可以防止密码的泄露和重复使用。

本文将介绍一种实现双向认证动态口令身份认证方案的方法。

在该方案中，用户和服务器之间建立了一个双向认证的通信渠道。

用户首先选择一个个人密钥和一个初始的动态口令（例如，OTP-One Time Password）。

用户的个人密钥只有用户自己知道，而动态口令是基于时间戳和个人密钥生成的，每隔一段时间（例如30秒）就会自动生成新的口令。

在进行身份认证时，用户首先向服务器发送一个认证请求。

请求中包括用户的标识信息和动态口令。

服务器接收到请求后，首先验证用户的标识信息是否有效，然后根据用户的标识信息获取到用户的个人密钥。

接下来，服务器根据当前的时间戳和用户的个人密钥生成一个期望的动态口令。

然后，服务器将期望的动态口令与用户发送的口令进行比较。

如果两者相同，则认为该用户是合法用户，身份认证成功。

在这个过程中，用户和服务器都需要进行双向认证。

服务器在验证用户的身份之后，会向用户发送一个随机挑战（challenge）。

用户接收到挑战后，使用个人密钥生成一个相应的响应（response）并返回给服务器。

服务器根据用户的个人密钥和收到的响应生成一个期望的响应，并将期望的响应与用户发送的响应进行比较。

如果两者相同，则认为该服务器是可信的，双向认证成功。

通过这种双向认证的动态口令身份认证方案，可以有效防止身份伪造和密码泄露的风险。

用户的个人密钥只有用户自己知道，而动态口令的生成过程是基于时间戳和个人密钥的，可以有效防止重放攻击和中间人攻击。

然而，这种方案也存在一些问题。

首先，如果用户的个人密钥被猜测到或者被泄露，那么攻击者同样可以生成有效的动态口令进行身份伪造。

其次，如果服务器的随机挑战被截获，攻击者同样可以生成有效的响应进行身份伪造。

因此，在实际应用中，除了采用双向认证动态口令身份认证方案之外，还应该结合其他的安全措施，例如使用加密通信、加强服务器的安全性等，以增加整个身份认证过程的安全性。

竭诚为您提供优质的服务，优质的文档，谢谢阅读/双击去除[什么是身份认证身份认证的方法]身份认证方法身份认证是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，那么你对身份认证了解多少呢?以下是由小编整理关于什么是身份认证的内容，希望大家喜欢!身份认证的介绍计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。

如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者，也就是说保证操作者的物理身份与数字身份相对应，身份认证就是为了解决这个问题，作为防护网络资产的第一道关口，身份认证有着举足轻重的作用。

身份认证的方法在真实世界，对用户的身份认证基本方法可以分为这三种：(1)根据你所知道的信息来证明你的身份(whatyouknow，你知道什么);(2)根据你所拥有的东西来证明你的身份(whatyouhave，你有什么);(3)直接根据独一无二的身体特征来证明你的身份(whoyouare，你是谁)，比如指纹、面貌等。

在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2种混合使用，即所谓的双因素认证。

身份认证的工具eID是互联网身份认证的工具之一，也是未来互联网基础设施的基本构成之一。

eID即是俗称的网络身份证，互联网络信息世界中标识用户身份的工具，用于在网络通讯中识别通讯各方的身份及表明我们的身份或某种资格。

静态密码用户的密码是由用户自己设定的。

在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。

实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。

如果密码是静态的数据，在验证过程中需要在计算机内存中和传输过程可能会被木马程序或网络中截获。

双因素认证方案一、网络安全认证的需求背景网络钓鱼、欺诈等网络犯罪现象已经达到非常严峻的情况，用户如果只依赖个人密码进行帐户登录或网上交易，是非常危险和不可靠的认证方法。

针对这些问题，北京中科恒伦科技有限公司推出基于动态令牌的双因素身份认证服务，对象是那些为企业VPN安全登录、IDC 远程访问管理、消费者提供网上交易和服务的网上商户。

