第3章数字签名与身份认证2.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,广东技术师范学院,-,计科院,-,计算机应用系,第3章数字签名与身份认证2,认证需求,网络环境中的攻击（认证的需求）,1.,泄漏,2.,通信量分析,3.,伪装,（,假报文,）,4.,内容篡改,（,插入,、,删除,、,调换和修改,）,5.,序号篡改,（,报文序号的修改,）,6.,计时篡改,（,报文延迟或回放,）,7.,抵赖,（,发送方否认,）,8,.,抵赖,（,接收方否认,）,保密性,报文认证,数字签名,数字签名与身份认证,数字签名：通信双方在网上交换信息用公钥密码防止伪造和欺骗的一种身份认证，是信息网络安全的研究热点和重要手段，保证信息完整性、鉴别发送者的身份真实性与不可否认性，在电子商务、电子银行、电子政务等领域广泛应用，世界各国先后正式颁布了数字签名法,认证：又称为鉴别、确认，是证实某人或某物是否名副其实或有效的过程，是防止主动攻击的重要技术,3.1,报文鉴别,信息网络安全的威胁的两方面,被动攻击：对手通过侦听和截取等手段获取数据,主动攻击：对手通过伪造、重放、篡改、乱序等手段改变数据,报文鉴别的目的：保护数据不受主动攻击,报文鉴别的方式,报文加密函数：加密整个报文，以报文的密文作为鉴别,报文鉴别码：依赖公开的函数对报文处理，生成定长的鉴别标签,散列函数：将任意长度的报文变换为定长的报文摘要，并加以鉴别,3.1,.1,报文鉴别概述,加密：防止信息被窃听采取的措施,报文鉴别：防止信息被篡改和伪造的技术,鉴别：验证通信对象是原定的发送者而不是冒名顶替者的技术,报文鉴别的过程：通信的接收方能够鉴别验证所收到的报文（包含发送者、报文内容、发送时间和序列等）的真伪,3.1,.1,报文鉴别概述,报文认证内容,报文源的鉴别：,使用约定密钥（由发送方决定）,报文宿的鉴别：,密钥（,IDB,）、通行字（,PWB,）,公钥密码时，用对方的公钥加密即可,报文时间性的鉴别：,确认报文是否保持正确的顺,序，有无断漏和重复,初始向量法：初始向量加密报文,时间参数法：在报文中加入时间参数,随机数法：适合全双工通信,报文内容的鉴别：,使收方能够确认报文内容是否真实,没有被修改,3.1,.1,报文鉴别概述,报文鉴别方法,报文鉴别码,（,MAC,，,Message Authentication Code,）,用一个密钥生成的一个小的数据块，追加在报文的后面,通信双方共享密钥,K,，,A,B,发送报文,M,，根据密钥和报文计算报文鉴别码,MAC=F,（,K,，,M,），,F,是加密算法的某一函数，将,M,和,MAC,一起发送给,B,；,B,用收到的,M,，使用同样的,K,再计算一次报文鉴别码，进行比较；若一致，报文为真。,例如，,DES,算法可生成报文鉴别码，采用密文的最后若干个比特（,16,或,32,）作为报文鉴别码。对,MAC,不进行类似加密过程的反向计算，因此鉴别较难被攻破,报文鉴别可通过将报文加密实现，在特定的网络中，许多报文不需要加密，但要求发送的报文是完整和不是伪造的。例如，通知网络上所有用户有关上网的注意事项，可使用单独的相对简单的报文鉴别算法来达到目的,3.1,.1,报文鉴别概述,报文鉴别方法,报文摘要,：报文鉴别码的变种,将可变长度的报文,M,作为单向散列函数的输入，然后得出一个固定长度的标志,H(M),，将其称为报文摘要（,MD,，,Message Digest,）,单向散列函数的特点,：从一个报文生成一个,MD,代码是容易的，反过来从一个代码生成一个报文则实际上是不可能的；还能保证不同的报文不会得出同样的,MD,代码,目前，大多数使用报文摘要,MD,算法来进行报文鉴别，原理见,P72,图,3-2,报文摘要的优点,：对短的固定长报文摘要,H(M),进行加密比对整个报文,m,进行加密效率要高得多，但是对鉴别报文,m,来说，效果一样，也就是说，,m,和,EK(H(M),在一起是不可篡改和伪造的，是可鉴别和不可抵赖的,3.1,.1,报文鉴别概述,报文摘要,要做到不可伪造，,MD,算法必须满足以下两个条件：,1.,任给一个报文摘要值,x,，若想找到一个报文,y,，使得,H(y)=x,，在计,算上不可行,2.,若想找到任意两个报文,x,和,y,，使得,H(x)=H(y),在计算上不可行,也就是说，若,(m,H(m),是发送方产生的报文和报文摘要，攻击,者不可能伪造另一个 ，使得,同时，发送方可以对,H(m),进行数字签名，使报文成为可鉴别,的和不可抵赖的,报文摘要一般采用散列函数（,Hash Function,，哈希函数）实现，,目前用的最广泛的是,MD5,报文摘要算法,3.1,.2,报文摘要,MD,算法,网络管理协议,SNMPv2,采用,MD,鉴别技术：,通信双方共享一小段秘密的数据块,发送端先将此秘密数据块追加在报文,M,的前面，然后输入到散列函数,H,，计算出,MD,，再将,MD,追加在,M,的后面，同时去除一开始加上的秘密数据块，发送给接收端,接收端先去除加了密的,MD,，然后在报文,M,的前面追加上自己拥有的秘密数据块后，输入到散列函数,H,，计算,H(M),。比较,H(M),和,MD,，若一致，则收到的报文,M,是真的,3.1,.2,报文摘要,MD,算法,报文摘要算法与,DES,有更多的共同点，没有正式的数学基础，而是依靠算法的复杂性产生随机的输出来满足对其功能的要求,当前使用最广泛的报文摘要算法是,MD5,，提供一种单向的哈希函数，可对任意长的报文进行计算，得出,128,位的,MD,代码，附在信息报文的后面，以确保鉴别报文以防篡改。如果采用穷举法攻击尝试每秒,10,亿条明文的计算量，需要计算约,10,年,3.1,.2,报文摘要,MD,算法,MD5,MD5,算法是对需要进行摘要处理的报文信息按,512,位进行处理,先将需要进行摘要处理的报文信息块进行填充，使信息报文的长度等于,512,的倍数，填充方法：先在需要进行摘要处理的报文信息后填充,64,字节长的信息长度，再用首位为,1,、后面全为,0,的 填充信息填充,然后对信息报文一次处理，每次处理,512,位，每次进行,4,轮,16,步总共,64,步的信息变化处理，每次输出结果为,128,位，把前一次的输出作为下一次信息变换的输入初始值,最后输出一个,128,位的哈希摘要结果,3.1,.3,报文加密函数,报文加密函数,是用完整报文的密文作为对报文的认证，,分为两种：,常规的对称密钥加密（,P73,）,公开密钥的双密钥加密函数（,P74,）,使用公钥加密明文只能提供保密不能提供认证，因为,任何人都可获得公钥。为了提供认证，发送者,A,用私钥对,信息的明文进行加密，任意接收者都可以用,A,的公钥解密。,既可提供认证，也可提供数字签名,注意,：只用私钥加密不能提供保密性，任何人只要获得,A,的公钥就能对密文进行解密,3.2,散列函数,散列函数又称哈希函数（,Hash Function,），把任意长度的报文,M,通过函数变换为一个固定长度的散列码,h,，,散列函数表示为,h=H,(,M,),生成报文独有的“指纹”,散列函数是一种算法，算法输出的内容称为散列码（值）或称报文摘要（数字摘要）,报文摘要就像该报文的数字指纹，惟一地对应原始报文。如果原始报文改变并且再次通过散列函数，它将生成不同的报文摘要，可用于检测报文的完整性，保证报文始终没被改变和破坏,散列函数是公开的，一般不涉及保密密钥，少量有密钥的散列函数作为计算报文的认证码，因其有密钥具有一定的身份鉴别功能,Hash,函数主要用于完整性校验和提高数字签名的有效性,在多数信息安全应用中，把,散列函数、加密和数字签名,结合使用，实现系统的有效、安全、保密和认证功能,3.2.1,一个简单散列函数,散列函数都是把输入的报文或文件看作若干个长度为,n,比特的分组序列，而后用迭代的方法每次处理一个分组，产生,n,比特的散列码,简单,散列,函数,每个分组,之间,按比特异或,，即,C,i,=b,i,1,b,i,2,.b,im,其中，,C,i,是第,i,个比特的,散列,码,，,1,i,n,m,是输入,报文,的分组数,（每块,n,比特）,b,ij,是第,j,分组的第,i,比特,是按比特异或,散列码其实是在报文的每一比特位置上产生一个,简单,的奇偶校验,，也就是纵向的冗余校验，见,P75,表,3-1,简单散列函数的改进方案,先将,n,比特的散列值设置为,0,按如下方式依次处理数据分组：,将当前的散列值循环左移（或右移）一位,将数据分组与以为后的散列值异或得到新的散列值,好处：