数据采集中的动态口令身份认证研究

身份认证身份认证是在计算机网络中确认操作者身份的过程。

身份认证可分为用户与主机间的认证和主机与主机之间的认证，下面主要介绍用户与主机间的身份认证。

在真实世界，对用户的身份认证基本方法可以分为这三种：(1) 根据你所知道的信息来证明你的身份(你知道什么) ：例如口令、密码等；(2) 根据你所拥有的东西来证明你的身份(你有什么) ：例如印章、智能卡等；(3) 直接根据独一无二的身体特征来证明你的身份(你是谁) ，比如指纹、声音、视网膜、签字、笔迹等等。

在网络世界中手段与真实世界中一致，为了达到更高的身份认证安全性，某些场景会将上面3种挑选2中混合使用，即所谓的双因素认证。

以下罗列几种常见的认证形式：1.口令1.1静态口令1.1.1 简单静态口令用户的口令由自己设定，当被认证对象要求访问服务系统时,提供服务的认证方要求被认证对象提交其口令,认证方收到口令后,与系统中存储的用户口令进行比较,以确认被认证对象是不是合法访问者。

这种方法的优点是:一般的系统(如UNIX, Windows NT,NetWare等)都提供了对口令认证的支持,对于封闭的小型系统来说不失为一种简单可行的方法。

然而,基于口令的认证方法存在下列不足:1)用户每次访问系统时都要以明文方式输入口令,容易泄密。

2)口令在传输过程中可能被截获。

3)用户访问多个不同安全级别的系统时,都要求用户提供口令,用户为了记忆方便,往往采用相同的口令。

1.1.2 使用消息摘要算法的口令认证认证过程：（1）存储用户ID和对应的口令摘要值在服务器数据库中；（2）当进行认证时，用户输入ID和口令，口令会在客户端上被计算出摘要值；（3）用户ID和摘要结果会被传输到服务器端进行认证；（4）服务器接收到用户ID和摘要结果后，认证程序会到数据库中根据用户ID获取已存储的相应的口令摘要，两个摘要比较的结果会返回到客户端通知用户认证成功与否。

