一种实现双向认证的动态口令身份认证方案

双因素身份认证动态口令技术原理随着互联网的快速发展，个人隐私和数据安全问题变得越来越重要。

在这样的环境下，身份认证技术在确保数据安全和个人隐私方面起着至关重要的作用。

双因素身份认证动态口令技术作为一种高效的身份认证方式，逐渐受到了广泛的关注。

双因素身份认证即通过结合两种不同的身份验证方式来提高系统的安全性，通常分为两种因素：知道（something you know）、拥有（something you have）和本体（something you are）等。

在双因素身份认证中，传统的用户名和密码是一种因素，而动态口令则是另一种因素，这种方式比传统的单因素身份认证更加安全可靠。

动态口令通常是由系统随机生成的一次性密码，用户在进行身份认证时需要输入这个动态口令，以证明自己的身份。

动态口令通常具有以下特点：一次性、短暂有效、随机性和不可预测性。

这些特点使得动态口令在安全性上具有较大的优势，对于确保用户身份的真实性和系统安全性起到了关键作用。

双因素身份认证动态口令技术中的动态口令生成和验证过程主要涉及到以下几个方面的原理：1. 动态口令生成原理动态口令的生成通常采用了一种基于算法的方式，其中包括了一些密码学原理。

常见的动态口令生成算法包括：时间同步动态口令算法（Time-based One-Time Password, TOTP）和挑战响应动态口令算法（Challenge-Handshake Authentication Protocol, CHAP）等。

这些算法利用了用户的密钥、时间信息、随机数等因素，结合密码学的哈希函数等技术，生成具有一定时效性和随机性的动态口令。

以TOTP算法为例，其生成的动态口令依赖于当前时间戳和用户的密钥共同计算得出，同时需要设置一个时间周期，保证动态口令在一定时间内的有效性。

这种基于时间的动态口令生成方式，能够有效抵御重放攻击和窃取攻击，提高了系统的安全性。

2. 动态口令验证原理在用户输入动态口令进行身份认证时，系统需要验证用户输入的动态口令是否合法。

一种实现双向认证动态口令身份认证方案摘要在分析现有动态身份认证系统的基础上结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷和以牺牲口令随机度来解决“失步”问题的不足。

关键词双向身份认证、动态口令、同步重调动态身份认证系统不可否认基于动态口令的身份认证系统给网络安全带来了福音。

它的优点如动态性、一次性、随机性、多重安全性等从根本上有效修补了传统身份认证系统存在的一些安全隐患。

比如可以有效防止重放攻击、窃听、猜测攻击等。

但就目前的研究成果、使用情况来看它同样也存在这不足以及技术上的难关。

现有的基于动态口令的身份认证系统都只能实现单向认证即服务器对客户端的认证这样就不能避免服务器端的攻击。

随着网络应用的多样性发展越来越多的网络应用要求能够实现双向认证以确保双发的利益如电子商务、金融业务等因此实现双向认证就成为了身份认证的一个必然趋势。

对于同步认证技术来说保证服务器端和客户端的高度同步是必需的。

此时如何保持服务器和众多客户端同步就成了一个技术难关。

基于同步认证技术的动态身份认证系统都存在“漂移”问题也即“失步”。

目前的解决办法往往是以牺牲口令的随机度来弥补这个缺陷。

这无疑给系统带来了很大的安全隐患。

当然异步认证技术不存在“漂移”问题但是它进行认证的过程比较繁琐占用通讯时间太长效率比较低。

针对上面提到的动态口令认证系统的不足和缺陷设计了一个新方案。

该方案采用双向认证通信协议实现了双向认证并设计了一种失步重调机制。

2.2改进方案2.2.1双向认证通信协议在这个协议中使用了直接信任模型即客户端和服务器端通过注册阶段而建立直接信任关系。

（直接信任是最简单的信任形式。

两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。

）协议中包括两个阶段：注册阶段、登陆阶段。

1）注册阶段注册阶段是为了让Client 和Server建立初始信任关系。

2017年11月计算机工程与设计 Nov. 2017第38 卷第11 期COMPUTER ENGINEERING AND DESIGN Vol. 38 No. 11基于FIDO协议的双向动态口令认证方案郭佳鑫，黄晓芳+，徐蕾(西南科技大学计算机科学与技术学院，四川绵阳621010)摘要：为解决当前口令认证缺陷，提出一种基于F ID O协议的双向动态口令认证方案，采用软件令牌的方式实现。