把输入的数据产生随机化的效果，并且将输入中的数据格式掩盖掉,3.2.1,一个简单散列函数,建立在压缩函数想法之上：给一个输入,n,位长消息，得到一个较短的散列值，不要求恢复消息本身,单向散列函数的性质（,P76,）,广泛适用性,函数,H,能适用于任何大小的数据分组,码长固定性,函数,H,产生定长输出,易计算性,对于任何数据,M,，计算,H,(M),是容易的,单向不可逆性,无法由散列码倒推报文，即对任意给定的码,h,，寻求,M,使得,H,(M)=,h,在计算上不可行（单向函数）,弱单向性,对任意给定的数据,x,，寻求不等于,x,的,y,，使得,H,(,y,)=,H,(,x,),在计算上不可行（弱单向散列函数、弱抗冲突）,强单向性,寻求任何一对数据,(,x,y,),，使得,H,(,x,)=,H,(,y,),在计算上不可行，即不同报文不能产生相同的散列码（强单向散列函数，强抗冲突）,3.2.2,单向散列函数,散列函数是可公开的，不需要保密，安全性来自它产生单向散列的能力,最常用的两个单向哈希函数是,MD5,和,SHA-1,MD5,（,128bit,）、,SHA-1,（,160bit,）,3.2.2,单向散列函数,3.2.3,散列函数的一般结构,IV,=,初始,向量,CV,i,=,链接,变量,Yi,=,第,i,个,输入,分组,f,=,压缩,函数,n,=,散列值,长度,b,=,输入,分组,长度,L=,输入的分组数,散列函数是建立在压缩函数基础之上，通过对消息分组的反复迭代压缩，生成一个长度固定的散列值,一般在迭代的最后一个分组中还包含有消息的长度,图,3-4,散列函数的整体结构,3.2.4,压缩函数的构造原理,压缩函数是散列函数设计的关键所在,1.,专门设计的压缩函数：利用随机性和多轮的“混乱”达到,散列的目的，如,MD5,、,SHA,等算法,2.,基于分组密码算法的压缩函数：基于所选择的分组密码,算法的安全性，最简单的方式,CBC,（密码分组链接）模,式，最后分组密文就作为散列值,3.,基于公钥密码算法的压缩函数：在,CBC,模式中使用公钥,密码算法作为压缩函数，要扔掉私钥,4.,其它特殊的一些构造方法,散列函数MD5介绍,MD5,消息摘要算法（,RFC 1321,）是由,Ron Rivest,提出,输入：任意长度的消息,输出：,128,位消息摘要,处理：以,512,位的分组为单位,参考书,p25812.1 MD5,消息摘要算法,MD5,算法描述,步骤1：增加填充位（一个1 和若干个0）。,使填充消息的长度,满足：长度,448 mod 512,，即使消息本身已满足长度要求，,仍然需要填充。例如，消息长,448,位，要填充,512,位使其长度位,960,位,步骤2：填充长度。,原始消息长度（二进制位的个数），用64,位表示。如果长度超过2,64,位，则仅取最低64位，即,mod 2,64,以上步骤为预处理阶段，到此已经得到一个512位的整倍,数长度的新的报文。,可以表示为,L,个512位的数据块：,Y,0,Y,1,Y,L,-1,。,新报文长,度为,L,512bits,令,N=,L,16,，则报文长度为,N,个32位的字,令,M0N-1,表示以字为单位的消息表示,MD5,算法描述,步骤,3,：初始化,MD,缓冲区。,一个,128,位,MD,缓冲区用以保存中间和最终,Hash,函数的结果。它可以表示为,4,个,32,位的寄存器,(A,B,C,D),寄存器初始化为以下的,16,进制值,A=67452301,B=EFCDAB89,C=98BADCFE,D=10325476,MD5,算法描述,步骤,4,：处理消息块（,512,位,=16,个,32,位字）,压缩函数是该算法的核心,(,H,MD,5,),，包括,4,轮处理,四轮处理具有相似的结构，但每次使用不同的基本逻辑函数，记为,F,G,H,I,每轮以当前的,512,位数据块,(,Yq,),和,128,位缓冲值,ABCD,作为输入，并修改缓冲值的内容。每次使用,64,常数表,T164,中的四分之一,步骤,5,：输出结果。