缺点：因为相同口令的摘要值始终是一样的，但是为了防止重放攻击，应当保证客户端和服务器端的交换信息任何两次都是不同的，这就需要使用随机数技术来解决这个问题。

数字化校园的统一身份认证关键技术研究钟约夫;赵云霞【摘要】通过对数字化校园的统一身份认证关键技术的研究分析,综合业已成熟和正在发展的统一身份认证技术,提出一种认证模型,即基于令牌身份认证的认证方式,使用时间同步和事件同步技术用于解决令牌失去同步的问题,便于用户更加方便和可靠地访问和控制数字化校园上的信息资源,同时通过对第三方管理者的信任,最终用户的用户名和密码是通过数字身份验证的方法来增强联网用户的体验和登录安全.【期刊名称】《甘肃高师学报》【年(卷),期】2017(022)012【总页数】4页(P43-46)【关键词】数字化校园;时间同步;事件同步;RSA令牌生成算法【作者】钟约夫;赵云霞【作者单位】兰州城市学院信息网络中心,甘肃兰州730070;兰州城市学院信息网络中心,甘肃兰州730070【正文语种】中文【中图分类】G434随着数字化校园建设的不断普及，统一身份认证技术被广泛使用在校园网用户联网注册的管理之中.但是随着纷繁复杂的统一认证技术的不断涌现，面对新的安全形势和众多的应用的加入，如何使用安全、灵活、高效、方便以及统一规范的身份验证系统，降低其带来的负效应，显得尤为重要.在传统网络服务多样性的校园网络环境下，主要的特点之一就是应用和资源具有较大的分散性.随着网上信息资源的增加，应用系统受到外部攻击的可能性就越大；校园网用户在每个应用服务器上都需要保存自己的账号和密码，无论每个人在每个应用系统上的账号和密码是否相同，在对每个应用系统进行独立的注册都不利于用户的管理，造成各个信息系统资源的浪费，同时对信息系统和信息资源带来较大的安全隐患.故在数字校园网络环境下使用应用系统和信息资源的过程中，使用统一的、具有较高安全性的身份验证系统，可以实现减少冗余，保障信息系统和资源的安全性，提高管理效率，提高联网的灵活性和方便性.1 统一身份认证模式统一身份认证是一个集中的用户认证管理过程，也是一个应用系统的集成环境，通过管理和分发用户的权限和身份，为数字校园环境中的各个应用系统和信息资源提供权限和用户管理服务.不同的应用系统和信息资源仅需要保留用户角色和权限控制，用户数据库资源信息被统一保存在认证服务器中，应用系统和信息资源自动管理用户和角色，可以进一步简化各种应用系统中的用户管理模块的工作负荷，并为数字校园中不同的应用系统和信息资源提供从简单的密码到数字签名等不同需求的安全措施.实现统一身份认证，首先要实现统一身份认证模式，即以统一身份认证为核心服务的使用模式.当校园网用户登录到统一身份认证系统服务之后，即可实现统一的身份认证服务、管理应用系统服务、权限和用户管理服务.统一身份认证的主要工作流程如下：（1）校园网用户在统一认证服务器中输入已注册的用户名和密码（或其他认证信息）即可进入统一认证服务；（2）统一认证服务会新创建一个服务会话，并将关联的访问认证令牌返给校园网用户；（3）校园网用户可以使用得到的访问认证令牌，来访问支持统一身份认证服务的某个应用系统和信息资源；（4）应用系统和系统资源会将访问认证令牌切入统一认证服务，认证访问模块会认证此令牌的有效性；（5）统一认证服务将对此认证令牌的有效性进行确认；（6）应用系统和信息资源会接收到访问，得到返回访问的结果.同时应用系统和信息资源可以通过选择返回其自身的认证令牌，继续持有并使用这个令牌进行持续地访问，这样可以提高访问处理的效率.2 统一身份认证关键技术身份认证常用技术分为：常规“口令”代码认证技术、动态口令认证技术、生物认证技术（如指纹、虹膜、容貌等）、第三方数字证书（CA）认证技术等多种，其中计算机系统早期的认证产品主要是常规“口令”代码认证技术，但由于存在“口令”的静态特征及重复特性，易被窃取、易被盗用、易被猜测和易被破解等安全缺陷，作为一种弱身份认证技术，只能用于安全要求较低的场合和信息系统中.动态口令认证技术、生物认证技术和第三方数字证书技术属强身份认证技术，目前主要用于政府、金融系统和企业等重要的信息系统的安全认证应用中.2.1 RSA令牌生成算法认证令牌使用符合国家规定的加密算法和协议自动生成，因此需要校园网用户提供更多的个人信息来证明自己的身份.RSA公钥加密算法由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）于1977年共同提出，它基于十分简单的数论事实，即将两个大质数相乘十分容易，而要对其乘积进行因式分解将极其困难.目前RSA是影响力最大和使用最为广泛的公钥加密算法，它能够抵御目前出现的绝大多数密码攻击，ISO推荐RSA为公钥数据加密标准.但随着分布式计算以及量子计算机理论的日趋成熟，RSA较短的钥匙被破解的可能性逐渐增大，只有RSA钥匙长度足够长，才能保证RSA加密的数据信息不被破解.RSA主要提供双因素认证功能，一般把密码分为用户设置的固定密码和专用芯片产生的动态密码两部分组成，固定密码与动态密码的有机组合才能构成认证令牌密码.2.2 时间同步基于令牌和服务器的时间同步技术，是通过生成一致的动态口令的运算来实现的.一般来说，其令牌的更新频率为60秒，每隔60秒产生一个新口令.