基于OTP的移动商务身份认证协议的设计与实现王秦1，X润彤(交通大学信息系统研究所，100044)摘要：国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制，这种方式易于实现且操作简单，但容易遭受攻击并且口令在无线传输中易被截获。

一次性口令（One-Time Password，简称OTP）认证机制可以实现一次一密，具备更高的安全性，同时，其实现简单、成本低、无需第三方公证，十分适合于受限的移动商务环境，但难以抵御小数攻击以及没有实现双向认证。

本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA，并利用仿真软件Opnet仿真实现MCIA协议，结果表明其适合于移动商务环境。

关键字：身份认证；一次性口令；MCIA；OpnetDesign and Implementation ofIdentity Authentication Protocol in Mobilemerce based on OTPWang Qin, Zhang Run-tong(Institute of Information System, BeijingJiaotongUniversity, Beijing 100044, China)Abtract:Presently, identity authentication in domestic mobile merce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization,and so it is more suitable for limited mobile merce environment, but it couldn’t resist decimal attack and realize bidirectional authentication.bined OTP with Elliptic curve cryptosystem, it is presented a mobile merce identity authentication protocol based on OTP, named by MCIA protocol.The protocol is simulated through simulation software Opnet and it is suitable for mobile merce environment by simulation results. Key words:Identity authentication; One-Time Password; Mobile merce identity authentication; Opnet1引言随着移动商务的普及和应用，移动商务的安全性已成为人们关注的焦点。

身份认证是第1国家自然科学基金资助项目：移动商务系统中的身份认证研究(60773033)作者简介：王秦，男，XX省梨树县，1973年生，交通大学博士研究生，研究方向：移动商务身份认证，melonznsina.X润彤，男，XX省XX市，1963年生，交通大学教授，研究方向：信息安全、移动电子商务、网格计算等，.一道安全屏障，通信安全几乎总是始于身份认证的握手过程。

基于密码技术的认证协议是实现身份认证最安全的方式，因此，安全、高效的移动商务身份认证协议是保证移动商务安全通信的必要条件。

与传统商务相比，移动商务在身份认证的实现上具备一定的优势：首先，移动通信设备传输的信号为数字信号，便于进行加密处理；其次，由于移动用户和移动终端普遍为一对一，身份认证更易实现。

但是，移动商务实现身份认证也存在诸多薄弱环节，主要包括：一是开放的无线信道使移动商务传送的信息更易遭受窃听、干扰、篡改等攻击，这可能是移动商务最大的安全问题[1]；二是与有线信道相比，无线信道带宽较小，容易产生信号的衰落、频移以及时延扩展，信道的误码率较高[2]；三是与固定终端相比，移动终端在功能及资源上严重受限，如：计算能力弱、存储空间小、通信带宽窄和电源供应时间短等；四是移动终端本身不能提供足够的安全防护。

因此，移动商务身份认证协议的研究必须综合考虑上述因素，尤其重点考虑硬件资源上受限的移动终端。

2 研究现状二十世纪九十年代以来，国外提出了一些无线网络环境下的认证协议，如：TMN 协议、改进BCY 协议、Diffie Aziz -协议、Park 协议、Koc Sunar Aydos --协议和ASPeCT 协议[3]-[8]。

这些协议都能够实现身份认证，但同时也存在一些局限性，诸如：多数无线认证协议采用基于数字证书的身份认证机制，这需要具备完善的CA 认证体系；认证协议都是基于公钥密码体制实现数字签名，由于传统的公钥密码体制基本上通过大数计算实现加解密，造成认证协议的运算负载较高、耗时长且效率低下等问题；多数认证协议都考虑了无线链路中数据的XX 性和实体认证，但没有考虑移动用户的匿名性。

移动用户的匿名性指防止非法用户从认证协议的信息获取移动用户的相关信息[9]。

目前，国外无线身份认证研究的重点为无线公开密钥体系WPKI [10]（Wireless Public Key Infrastructure ，简称WPKI ）。

WPKI 将互联网电子商务中公开密钥体系PKI （Public Key Infrastructure ，简称PKI ）的安全机制引入无线网络环境，是一套遵循既定标准的密钥及证书管理平台体系。