对当 前动态口令方案进行分析，结合移动终端特点，设计一种基于移动终端的高效双向动态口令认证协议；研究F ID O协议特 点，将FID O协议与双向动态口令结合，实现本地生物认证，进一步加强用户和云服务安全。

安全分析结果表明，该方案 能够抵御多种网络攻击。

关键词：动态口令；双向认证；在线快速认证协议；移动终端；云服务中图法分类号：TP309 文献标识号：A文章编号：1000-7024 (2017) 11-2919-06doi：10. 16208/j. issnl000-7024. 2017. 11. 006Two-way dynamic password authentication scheme based on FIDO protocolGUOJia-xin, HUANG Xia〇-fang+, XU Lei(School of Computer Science and Technology, Southwest University of Science and Technology, Mianyang 621010，China) Abstract：T o solve current password authentication defects? a two-way dynamic password authentication scheme based on FIDO protocol was presented, which implemented by software token. Analyzing the current dynamic password schemes and combi­ning with the characteristics of mobile terminals, a kind of efficient two-way dynamic password authentication protocol based on mobile terminals was designed Researching FIDO protocol characteristics? combining FIDO protocol and two-way dynamic password，the local biological authentication was realized to further strengthen the security of cloud services and users. The se­curity analysis shows that the scheme can resist various attacks.Key words：dynamic password；two-way authentication；FIDO 〇引言身份认证是获取云服务过程中不可缺少的环节，当前 移动终端用户和云服务进行身份认证的过程中，普遍采用 的是单向静态口令进行认证，其存在着网络窃听、密码猜 解、中间人攻击等安全威胁。

一种实现双向认证的动态口令身份认证方案来源：中国论文下载中心 [ 08-05-05 10:51:00 ] 作者：郭玉娇1 黄建华2 编辑：studa0714Client将和本次的动态密码用自己的私钥加密，再和，此次产生的随机数R 一并用Server的公钥加密后发送给Server。

发送完毕后，客户端会将R备份，并启动计时器，若超过一定时间T后仍无收到Server的应答数据包则丢弃该随机数R；或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。

Server先用自己的私钥对收到的消息C1进行解密，得到用用户私钥加密的数据包，记为M2，以及和R。

Server根据得到的，在数据库中查找对应用户的公钥。

用解密M2，得到和本次动态密码。

(4) 验证动态密码的正确性。

根据和Client端一样的动态密码生成算法，生成动态密码。

比较和Client端发送过来的。

若不同，拒绝Client的登陆请求，向Client发送拒绝登陆数据包；若相同，接受Client登陆请求，进入第⑤步。

Server向Client发送数据包C2，即将和Client发送过来的R用Server的私钥加密，再和一块打包用Client的公钥加密。

Client收到Server发送的反馈消息后，先用自己的私钥解密得到用加密的加密数据包，记为M4，以及。

根据第⑥步中得到的，取出对应的公钥。

用解密M4，得到和R。

将R和本身暂存的R进行比较。

若相同，则验证服务器为合法身份，Client和Server建立正常通信连接；若不同，判定该服务器为非法的，拒绝和该服务器建立通信连接。

2.2.2 动态口令的生成算法动态密码，纠根揭底就是将动态因子和用户的固有秘密信息融合在一起生成登陆密码。

动态因子可以是时间、计数器次数、随机数等。

本文中设计使用的动态密码生成算法采用计数器作为动态因子。

Client端和Server端各拥有一个计数器，初始值为0。

Client和Server 每成功地进行一次相互认证计数器值增1，以此来保证双方计数器的同步。

基于RSA算法的动态双身份认证的设计与实现摘要：针对网络通信中相互身份认证困难的问题，提出一种基于RSA算法的动态双身份认证方案，比其他基于公钥体制的身份认证方案相比，具有安全性更高、方便简洁、认证时间少等优点，并通过VC++实现了基于该方案的系统。

