计算机网络是一个开放的系统。但由于其开放性导致计算机网络中存在相当多的安全漏洞和安全威胁,网络中的各类资源很容易被人非法访问和复制。因此,对网络资源访问者的合法身份进行认证就变得非常的重要,身份认证技术已经成为网络系统安全中最重要的技术之一。 较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证。但是,随着网络应用的深入化和网络攻击手段的多样化,静态口令认证技术由于其自身的安全缺陷已经不再适应于安全性要求较高的网络应用系统。静态口令认证技术面临的主要网络攻击手段有:明文形式的口令在网络上传输容易遭受口令窃听攻击;加密形式的口令则容易遭受截取/重放攻击;其他攻击手段还包括伪造主机攻击、内部人员攻击、字典攻击等等。 针对静态口令认证技术存在的安全缺陷,业界提出了一次性口令认证技术(One-Time Password Authentication),也称为动态口令认证技术。一次性口令认证技术是指用于认证用户合法身份的口令是一次性的,即每个口令都只是使用一次,每次认证都是使用不同的口令。这里所指的口令并不是用户口令,而是由用户口令和其他不确定因子计算所得的认证口令。一次性口令认证技术消除了静态口令认证技术的大部分安全缺陷,能有效抵抗静态口令认证技术所面临的主要安全威胁和攻击,为网络应用系统提供了更加安全可靠的用户身份认证保障。 本文首先对一次性口令认证技术的基本原理、实现方式和安全性进行了深入的分析。在此基础上,对两个典型的一次性口令认证方案—S/KEY口令序列认证方案和SAS-2认证方案进行了详细地描述和深入地研究。通过研究这些认证方案的工作过程,分析了这些认证方案以及其改进方案的安全性,并指出其中所存在的部分安全缺陷。在综合上述一次性口令认证方案及改进方案的基础上,本文提出了一种新型的一次性口令认证方案—NOTP认证方案(New One-Time Password Authentication Scheme),并实现了基于此方案的新型一次性口令认证系统—NOTP认证系统。NOTP认证方案具有认证步骤简单、执行性能优异、无需重新初始化、用户可任意修改口令等特点。同时,NOTP认证方案还增强了抵御各种