基于Java手機的一次性密碼認證方案

楊建強 ，袁 磊

(襄樊學院 數學與計算機科學學院，湖北 襄樊 441053)

基于Java手機的一次性密碼認證方案

楊建強 ，袁 磊

(襄樊學院 數學與計算機科學學院，湖北 襄樊 441053)

一次性密碼認證方案比常見的用戶名/密碼認證方案要安全得多. 文章提出了一種基于質詢/響應協議的 Java手機的一次性密碼認證方案，方案中產生一次性密碼的密鑰由改進的Diffie/Hellman協議完成交換，還采用了保護MIDlet、密鑰、通信鏈路等的安保措施. 方案的實施應用，除手機外，用戶并不需要添置額外的硬件設備. 該方案可以作為已有的認證方案如用戶名/密碼方案的替代方案，具有很好的安全性及應用前景.

Java手機；密碼認證；一次性密碼

Internet上的服務越來越多，其中許多服務需要認證用戶身份. 目前最常見的認證方案是使用“用戶名/密碼”方案，隨著服務數目的不斷增多，需要用戶記住的用戶名/密碼對也越來越多，而且當不同的用戶/密碼數增多時，要記住它們是很不容易的. 因此，在多個Internet服務中，許多用戶或者使用相同的用戶名/密碼對，或者選擇容易記憶的密碼，有時候甚至把密碼隨便記在紙上，這一切大大降低了這類本來就存在弱點的認證方案的安全性. 原因在于，如果多個服務使用相同的用戶名/密碼對，那么某個服務的密碼一旦被破解，其他服務也就不再安全；另外，即使在不同的服務中使用了不同的用戶名/密碼對，如果不經常更改密碼，那么也存在被破譯的可能性. 但是，一次性密……