,所有的,L,个,512,位数据块处理完毕后，第,L,个数据块的输出就是,128,位消息摘要,MD5算法描述(/),(/),MD5,的安全性,新闻：,2004,年,8,月,17,日的美国加州圣巴巴拉，国际密码学年会（,Crypto 2004,）上，来自中国山东大学王小云教授的一篇关于,“,破译,MD5,、,HAVAL,-,128,、,MD4,以及,RIPEMD,-,128,算法,”,的报告引起了轰动，报告中提到的新破译方法几乎标志着世界通信密码标准,MD5,堡垒的轰然倒塌。,一石激起千层浪，此前一直负责公开征集针对,MD5,的攻击而设立的权威站点,Project,）即日停止,，并开始提供该站点以往技术资料的下载,H,ash,函数的基本用途,END,3.3 数字签名体制,现实中，我们使用的签名有何作用？,从法律上讲，签名有两个功能：,标识签名人,和,表示签名人对文件内容的认可,使签名者不可否认,在书面文件上签名是确认文件的一种手段，其作用有,两点：,第一，自己签名难以否认，确认文件已签署的事实,第二，签名不易模仿，确定文件是真的事实,3.3 数字签名体制,数字签名是,认证的重要工具,为什么需要数字签名？,报文认证用以保护双方之间的数据交换不被第三方侵犯；但并不能保证双方自身的相互欺骗。,假定,A,发送一个认证的信息给,B,，双方之间的争议可能有多种形式：,B,伪造一个不同的消息，但声称是从,A,收到的,A,可以否认发过该消息，,B,无法证明,A,确实发了该消息,3.3 数字签名体制,数字签名与书面文件签名有相同之处，采用,数字签名能确认以下两点：,第一，信息是由签名者发送的,第二，信息自签发后到收到为止未曾做过任何,修改,数字签名可用来防止电子信息因易被修改,而有人作伪，或冒用别人名义发送信息，或发,出（收到）信件后又加以否认等情况发生,与传统签名的比较,传统签名的基本特点,与被签的文件在物理上不可分割,签名者不能否认自己的签名,签名不能被伪造,容易被验证,数字签名是传统签名的数字化,能与所签文件“绑定”,签名者不能否认自己的签名,签名不能被伪造,容易被自动验证,3.3 数字签名体制,数字签名应满足的要求,接收者能够核实发送者,发送者事后不能抵赖对报文的签名,接收者不能伪造对报文的签名,数字签名原理,3.3 数字签名体制,常用的数字签名算法,RSA,数字签名算法（,P,79,）,ELGamal,数字签名算法（,P80,）,美国的数字签名标准,/,算法（,DSS/,DSA,）（,P83,）,Fiat-Shamir,数字签名算法,Schnorr,数字签名算法,椭圆曲线数字签名算法,3.3.1 RSA数字签名体制,RSA实现加密与认证,RSA,密钥对的生成,随机选择两个大素数,p,q,计算,n,=p,q,注意,(,n,),=,(,p-,1)(,q-,1),选择,e,使得,1,e,(,n,),且,gcd(,e,(,n,)=1,解下列方程求出,d,e,d,1 mod,(,n,),且 0,d,n,公布公钥：,KU,=,e,n,保存私钥：,KR,=,d,n,销毁：,p,q,3.3.1 RSA,数字签名算法,RSA,数字签名过程,发送方要签名的报文,m,:,使用自己的私钥,KR,=,d,n,计算:,s=m,d,mod n,where 0,m,n,接收方验证签名,s,:,获得发送方的公钥,KU,=,e,n,计算:,m,=,s,e,mod n,注意：,m,必须比,n,小,一般先对,m,做,hash,摘要再签名,E,KUa,H(,m,),3.3.1 RSA,数字签名算法,书中,P80,有错,3.3.1 RSA数字签名体制,RSA,算法是公钥密码体制中最负有盛名的算法，是第一个既能用于数据加密也能用于数字签名的算法，算法思想简单，易于理解，程序易于实现,RSA,缺点：,产生密钥麻烦，受到素数生成技术的限制，难以做到一次一密,为保证安全性，要求分组长度大，,n,要,600bit,以上，运算代价很高,3.3.2 ElGamal,数字签名,ElGamal,数字签名体制是由,T.ElGamal,于,1985,年提出,ElGamal,算法是在密码协议中有着大量应用的一类公钥密码算法,安全性是基于离散对数问题的困难性,既可以用于数字签名，也可用于加解密,ElGamal,数字签名体制的变体已经用于,DSS,中,缺点：密文成倍扩张,3.3.2 ElGamal,数字签名,参数构造,（,1,）全局参数,p,：大素数,g,：公开的本原根,（,2,）私钥,x,：用户选择的一个随机数,（,3,）公钥,y,：,3.3.2 ElGamal,数字签名,签名过程,给定要签名的消息为,M,（,1,）生成一个随机数,k,，使得,gcd,（,k,，,p-1,）,=1,（,2,）计算,r,：,（,3,）计算,s,：,（,4,）把消息,M,和签名结果（,r,，,s,）发送给接收者,由于,r,和,s,都引入了随机数,k,，所以即使是同一个消息，由于,k,的不同，会使签名结果发生变化，因此称其为,随机化的数字签名,。