它使用公共密钥加密及开放标准技术构建可信的安全性架构，实现无线通信网络上的交易和安全通信鉴权。

WPKI 为基于无线通信网络的各类移动终端用户提供基于WPKI 体系的各种安全服务，可以实现数据传输中真正的端到端安全性、安全的用户识别及可信交易，保护数据传输的完整性和XX 性，而且能够实现交易参与方的不可抵赖，有效地建立安全的移动商务环境。

但也有专家认为：WPKI 认证机制对承载设备的运算能力要求较高，并不十分适合计算能力受限的移动商务环境[11]，同时，其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性[12]，最重要的是国内尚无一家法律上承认的、权威的第三方认证机构——CA （Certification Authority ，简称CA ）中心，这些因素都限制了WPKI 认证机制在国内的应用。

国内移动商务身份认证的实现多数基于简单的静态口令认证机制[13]，这种方式实现简单、易于操作。

但静态口令认证机制是一种单因子的认证技术，其安全性仅依赖于用户口令的XX性，一旦用户口令泄密，安全性则彻底丧失。

一次性口令认证机制（One-Time Password，简称OTP）采用一次一密的方法，可以有效保证用户身份的安全性，同时，其实现简单、成本低、无需第三方认证，是实现移动商务身份认证一个可行的选择。

但是，OTP 认证机制易遭受小数攻击、没有实现双向认证。

OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送，因此，如果采取密码体制对随机数及认证信息进行加密，必然给攻击者攻击带来巨大困难。

3基于OTP的移动商务身份认证协议MCIA的设计椭圆曲线密码体制是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制，其存储空间占用小、带宽要求低、计算量小和处理速度快等特点使其十分适合应用于移动商务环境。

因此，本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA（Mobile merce Identity Authentication，简称MCIA）。

3.1MCIA协议的设计思路MCIA协议的设计思路如下：（1）将认证分成两级，一是客户端对用户身份的认证，二是客户端与服务器的双向身份认证；（2）使用椭圆曲线加密算法产生客户端、服务器端的公钥和私钥，较传统的公钥算法效率更高；(IMEI做为一次性因素的生成因子；（3）使用移动设备特征性标识)（4）利用哈希链构造一次性口令时加入服务计数，避免针对已知散列函数的小数攻击；（5）认证口令传输时，客户端和服务器端分别用对方的公钥加密，在另一方用私钥解密，避免了明文传输，且对随机因子进行了二次加密，提高了口令传输的安全性。

3.2MCIA协议的流程设计符号说明协议中描述的符号说明：C：参与认证的客户端S：用来认证的服务器端UID：用户注册提供的用户身份标识UPW：用户提供的口令，在注册时第一次提供，存储在客户端。

以后每次认证，用户都需提供正确的用户密码IMEI：移动设备的唯一标识（International Mobile Equipment Identity，简称IMEI），也称手机串号，IMEI做为客户端与服务器端的认证口令因子SID：服务器身份标识H代替()Hash：哈希函数，为了叙述简便，以下使用()||：连接符，表示两端的信息或文字进行连接ECC：服务器端生成的安全椭圆曲线密码系统的参数集UR K ：用户公钥US K ：用户私钥SR K ：服务器公钥SS K ：服务器私钥()E ：加密过程()D ：解密过程i ：表示客户端第i 次登录Counter ：服务器端的计算器i OTP ：客户端登陆的一次性口令c N ：客户端产生的随机数s N ：服务器端产生的随机数3.2.1 注册阶段流程设计注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥产生。

MCIA 协议利用ECC 进行第一次密钥分配和敏感信息的传输加密。

MCIA 协议的注册阶段流程如下：（1）S 初始化生成椭圆曲线，选取密钥对——SR K 和SS K ；（2）C 向S 发起注册请求；（3）S 将椭圆曲线系统参数集ECC 连同SR K 发送给C ；（4）C 存储SR K ，并根据安全椭圆曲线选取自己的密钥对UR K 和US K ；（5）C 输入UID 和UPW ，并存储UID 和)(UPW H ，向S 发送利用SR K 加密的UID 、)(UPW H 、IMEI 以及UR K ，即),),(,(UR k K IMEI UPW H UID E SR ；（6）S 接收),),(,(UR k K IMEI UPW H UID E SR ，利用SS K 做)),),(,((UR k K K IMEI UPW H UID E D SR SS 运算，得到UID 、)(UPW H 、IMEI 和UR K 。