基于时间同步的基础是国际标准时间，因此要求其服务器能够正确地保持时钟，同时对令牌产生的晶振频率有着严格的要求，以此降低失去同步的概率.每次时间同步的令牌在进行认证时，服务器将会监测相应令牌的时钟偏移量，同时连续微调自己的时间记录，从而保障令牌与服务器的同步，确保在不同的场合和环境之下不产生时间的偏移甚至破坏.在认证服务器中可以内置相同的RSA算法程序，在使用时必须对认证服务器的时钟进行校对，校对后的认证服务器会自动将RSA算法的时间值设定为UCT时间，然后再将认证令牌种子文件导入到认证服务器中，同时根据管理策略为校园网用户分配认证令牌赋予相应的访问权限.当校园网用户使用认证令牌进行登录时，认证服务器会根据校园网用户提交的信息匹配用户绑定的密钥，并进行动态密码运算.在这个过程中校验校园网用户密码的技术就是时间同步技术，也就意味着认证令牌和认证服务器会采用相同的RSA算法、相同的密钥在相同的时间产生相同的结果，从安全的角度来说，时间同步就是指认证令牌和认证服务器的系统时钟保持一致的过程，进一步保障系统的安全.2.3 事件同步基于令牌和服务器的事件同步技术，其原理是把某个特定的时间顺序以及相同的种子作为输入参数，通过DES算法的运算得到一致的密码，从原理上决定了时钟与整个工作流程无关的特性.因此，采用事件同步技术的令牌不受时钟的影响，令牌内部也不包含时间脉冲晶振，但由于DES算法的一致性，令牌的密码是预先可知的.通过生成的令牌，预先可以知道其后的多个密码.当令牌丢失且没有通过PIN码对令牌进行保护时，系统将会出现非法登录的危险.因此当使用事件同步的令牌时，重要措施之一就是使用PIN码对令牌进行保护.因此，基于事件同步的令牌在使用过程中也会出现失去同步的风险，典型的现象就是用户多次无目的地生成口令等操作.当使用事件同步技术的令牌失去同步时，其服务器可以使用增大偏移量的方式对令牌进行再同步操作，服务器端会通过向后推算一定次数的密码方式来同步事件令牌和服务器.当令牌与服务器失去同步的情况非常严重，已经大规模超出了正常范围时，可以通过连续输入两次令牌计算得到的密码，可以将令牌和服务器在大范围内进行同步，通常情况下同步所需要的次数一般不超过三次.只有在更换电池等及其特殊的情况下，才有可能出现失去同步的极端情况发生，此时，依然可以通过手工输入由系统管理员生成的一组特殊序列值实现令牌的远程同步操作，而无需强制返回服务器端进行重新同步操作.2.4 时钟漂移误差修正时间同步技术保障了认证服务器系统可靠、有效地工作.但在实际使用过程中，每一个认证令牌的时钟和认证服务器系统的时钟都可能产生偏差，因此认证服务器为每一个正在使用的认证令牌保存一个时间偏差值，当校园网用户使用某个认证令牌进行身份认证时，认证服务器在系统本身时钟的基础上会加上或减去业已保存的时间偏差值，就可以得到令牌的时钟，进而可以得到此时间的认证令牌码.校园网用户使用认证令牌每次成功地登录后，认证服务器都将对已保存的时间偏差值进行相应的调整，用以保证认证令牌在后续的每次登陆中都可以被正确地使用，从而解决了认证令牌与认证服务器的时钟漂移误差的问题.3 用户登录过程校园网用户首先登录统一身份认证服务器，通过认证获取令牌，然后就可以使用这个令牌访问数字校园平台上其他的应用系统.应用系统接收到该令牌时会与统一身份认证服务器进行交互，检查令牌的合法性.一般情况下主要包括以下三个部分. （1）用户：指要进行统一身份认证服务的校园网用户；（2）应用系统：指使用统一身份认证服务的应用系统；（3）会话：当校园网用户登录统一身份认证服务器之后，会创建一个活跃的会话，同时获得此会话的认证令牌，用户可以使用此会话的认证令牌访问数字校园平台上的其他应用系统.用户登录流程如图1所示.图1 用户登录流程图4 结束语通过对统一身份认证关键技术的研究分析，结合校园网网络应用环境，提出的校园网统一身份认证的关键技术要点，可以实现对数字化校园中所有授权访问的信息资源的访问和控制.校园网用户在登录数字化校园时只需输入一次用户名和密码，通过统一身份认证系统服务器即可获取访问所有数字化校园中集成应用系统的令牌，即可访问已被授权的服务，不必再大量记忆不同应用系统的登录密码，进而提高校园网用户和管理员的工作效率，大幅降低网络体验的成本，同时也不会降低网络的安全性以及登录操作的简便性.统一身份认证技术的关键核心之一就是令牌的同步问题，一旦校园网用户登录获得令牌之后，即可访问数字校园系统平台上已授权的所有服务.所以已获令牌的安全传输以及应用系统与认证服务器之间交互的信任问题是影响统一认证技术实现的主要问题.通过其中的一个侧面，重点研究分析了令牌的时间同步技术和事件同步技术实现的优缺点，从这两个角度对统一认证技术的安全性进行了分析，根据校园网应用的实际情况提出了用户登录流程的框架，提出了一种能够实现不同操作平台、不同应用服务之间进行统一身份认证实现的方案，可以在此基础上对系统再进行整体优化，提出更可靠、更高效和更便捷的统一身份认证系统.参考文献：[1]孙月洪.统一身份认证在数字化校园中的作用与实现[D].华东师范大学，2009：17-18.[2]刘鹏.基于数字签名的统一身份认证系统的研究与实现[D].华北电力大学，2012：22-23.[3]高侠.统一身份认证系统在数字化校园中的应用[D].淮北师范大学，2011：29-30.。