,注：通常情况是对消息,M,直接签名,3.3.2 ElGamal,数字签名,验证过程,（,1,）取得发送方的公钥,y,（,2,）预查合法性：如果 ，那么继续后面的步骤，否则签名不合法,（,3,）计算,（,4,）计算,（,5,）比较 ，如果二者相同，表示签名有效，否则无效,了解：,P82 3.3.2.5 ElGamal,数字签名体制的变形,练习,取,p=11,，,g=2,，私钥,x=8,，随机数,k=9,，使用上述参数对消息,M=5,进行,ElGamal,数字签名并验证,3.,3.3,数字签名标准,DSS,DSS,（,Digital Signature Standard,）签名标准是,1991,年,8,月由美国,NIST,公布，,1994,年,5,月,19,日的正式公布，并于,1994,年,12,月,1,日采纳为美国联帮信息处理标准，主要用于与美国政府做生意的公司,DSS,为,ELGamal,和,Schnorr,签名方案的改进，其使用的算法记为,DSA,（,Digital,Signature Algorithm,）此算法由,D.W.Kravitz,设计，密钥长度为,512-1024bit,，,DSS,使用了,SHA,，安全性是基于求离散对数的困难性,DSS,算法描述,3.3.3,数字签名标准,DSS,全局公钥组成,p,：,L,bit,长的素数。,L,为,64,的倍数，范围为,512,1024,q,：,p-,1,的,160bit,的素因子,g,：,g,=,h,(,p,-1/,q,),mod,p,。,h,是满足,1,h,1,的任何整数,用户的私钥,x,：随机或伪随机整数，且,0,x,q,用户的公钥,y,：,y=,g,x,mod,p,与用户每条消息相关的秘密值,k,：随机或伪随机整数，且,0,k,q,签名,r,=(,g,k,mod,p,)mod,q,s,=,k,-1,(H(,M,)+,xr,)mod q,签名：,(,m,r,s,),验证,w,=(,s,),-,1,mod,q,u,1,=H(,M,),*w,mod q,u,2,=,rw,mod q,v,=(g,u1,y,u2,)mod,p,mod q,检验：,v,=,r,M,=,要签名的报文,H(,M,)=,使用,SHA-1,求得,M,的摘要,3.,3.3,数字签名标准,DSS,D,SA,算法的一个重要特点：,两个素数是公开的,理解课本,P84,图,3-5 DSS,数字签名体制,3.3.4,数字签名中的问题与改进,数字签名方法在具体应用中还有一些问题需要解决,（,1,）签名后的文件可能被接收方重复使用：如一张支票,重放攻击：加入时间戳（,Timestamp,）,（,2,）,RSA,算法基于大数的因子分解难题，随着计算机水,平的提高，需要密钥越来越长。,PGP,：,700bit,以上,SET,协议中：用户,1024bit,认证中心,CA2048bit,长密钥的问题：运算速度慢、存储和管理难,（,3,）公钥算法效率低，不易于长文件加密，常采用,hash,函,数生成消息摘要再签名,（,4,）在,hash,签名中使用一个密钥,k,，用,H,(,m,k,),代替,H,(,m,),，,可增强安全性,理解：,P85,图,3-6,公开密钥和对称密钥相结合的签名,3.3.5,数字签名的发展方向,目前的两种算法：基于大整数因子分解难题的,RSA,算法和基于椭圆曲线上离散对数计算难题的,ECC,算法,基于,RSA,算法的数字签名还有一定的发展,对于未来的加密、生成和验证数字签名的工具，只有用,SSL,（安全套接层）建立安全链接的,Web,浏览器，才会频繁使用数字签名,支持数字签名是,Web,发展的目标，确保数据保密性、完整性和不可否认性才能保证在线商业的安全交易,数字签名作为电子商务的应用技术，越来越受重视,数字签名为互联网用户提供受密钥保护的唯一身份证明，作为身份标识符，会被跟踪网络在线活动，成为安装在身上的监视器,3.4 身份认证,身份认证是通信双方在实质性数据传送之前，进行审查和证实对方身份的操作。