周喜 蔡明杰

【摘 要】 国内的SaaS和PaaS服务商提供的在线会计信息系统服务，能帮助用户随时随地进行会计日常业务处理，充分发挥会计核算、分析和财务决策等职能。由于所有服务都是基于互联网的应用模式，网络安全变得越来越重要。为维护和保障用户的正当利益，在线会计信息系统用户身份认证体系采用双因素动态口令方式构建，能有效防止窃听、重放、伪造、服务器欺骗、暴力破解和猜测等攻击手段，相比传统方式构建的身份认证体系更安全。

【关键词】 OTP技术； 在线会计信息系统； 动态口令； 身份认证

随着互联网的不断发展及在线服务业务的需求日益增加，金碟、用友、阿里巴巴和八百客等SaaS服务商相继推出了在线会计、在线记账、钱掌柜和管理自动化等在线会计信息系统。如何保障在线业务开展的安全性是维护用户切身利益的关键问题。身份认证是系统安全的第一道防线，也是系统安全的关键所在。常用的传统身份认证方式是ID/PW静态口令模式，其广泛应用于Web应用服务。但静态口令是可以重复使用的，易受穷举、重放、网络数据包侦听和协议分析等多种形式的攻击。为解决上述问题，在线服务提供商可构建无须第三方认证的基于动态口令技术的双因素身份认证体系，是可行的、安全可靠的解决方案。

一、身份认证及OTP技术

在线会计信息系统中确认操作者身份的过程所应用的OTP技术，需要认识两个概念。

（一）身份认证

身份认证是主要用于阻止非授权用户对系统的访问或入侵，是网络安全的一个重要内容，也是计算机信息系统的重要的安全保护手段。传统常见的身份认证方式有用户口令核对法。即：系统为合法的用户建立ID/PW，通过登录时用户输入信息与系统内的信息是否匹配来验证用户身份。静态口令是简单有效的安全措施，应用也方便，用户端不需要安装软硬件认证设备，但由于用户名和口令都以明文方式在网络中传输，存在易攻击、易窃取和易破解等问题。身份认证大致分为以下四大类型：一是用户申请固定的秘密信息，如用户名和口令、PIN码等；二是用户持有某些物理介质，如IC卡、智能卡和加密U盘等；三是用户具有的生物学特征，如五官、指纹、DNA、掌纹、视网膜和声音等；四是用户和认证系统双向认证后提供动态口令令牌，如软件令牌、硬件令牌和短信令牌等。

（二）OTP技术

OTP（One-time Password）技术，即动态口令技术，是系统鉴别用户身份合法性的数字化凭证，是防止非法用户侵入而设计的一种身份认证技术。OTP技术根据专门的算法生成一个只能使用一次且有生命周期，不可预测的随机数字组合。OTP身份认证的实现方式包括S/KEY方式、挑战/应答方式、时间同步方式和事件同步方式。OTP技术是一种先进、安全和便捷的用户信息防盗技术，可有效地保护用户登录和交易的认证安全。动态口令认证的实现原理是：用户在登录系统、验证身份的过程中加入一些不确定的因素，传递给认证系统验证的数据是动态和变化的，从而提高信息系统的安全性。OTP技术下的身份认证系统采用自定的简单加密算法和身份认证协议，为每个用户分配一个用户名，并生成一组密钥。客户端根据用户的当前时间值和密钥生成用户当前登录口令。用户使用该登录口令和用户名提交身份认证请求，认证服务器通过用户名的索引找到该用户在认证服务器数据库中的密钥，再经过算法变换后得到校验口令，如校验口令和用户请求口令一致，则通过身份认证，否则，拒绝用户登录请求。