基于标识的动态口令系统刘莹;龙毅宏【摘要】As a user authentication technology, the one-time password technology is more secure than the traditional static password technology. To address the problems of one-time password system, such as the difficulty to manage one-time password seed secret of a user, high security requirements on the database of user seed secrets, and the restric-tion on the accounts in integrating with an application system, the lack of the function of updating seed secret auto-matically etc, this paper proposes an one-time password authentication scheme based on user identity, and implements the system based on challenge/response mode and time synchronization mode respectively. The proposed one-time password system updates the seed secrets for users automatically, and has the advantages such as easy management of user secrets and easy integration with application systems etc.%作为用户身份验证技术，动态口令技术比传统的静态口令技术具有更高的安全性。

基于数字证书的教育云可信实名身份认证和授权的研究李以斌;牟大伟【摘要】教育云基础平台建设和运营均需要符合信息绿色安全管理的要求,从物理、网络、系统、数据及应用各个层面,建立完善可靠绿色安全保障体系,确保教育云虚拟化平台及管理系统的安全.在安全保障的每个层次都需要对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理.基于数字证书的可信实名身份认证和授权技术是保证数据安全和行为安全的有效技术手段,论文对该技术进行探讨,并研究其在教育云平台中的实现.【期刊名称】《信息安全与技术》【年(卷),期】2016(007)009【总页数】5页(P40-44)【关键词】身份认证;授权管理;数字证书;PKI;教育云【作者】李以斌;牟大伟【作者单位】太极计算机股份有限公司北京100083;北京数字认证股份有限公司北京100080【正文语种】中文云计算在教育领域中的迁移称之为“教育云”，是未来教育信息化的基础架构，包括了教育信息化所必须的一切软硬件计算资源。

这些资源经虚拟化之后，向教育机构、教育从业人员和学员提供一个良好的平台，该平台的作用就是为教育领域提供云服务。

教育云通过一个统一的、多样化的平台，让教育部门、学校、老师、学生、家长及其他与教育相关的人士都能进入该平台，扮演不同的角色，在这个平台上融入教学、管理、学习、娱乐、交流等各类应用工具，让“教育真正地实现信息化”。

扩展了教育深度、扩大了教育范围，促进了学习方式转变和提高学校信息化管理能力。

在此背景下，教育云平台的安全问题就显得尤为重要。

当前互联网蓬勃发展，各种先进的互联网技术为人们提供了方便快捷的平台，但随着计算机技术的发展，安全问题也越来越成为了网络系统建设者重视的问题。

教育云基础平台建设和运营均需要符合信息绿色安全管理的要求，从物理、网络、系统、数据及应用各个层面，建立完善可靠绿色安全保障体系，同时保障教育云虚拟化平台及管理系统的安全，对非法入侵和非法攻击等各方面安全威胁需要具有很强的防范能力。

用户身份认证技术在计算机信息安全中的应用作者：熊俊来源：《信息安全与技术》2013年第06期【摘要】用户身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。

在计算机信息安全领域中，身份认证是一门重要课程。

通过概述信息用户身份认证技术在学校数字校园网络中的应用，阐述了身份认证系统的设计目标，提出了身份认证系统要能以多种方式加以运用，然后对基于PHP 的互联网身份认证系统的原理及实现进行了分析，对动态口令用户身份验证流程进行了研究。

最后，对依托图片动态验证码实现身份认证和应用MD5 算法实现身份验证方法进行了举例分析。

【关键词】身份认证；计算机；信息安全；动态验证码1 引言随着各单位对信息化技术要求的提高，网络业务系统逐渐成熟。

各类业务系统都具备身份认证技术和机制，以确保计算机信息安全。

操作者要牢记十多个业务系统的用户名和密码，反复登录多个业务系统才能开展工作。

现在，各个高校都在建设数字化校园网，校园网信息安全成为当前的重要工作之一。

高校建设数字校园网络时，既要统一标准建设新业务平台，还有整合、集成原有业务系统，打造统一完整、功能齐全、安全网点的统一的用户身份认证系统，这已成为校园网的基础。

因此，要在多个网络业务系统中融入单点身份认证技术。

用户登录一次，认证一遍，就可以访问该平台上的多个业务系统，在各系统中转移时，也不需要受到限制。

2 身份认证系统设计目标用户身份认证依托Web Service封装为网络服务，将数据库中仓储的各个业务系统的信息和用户身份信息进行统一，按需调用，进而统一认证、管理和授权。

其设计目标有几个方面。

（1）为用户带来方便，统一、集中、有效管理用户，借助已有的业务系统的用户设置和权限分配，缩减重新开放用户数据库的开发成本，并且减少对已有业务系统的修改影响。

（2）凸显身份认证单点登录，登录后，在各系统中切换时，不需要退出。

（3）信息平台上的各个业务系统均基于同一个数据库设计。