随着全球信息化发展和Internet普及,计算机网络安全逐渐成为人们关注的焦点问题。目前网络通信主要提供五种安全服务,即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。其中,身份认证作为安全应用系统的第一道防线,是最重要的安全服务,所有其它的安全服务都依赖于该服务,它的失败可能导致整个系统的失败。 身份认证就是证实用户真实身份与其所声称的身份是否相符,以防止非法用户通过身份欺诈访问系统资源的过程。常用的身份认证技术主要包括静态口令、一次性口令、PKI数字证书和生物特征技术。根据国外应用情况以及从我国的国情出发,一次性口令身份认证技术与其它几种技术比较起来,由于其安全性高、使用方便、管理简单、成本便宜,具有广泛的应用前景。一次性口令就是在登录过程中加入不确定因素,使每次登录传送的认证信息都不相同,以提高登录过程安全性。 安全可靠的身份认证协议是认证系统的核心。本文以身份认证技术和认证协议为研究重点,围绕网络环境下身份认证系统的特点和面临的威胁进行探讨,阐述了基于挑战—应答机制产生一次性口令的认证原理与实现过程,并对其安全性进行分析。针对CHAP协议存在服务器欺骗、会话劫持等安全隐患,结合Differ—Hellman密钥交换协议提出一个改进方案。新方案将身份认证和会话密钥产生有机结合起来,支持通信双方的双向认证,并在用户和认证服务器之间建立安全的保密信道,能够积极有效地防范重放、网络监听、破坏正常会话等网络攻击。 基于改进的CHAP协议,本文设计了一个一次性口令身份认证系统,对网络结构、工作流程、密码算法等进行了详细论述,并编程实现了认证客户端、认证服务器端、系统管理程序和数据库表等软件模块。系统采用客户/服务器工作模式,主要由两部分组成:认证服务器和认证客户端。在一次认证过程中,用户在认证客户端输入认证口令信息,作必要的密码处理之后,发送给身份认证服务器。身份认证服务器验证用户认证信息的真实性,合法用户登录成功后可以访问系统资源。同时为了进一步增强认证系统的安全性,引入了用户口令自主修改、增加口令字符串长度等强制密码策略,并提供入侵报警与日志审计功能。系统保留了原有静态口令认证机制简单易用的优点,又