关键词：密码体制；RSA算法；身份认证；公钥1、RSA加密算法及身份认证目前网络通信主要提供五种安全服务，即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。

其中，身份认证作为安全应用系统的第一道防线，是最重要的安全服务，所有其它的安全服务都依赖于该服务，它的失败可能导致整个系统的失败。

网络应用系统中通信双方的身份认证问题，传统的做法是采用用户名加口令来验证登录用户的身份，但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测，存在较大的安全隐患；另外这种认证方式只能完成单方面的身份认证，即只能解决服务器验证客户端身份的问题，无法解决客户端验证服务器身份的问题，因此不能完全满足互联网业务应用的需要。

公钥加密算法的安全性主要是基于复杂的数学难题。

目前比较流行的主要有两类[2]：一类是基于大整数因子分解系统，以RSA为典型代表，它是目前被研究和应用得最为广泛的公钥算法，经过长年的攻击考验，该算法已被普遍认为是目前最优秀的公钥方案之一。

2、RSA工作原理[1]如下：（1）任意选取两个不同的大质数p和q，计算乘积r=p*q；（2）任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。

注意e的选取是很容易的，例如所有大于p和q的质数都可用.；（3）确定解密密钥d，由d*e=1 mod((p-1)*(q-1))，根据e，p和q可以容易地计算出d；（4）公开整数r和e，但是不公开d；（5）将明文P(假设P是一个小于r的整数)加密为密文C，计算方法为C=Pe mod r；（6）将密文C解密为明文P，计算方法为P=cd mod r；然而，只根据r和e(不是p和q)要计算出d是不可能的，因此，任何人都可对明文进行加密，但只有授权用户(知道d)才可对密文解密。

一种实现双向认证的动态口令身份认证方案来源：网店装修 摘要本文在分析现有动态身份认证系统的基础上，结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制，解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷，和以牺牲口令随机度来解决“失步”问题的不足。

关键词双向身份认证、动态口令、同步重调，动态身份认证系统身份认证技术是信息安全理论与技术的一个重要方面，它是网络安全的第一道防线，用于限制非法用户访问受限的网络资源，是一切安全机制的基础。

这也就使之成为黑客攻击的主要目标。

因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。

就国内外身份认证技术的发展情况来看，最传统的身份认证方式是帐号——口令方式；新兴的身份认证方式包括：生物特征识别法、动态口令<又称一次性口令）认证法等。

本文中主要展开对动态口令认证法的讨论和研究。

1 背景知识介绍 1.1 PKI体系PKI<Public Key Infrastructure 公共密钥基础设施）是一种遵循标准的密钥管理平台，它能够为所有网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理。

公共密钥基础设施则是希望从技术上解决网上身份认证、信息的保密性、信息的完整性和不可抵赖性等安全问题，为网络应用提供可靠的安全服务。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口<API）等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。

