简述“一次性密码”身份验证.doc

简述“一次性密码”身份验证摘要:密码的安全和管理是对企业IT管理员很重要的一个问题。用户往往创建非常简单的密码,如何才能减少此类安全问题呢?该文介绍使用基于标准的技术以及C来开发一次性密码概念。使用基于标准的OTP解决方案是一个比较优秀的选择。关键词:Web;Web一次性密码;OTP 中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)20-5426-02 Brief"one-timePassword"Authentication LIUZhao-qian,LIJin (BiologicalEngineCollegeYancheng,Yancheng224051,China) Abstract:,howcanreducethesesecurityproblems?Thisarticledescribestheusectodevelopaone-. Keywords:Web;one-timepassword;OTP 1密码态密码通常只在需要时才进行更改,由于密码缓存在计算机硬盘上并存储在服务器上,因此它们很容易被破解。一次性密码会在用户每次登录时发生更改。密码有两种方式:与时间同步或与计数器同步。与时间同步的OTP已得到广泛部署,但可能出现时钟偏差问题。即,如果身份验证服务器和用户令牌的时间不同,则无法生成预期的OTP值,并且用户身份验证将失败。使用与时间同步的OTP时,用户通常必须在特定时间段内输入该密码,否则会将其视为过期且必须生成另一密码。与计数器同步的OTP将同步客户端设备与服务器之间的计数器。每次请求设备的OTP值时,计数器都会增加。就像使用与时间同步的OTP一样,当用户想要登录时,他必须输入设备上当前显示的OTP。用于应对复杂情况的OTP是一种特殊情况,它们通常还会使用硬件设备。但是,用户必须提供一个已知值才能生成OTP。此类OTP目前广泛应用,用于为信用卡和借记卡增加身份验证。 2OTP解决方案为构建OTP解决方案,需要创建一个基于标准的OTP身份验证Web服务,中。创建一个OTP生成器,通过将其安装到每台客户端计算机上,用户就可运行它来生成新的OTP。当收到Web浏览器提示时,OTP插件模块从IIS得到通知,并且随后调用Web服务来检验身份验证请求。Web服务在SQL表中查找用户的密钥和计数器值、检验OTP计算,并响应身份验证为成功还是失败。图1显示了解决方案的体系结构。 IIS模块提供了OTP身份验证服务,并且该模块使用一个名为Service的Web服务来检验OTP值。该Web服务包含一个位于AppData中的SQL数据库,在Test项目中包括了用于测试该解决方案的网页。 3OTP客户端 OTP生成器客户端应用是一个独立的工具,它允许用户获取OTP身份验证值。为计算OTP,该客户端组件使用与身份验证Web服务共享的DLL。用户将运行此工具来创建下一个OTP,然后将该值手动键入到Web浏览器的表格中。使用C来完成所有工作。这个基于哈希的OTP解决方案有两个输入值