基于.NET Remoting口令系统设计.docVIP

基于.NET Remoting口令系统设计 　　摘 要： 由于B/S模式下客户机对服务器的验证困难，提出了使用Remoting程序对网站的真伪进行验证。方案实现了客户端和服务器端的相互认证、服务器端敏感信息的安全存储和每次认证产生不同的会话密钥，安全分析表明，所提的方案能有效防范钓鱼网站等的常见攻击，增加了系统的安全性。方案使用.NET进行实现，证明是可行的。 　　关键词： 身份认证； 一次性口令； Hash函数； 远程访问 　　中图分类号：TP309 文献标识码：A 文章编号：1006-8228（2012）04-09-03 　　Password Authentication System Design Based On .NET Remoting 　　Fang Jun 　　（College of International Education, Zhejiang Yuexiu University Of Foreign Languages， Shaoxing， Zhejiang 312000， China） 　　Abstract： In the condition of the B/S mode, the authentication server is difficult by a client. This paper puts forward to use Remoting program to verify the authenticity of Web site. The program realizes mutual authentication between the client and the server, also realizes server sensitive information safe storage. Every time authentication can produce different session keys. Safety analysis shows that the proposed scheme can effectively prevent phishing against common attack and increase the system security. The scheme is achieved by using .NET, It proved to be feasible. 　　Key words： Authentication； One-time password； Hash function； Remote access 　　0 引言 　　目前所使用的一次性口令认证方案大部分都是基于C/S的。一些基于B/S的方案都存在着不验证服务器真实性的漏洞。目前国内流行的一次性口令技术是使用动态口令牌，包括硬件令牌、短信密码、手机令牌。这些动态口令牌无需在PC端安装软件，也无需和PC机连接，动态口令是根据专门算法，基于事件同步和基于挑战/应答模式而生成。用这种方式构建的安全系统难以抵制钓鱼网站的攻击[1]。随着因特网应用的不断深入以及电子商务和网上银行的发展和普及，设计更加完善的适用于Web应用的一次性口令认证方案具有重要的意义。 　　基于Web开发的系统，都是构建在HTTP协议之上的Web应用。基于Web的应用系统，浏览器中显示的内容都必须到服务器下载，因此相对于C/S的一次性口令认证方案来说，Web应用有其自己的特点。由于B/S模式下客户机对服务器的验证困难，因此，基于浏览器的Web应用给网络钓鱼攻击者带来了可趁之机。一旦遭受到网络钓鱼攻击，则用户输入的个人信息将全部被攻击者获取。本文通过在客户端安装一个简单的Remoting程序来验证网站的真实性。在确定网站的真实性之后再输入密码，实现网站对用户的认证，这样可以有效地避免口令的泄密。该方案实现了每次认证都会产生不同的会话密钥。 　　1 符号约定及方案描述 　　符号约定。 　　ID：用户的身份标识； 　　PW：用户口令； 　　Se：服务器选择的种子； 　　R：随机数，其中Ru为客户端产生的随机数，Rs为服务端产生的随机数； 　　//：联结运算符； 　　?：异或运算符； 　　H(x)：安全哈希函数，H2(x)对x连续进行2次哈希运算； 　　U→S:x：客户端向服务器端发送消息x。 　　方案描述。 　　本方案包括注册和登录认证两个阶段。 　　⑴ 注册过程 　　用户在安全的环境下请求注册，用户选择ID、PW，服务器选择Se；计算H(ID)、H2(PW//Se)、Se?H(ID,PW)、H(Se//ID//PW)，在服务器端存储H(ID)、H2(PW//Se)