他们只要安装了中科恒伦的双因素认证系统，便能为其客户提供身份认证服务，使其消费者日后能以简单轻松的方法，随时随地享受网上服务。

IT管理员或者终端消费者也不用再终日提心吊胆，网上商户因此能与其客户建立更亲密和信任的关系。

二、现存主要的身份认证技术分析目前，计算机及网络系统中常用的身份认证方式主要有以下几种：1．用户名/密码方式用户名/密码是最简单也是最常用的身份认证方法，是基于“what you know”的验证手段。

每个用户的密码是由用户自己设定的，只要能够正确输入密码，计算机就认为操作者就是合法用户。

出于对安全的要求，要求用户定期更改密码，且不能重复，而实际上，由于许多用户为防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样就容易造成密码泄漏。

即使能保证用户密码不被泄漏，由于密码是静态的数据，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。

因此，从安全性上讲，用户名/密码方式是一种极不安全的身份认证方式。

2．智能卡认证智能卡是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据，智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。

智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。

智能卡认证是基于“what you have”的手段，能过智能卡硬件不可复制来保证用户身份不会被仿冒。

然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。

动态口令身份认证动态口令身份认证1动态口令身份认证原理1.1主要思想动态口令认证就是在登录过程中加入不确定因素，使每次登录时传送的认证信息都不相同，以提高登录过程安全性。

动态口令认证技术消除了静态口令认证技术的大部分安全缺陷，能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击，为网络应用系统提供了更加安全可靠的用户身份认证保障。

该技术主要思想是为每个用户分配一个帐号，每个帐号配有种子、迭代值和通行短语，种子（时间）及变化的迭代值（随机数）就能够产生一系列口令，每个口令用户只能使用一次，由于用户的秘密通行短语（时间对密钥加密结果）从来不在网上传送，因此，系统不易受到重放攻击。

（最初一般的基于时间的动态口令算法是将时间对密钥的加密结果作为验证数据，传送给服务器）1.2运行原理用户通过客户机访问服务器时，首先向服务器传送自己的帐号，服务器响应一个由与该帐号对应的种子和迭代值组成的挑战，客户机使用该挑战和秘密通行短语产生一个一次性口令，并以该一次性口令登录，作为对挑战的答复，服务器随即产生一次性口令与之对比，从而完成服务器对登录用户的鉴别，每次登录成功后，迭代值递减，当该值为0或秘密通行短语泄密后，必须重新初始化。

1.3动态口令框图动态口令身份认证主要包括3个部分:认证服务器、客户端和用户信息数据库。

认证服务器是动态口令认证系统的核心，它主要由3个模块构成:系统初始化模块、用户管理模块、动态口令认证模块。

其中系统初始化模块的主要功能是系统维护，设置环境参数等。

用户管理模块负责用户的增减及用户口令、权限、密钥的设置。

动态口令认证模块负责对用户的身份进行认证。

系统的客户端采用软件来实现挑战应答器，作为挑战码的响应，它以AS端产生的挑战码为输入，使用和AS端完全相同的动态口令产生机制，连同User端保存的用户的秘密密钥，输出一个大整数作为响应码。

用户信息数据库中含有用户认证信息表，该表的主要字段应有用户ID、用户的公共密钥、秘密密钥等，其中用户ID是区分用户的标志，不可相同。

企业/行业用户5G二次身份认证方案初探作者：池晓金孙望舒来源：《科学与信息化》2019年第28期摘要目前，我国的企业发展十分迅速，企业的发展带动社会的不断进步，为满足企业/行业用户远程移动办公业务的需求，运营商为用户提供了VPDN专线的接入方式，3G/5G网络采用系统默认的方式对用户进行两次身份认证。