1.2 RSA加密算法RSA加密算法，又称非对称算法，采用公钥——私钥对来对信息进行加、解密。

RSA加密算法的过程如下：<1）取两个随机大素数p和q<保密）。

<2）计算公开的模数r=pq(公开>。

一种实现双向认证动态口令身份认证方案双向认证动态口令身份认证是一种相对安全的身份认证方案，通过使用动态口令可以防止密码的泄露和重复使用。

本文将介绍一种实现双向认证动态口令身份认证方案的方法。

在该方案中，用户和服务器之间建立了一个双向认证的通信渠道。

用户首先选择一个个人密钥和一个初始的动态口令（例如，OTP-One Time Password）。

用户的个人密钥只有用户自己知道，而动态口令是基于时间戳和个人密钥生成的，每隔一段时间（例如30秒）就会自动生成新的口令。

在进行身份认证时，用户首先向服务器发送一个认证请求。

请求中包括用户的标识信息和动态口令。

服务器接收到请求后，首先验证用户的标识信息是否有效，然后根据用户的标识信息获取到用户的个人密钥。

接下来，服务器根据当前的时间戳和用户的个人密钥生成一个期望的动态口令。

然后，服务器将期望的动态口令与用户发送的口令进行比较。

如果两者相同，则认为该用户是合法用户，身份认证成功。

在这个过程中，用户和服务器都需要进行双向认证。

服务器在验证用户的身份之后，会向用户发送一个随机挑战（challenge）。

用户接收到挑战后，使用个人密钥生成一个相应的响应（response）并返回给服务器。

服务器根据用户的个人密钥和收到的响应生成一个期望的响应，并将期望的响应与用户发送的响应进行比较。

如果两者相同，则认为该服务器是可信的，双向认证成功。

通过这种双向认证的动态口令身份认证方案，可以有效防止身份伪造和密码泄露的风险。

用户的个人密钥只有用户自己知道，而动态口令的生成过程是基于时间戳和个人密钥的，可以有效防止重放攻击和中间人攻击。

然而，这种方案也存在一些问题。

首先，如果用户的个人密钥被猜测到或者被泄露，那么攻击者同样可以生成有效的动态口令进行身份伪造。

其次，如果服务器的随机挑战被截获，攻击者同样可以生成有效的响应进行身份伪造。

因此，在实际应用中，除了采用双向认证动态口令身份认证方案之外，还应该结合其他的安全措施，例如使用加密通信、加强服务器的安全性等，以增加整个身份认证过程的安全性。

一种实现双向认证动态口令身份认证方案摘要在分析现有动态身份认证系统的基础上，结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制，解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷，和以牺牲口令随机度来解决“失步”咨询题的别脚。

关键词双向身份认证、动态口令、同步重调，动态身份认证系统，别可否认基于动态口令的身份认证系统给络安全带来了福音。

它的优点，如动态性、一次性、随机性、多重安全性等，从全然上有效修补了传统身份认证系统存在的一些安全隐患。

比如，能够有效防止重放攻击、窃听、推测攻击等。

但就目前的研究成果、使用事情来看，它同样也存在这别脚，以及技术上的难关。

现有的基于动态口令的身份认证系统都只能实现单向认证，即服务器对客户端的认证，如此就别能幸免服务器端的攻击。

随着络应用的多样性进展，越来越多的络应用要求可以实现双向认证以确保双发的利益，如电子商务、金融业务等，所以实现双向认证就成为了身份认证的一具必定趋势。

关于同步认证技术来说，保证服务器端和客户端的高度同步是必需的。

此时怎么保持服务器和众多客户端同步就成了一具技术难关。

基于同步认证技术的动态身份认证系统都存在“微小漂浮”咨询题，也即“失步”。

目前的解决方法往往是以牺牲口令的随机度来弥补那个缺陷。

这无疑给系统带来了很大的安全隐患。

固然异步认证技术别存在“极小”咨询题，但是它进行认证的过程比较繁琐，占用通讯时刻太长，效率比较低。

针对上面提到的动态口令认证系统的别脚和缺陷设计了一具新方案。

该方案采纳双向认证通信协议实现了双向认证，并设计了一种失步重调机制。

2.2改进方案2.2.1双向认证通信协议在那个协议中使用了直接信任模型，即客户端和服务器端经过注册时期而建立直接信任关系。

（直接信任是最简单的信任形式。

两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。

）协议中包括两个时期：注册时期、登陆时期。

1）注册时期注册时期是为了让Client和Server建立初始信任关系。