OTP身份认证系统有以下特点：1.动态口令具有不重复使用及较强的时效性；2.动态口令无需复杂的算法，减轻客户端的运算压力；3.动态口令的口令位数更长，具有8位的长度，具备较好地抗分析与抗暴力破解能力；4.动态口令无需另附加终端认证的硬件设备；5.动态口令无需缺乏权威的第三方认证机构的参与；6.动态口令的使用，可有效防范外网和内网的入侵攻击；7.动态口令认证过程中客户端和服务器间的通信次数少、信息量小。OTP身份认证系统能有效抵御猜测、重放和窃听等黑客攻击，表1为基于动态和静态口令身份认证系统的相关数据对比情况（见表1）。

二、国内在线会计信息系统身份认证体系现状

我国在线会计服务模式是基于B/S架构的软件模式，企业不用花费巨资购买财务软件，不需要进行软件的安装、维护和升级等一系列工作，只需借助互联网按年或月支付费用即可租用软件进行会计业务处理的一种模式。目前推出在线会计信息系统服务的开发商有金蝶、用友、阿里巴巴和八百客等，笔者对表2中几款在线会计信息系统的身份认证系统进行对比分析发现：国内在线系统身份认证体系中暂无服务商提供动态口令身份认证服务，这严重影响在线服务系统的安全性和用户的切身利益，也将影响SaaS服务商提出的在线会计信息系统实现“未来五年的复合增长率达到43%”的目标（见表2）。

三、基于OTP技术的在线会计信息系统身份认证体系构建

按照系统论观点，会计信息系统是指由会计的确认、计量、记录、分析、预测、决策、控制等一系列元素有机构成的集合体。现重点阐述OTP技术的在线会计信息系统身份认证体系构建。

（一）常用OTP认证的基本原理

1.挑战/应答（Challenge/Response）认证技术

基于挑战/应答认证技术的基本原理：选择自定函数或加密算法作为口令生成算法。用户在请求登录时，认证服务器产生一个挑战码（随机码），包括种子Seed和迭代次数Seq。用户端将口令（密钥）和挑战码作为自定单向函数的参数进行运算。由于每个用户的密钥不同，不同用户对同样的挑战码算出不同的应答数，这个应答数作为动态口令发送给认证服务器且这个应答数只能使用一次。该方式具有较好的安全性（见图1）。

2.时间同步（Time Synchrono-us）认证技术

时间同步认证技术的基本原理是以用户登录时间作为随机因素，流逝的时间作为变动因子，一般以60S为变化单位。同时选择自定单向函数作为认证数据的口令生成算法。将用户端的口令（密钥）和时间值作为自定单向函数的参数。因为运算所得的认证数据因时间值的不确定也在不断变化，从而保证了每次产生的动态口令值都不相同（见图2）。

3.事件同步（Event Synochro-nous）认证技术

基于事件同步的令牌基本原理是通过一组有序数列的时间次序及相同的种子值作为参数，进行自定函数算法得出密码。用户每次输入一次ID就会产生一个密码，密码按照使用次数不断的动态变化。如用户端和服务器通过自定算法得到一致的密码，将通过登陆请求（见图3）。

（二）系统的构建及实现

1.构建基本要求及设计思想

身份认证系统的基本要求是：机密性、完整性、不可抵赖性和身份验证。系统设计思想：体系构建将基于ID/PW和OTP技术双因素身份认证技术；每次登录动态口令不重复；认证服务器和用户主机端的私钥和算法一致；动态口令具有较强的时效性；支持分布式认证。

2.身份认证过程

用户登录系统时将提交认证请求，认证服务器确定用户的合法性，身份认证过程如图4所示。

用户身份认证的详细过程如下：用户通过安全通道向认证服务器输入ID/PW，提交认证请求；认证服务器收到认证请求后，查询数据库该用户ID/PW是否一致，如是合法用户，则下传一个随机的挑战码给用户；用户主机端根据挑战码和用户私钥，执行自定单向函数运算，输出相应的应答码（即为此次认证的动态口令）并通过安全通道发送至认证服务器；认证服务器执行同样的算法生成应答码，并与用户发送过来的应答码进行对比，其验证结果将返回给用户。