5G网络在设计之初就考虑面向行业用户需求，通过引入网络切片为行业用户提供有资源保障的逻辑网络，而且还可以在切片内让用户对第二次身份认证进行算法定制和协议的定制。

文章首先对3G/5G网络的专线接入认证方式进行说明，然后对5G的二次身份认证的原理、安全性进行了分析，并提供了一种定制的5G二次身份认证方案，为企业用户二次身份认证方案提供参考。

关键词二次身份认证;AAA（认证授权计费）;5G引言移动通信技术近年来发展迅速，在第三代移动通信技术正式商用的同时，对第四代移动通信技术的预研工作也正在学术界和产业界蓬勃展开。

第四代移动通信技术（5G）要求支撑更高速率的通信环境，并实现小同移动通信技术的无缝融介对在5G环境下的安全性，尤其是身份认证与密钥分配机制提出了更高的要求。

本文针对5G环境下的安全性要求，对基于5G环境的身份认证和密钥分配方案进行了系统的研究。

论文首先介绍了身份认证与密钥分配的基本知识及相关协议，详细讨论了身份验证的手段、种类和方法，以及两种身份验证与密钥分配协议的安全性分析的方法。

随后，本人对5G环境的研究现状、关键技术等做了详细的论述，并分析了5G环境所面临的安全威胁。

针对其安全威胁，提出5G的安全需求。

接下来针对单钥和公钥体制在构建身份验证与密钥分配方案时应用在5G中存在的缺陷，分析了基于公钥体制的身份验证与密钥分配方案在5G环境下应用的可行性及必然趋势。

1 身份认证概念及作用在1984年首次系统的提出了认证系统的信息理论。

他将信息论用于研究认证系统的理论安全性和实际安全问题，指出认证系统的性能极限以及设计认证码所必须遵循的原则。

基于动态口令技术的电子商务身份认证系统本文着重介绍当前电子商务活动存在的安全隐患，分析并说明了动态口令技术的原理和实现方式，并阐述了基于动态口令技术的电子商务身份认证系统的设计方案和实施步骤。

该方案可以方便地融合进现存的各种电子商务系统，并可有效地解决静态密码易泄露和易被攻破的问题，从而提高了电子商务活动的安全性。

标签：电子商务身份认证网络安全动态口令电子商务源于英文ELECTRONIC COMMERCE，指的是利用简单、快捷、低成本的电子通讯方式，买卖双方不谋面地进行各种商贸活动。

当前电子商务主要是以EDI（电子数据交换）和INTERNET来完成的。

电子商务应用中的另一个领域是允许使用者直接访问金融机构，许多人已开始通过电子方式来购买车票、支付账单和管理银行的账户。

一、电子商务的安全隐患由于电子商务活动的买卖双方大都不谋面地进行各种商贸活动，因此电子商务特别是其网上支付领域有着各种各样的交易风险。

但无论是何种风险，其根本原因都是由于登录密码或支付密码泄露造成的。

而大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。

大多数用户使用的静态密码都是字典中可查到的普通单词、姓名或者其他简单的密码。

有86％的用户在所有网站上使用的都是同一个密码或者有限的几个密码。

最典型的例子是2011年12月，CSDN的安全系统遭到黑客攻击，600万用户的登录名、密码及邮箱遭到泄漏。

黑客在获取了CSDN的用户登录名和密码后，再用这个密码尝试登录注册邮箱，如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。

故随着CSDN”密码外泄门”持续发酵，天涯、网易、新浪和飞信等多家大型网站也相继被曝用户数据遭泄密。

解决静态密码安全性不足问题的根本性方法之一就是使用动态密码技术。

动态密码的一次一密的特点决定了黑客即使捕获了当前密码也无法下次使用，从而有效防止了密码的泄露问题。

二、动态口令技术的基本原理动态口令又称为一次性口令OTP(One - Time - Password) ，其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令，而且每个登录服务器的口令只使用一次，窃听者无法用窃听到的登录口令来做下一次登录，同时利用单向散列函数（如Sha-1算法等）的不可逆性，防止窃听者从窃听到的登录口令推出下一次登录口令。