身份认证可在用户登录时进行，也可以贯穿于数据传输的过程中,在允许用户进入计算机网络系统之前，必须进行严格的身份认证，可采用普通口令系统、一次性口令或生理特征等认证措施,认证系统是身份鉴别技术的具体应用,身份验证技术是在计算机中最早和最广泛应用的安全技术，是用户能够进入应用系统的一道屏障,身份认证是网络安全中最前沿的一道防线，是最基本的安全服务，其他的安全服务都要依赖于它。一旦身份认证系统被攻破，那么系统的所有安全措施将形同虚设,3.,4,身份认证,身份认证指的是对实体身份的证实，用以识别合法或者非法的实体，阻止非法实体假冒合法实体窃取或者访问网络资源,身份验证是用户向系统出示自己身份证明的过程,身份认证是系统查核用户身份证明的过程,这两个过程是判明和确认通信双方真实身份的两个重要环节，统称为身份认证（或身份鉴别）,常用的认证技术有三种：,报文鉴别,身份鉴别,数字签名,身份认证简介,身份认证通常是通过某种复杂的身份认证协议来实现，身份认证协议是一种特殊的,通信协议,，它定义参与认证服务的所有通信方在身份认证过程中需要交换的所有,消息的格式,、,消息的次序,以及,消息的语义,等。通常采用密码学技术来实现认证信息的存储与传输的安全,典型的身份认证协议涉及,示证者（,Prover,）,验证者（,Verifier,）,攻击者（,Attacker,）,在某些情况下，还涉及可信赖的第三方,TTP,3.,4,身份认证技术,身份认证模型,示证者,输入,传输,验证者,3.,4,身份认证技术,身份认证简介,典型的身份认证方法,实体所知道的或掌握的知识（,something you know,，知识证明,),，如口令,实体所持有的物件（,something you have,，持有证明），如令牌、智能卡,动态口令,实体的生物特征（,something you are,，属性证明），如指纹、视网膜、,DNA,USB Key,认证，密钥、数字证书,3.,4,身份认证技术,认证系统面临的攻击,在网络环境下，由于认证信息需通过在网上传输，攻击者可能对身份认证系统发起以下的攻击,窃听（,Eavesdropping,）,猜测攻击（,Guessing,）,中间人攻击（,Man-in-the-Middle,）,重放攻击（,Replay,）,攻击认证服务器（,Compromised server,）,密码分析攻击（,Cryptanalysis,）,3.,4,身份认证技术,桌面应用程序密码安全,3.,4,身份认证技术,Web,应用程序密码安全,3.,4,身份认证技术,基于口令的身份认证,最简单的身份认证方式是采用用户名,/,静态口令方式，它是最基本也是最经济实用的认证方式,为解决静态口令的诸多问题，安全专家提出了,一次性口令（,One Time Password,）,技术。,基本思想是在网上传送的口令只使用一次。一次性口令系统主要是为抵制重放攻击而设计的,挑战,/,应答（,Challenge/Response,）：用户要求登录时，系统产生一个随机数（挑战）发送给用户，用户将该随机数和口令按约定的算法做运算，结果作为应答发给服务器，服务器运用约定的算法对口令和随机数做运算以验证用户身份。由于服务器发出的每次随机数不同，因此用户给出的应答也不同，从而避免了重放攻击，也避免了口令的明文传输，但此机制仍然存在口令猜测攻击，且对于用户来说，操作繁杂，容易造成输入错误,3.,4,身份认证技术,采用加密的一次性口令模型,Login,IDc,IDc,R,IDc,MAC,Client,MAC=H(R,K),MAC=H(R,K),比较,MAC,和,MAC,OK/Disconnect,Server,3.,4,身份认证技术,口令的管理,口令产生器,不是让用户自己选择口令，口令产生器用于产生随机的和可拼写口令,口令的时效,强迫用户经过一段时间后就更改口令,系统还记录至少,5,到,10,个口令，使用户不能使用刚刚使用的口令,限制登录次数,免受字典式攻击或穷举法攻击,3.,4,身份认证技术,END,