3.身份认证体系实现

基于OTP技术的身份认证体系结构主要由三大部分组成：用户模块、OTP生成器模块和认证服务器模块。传统的静态验证系统中，由于用户口令是一次设置后，可重复使用，用户不需要通过其他手段获取口令。而在动态口令验证系统中，口令是有较强的时效性和随机性，每个口令只能使用一次，因此在动态口令认证系统中增加了OTP生成器模块来完成动态口令的生成。这个模块可以使用软件或硬件来实现，考虑到成本等因素，我们仅选择软件的形式实现。用户模块的主要作用是以认证服务器产生的挑战码和用户的私钥按自定算法计算出一个响应码，通过安全通道传输到认证服务器，再将验证结果通知给用户。OTP生成器模块主要作用就是按用户的私钥和公钥进行计算生成动态口令。该模块可安装在认证服务器或用户端，前者灵活性好，后者安全性高。认证服务器模块是整个系统的核心模块，包括初始化模块、用户管理模块和动态口令模块。该模块主要作用是验证用户口令是否正确；向用户发送动态口令；鉴定用户端主机的合法性；监控整个认证过程；创建工作日志等。

4.安全性分析

（1）字典攻击：假设攻击者通过字典及穷举法得到用户和私钥，但是私钥的安全性由公钥的加密算法决定。动态口令加入时间这一不确定因素，每次连接请求时都不同。因此，动态口令机制能有效防范字典攻击。

（2）重放攻击：用户与认证服务器双方的挑战信息采用了C/R认证机制，每次双向认证时，服务都会生成新的动态身份认证口令，即使攻击者进行了重放攻击并截取到了大量信息，但认证服务器计算机的结果与收到的值不一致，认证服务器将拒绝登陆请求，此次认证失败。

（3）窃听攻击：用户与认证服务器间的信道上传输的数据是通过自定函数计算加密的，并非真正的口令。即使攻击者获得该信息，也无法进行可逆运算操作，无法获取用户的口令。另动态口令生命周期一般为60S，也将有效地防御窃听攻击。

（4）猜测攻击：用户口令值通过公钥对其加密并存储在认证服务器中，即使攻击者获取口令文件，但无法得到认证服务器的私钥而不能解密得到用户的口令，有效地防御了猜测攻击。

（5）暴力破解攻击：系统的安全性主要依赖于协议中的公钥密码和自定函数算法等，系统一般输出的数据为128位，如攻击者通过穷举法暴力破解方法需尝试2 128次，另公钥密码是基于大素数分解，目前没有有效的破解方法。

四、结束语

基于OTP技术和用户密码双因素身份认证机制的在线会计信息系统，有效地实现了双向及多重认证，能有效防范窃听、重放、伪造、服务器欺骗、暴力破解和猜测等黑客攻击，保障了在线会计信息系统的安全和用户的切身利益。基于OTP技术构建的身份认证体系具有低成本和安全性高等特点，已广泛应用于在线会计服务、银行、政府、网络游戏、电子商务、证券和内部管理等领域。

【参考文献】

[1] 周喜.SaaS在线会计服务模式发展的瓶颈问题及对策研究[J].商业文化（下半月），2011（1）：152-154.

[2] 敖山，刘庆华，姜桦.动态口令身份认证的实现方式分析[J].焦作大学学报，2006（2）：60-64.

[3] 韩平，朱艳琴，罗喜召.无线局域网中使用OTP的身份认证方案[J].计算机工程，2008（14）：16.

[4] 赵志辉，李新社.基于OTP和RSA的身份认证系统研究[J].电脑知识与技术，2009（11）：42-45.

[5] 高明柯，陈锡文，王倩.密码学中基于口令验证和身份确认的网络安全研究[J].湘潭师范学院学报（自然科学版），2008（2）：61-65.