基于混沌的OTP移动商务身份认证方案设计与实现

胡新月， 姜 楠

(大连民族学院 计算机科学与工程学院，辽宁 大连 116600)

基于混沌的OTP移动商务身份认证方案设计与实现

胡新月， 姜 楠

(大连民族学院 计算机科学与工程学院，辽宁 大连 116600)

随着3G时代的到来移动电子商务以其随身移动、方便快捷、省时高效、利润丰厚等特点，成为电子商务新的发展方向，但移动电子商务的身份认证问题却成为了制约其快速发展的重要瓶颈。为解决上述问题，作者在现有身份认证技术的基础上，结合移动电子商务自身的特点，应用基于一次性口令(OTP)认证技术，融入独特的混沌HASH加密方式，提出了在移动商务环境下的OTP身份认证方案。该方案包含了用户注册、双向认证和敏感信息安全存储等内容。与传统身份认证方案相比，该方案更多的考虑了移动商务的安全性要求以及移动设备的技术局限性。符合移动商务自身特点，身份认证过程安全高效。

移动商务；一次性口令；混沌HASH；身份认证

1 引言

移动网络的高开放性和移动终端的高可移动性，给电子商务的发展的提高带来了诸多便利，如何可以有效的保证在移动互联的贸易方式中可交换信息的安全性和正确性，如何防范黑客对信息的截取和攻击，以及保障交易数据的可靠性，就成为了移动电子商务发展中迫切需要解决的问题。

本文介绍分析原始OTP移动商务身份认证系统。特别设计混沌HASH算法对服务器端的信息加密，从而确保系统整体的安全性。改进原始OTP移动商务身份认证系统，实现双向认证、客户端与服务器的散列次数同步、通信数据之间的加密、融入混沌HASH算法加密方式对服务器端的信息加密。搭建J2ME平台，编程实现基于混沌的移动商务身份认证系统，并在模拟器上进行仿真实验。分析实验结果验证系统的安全性和性能。

2 OTP移动商务身份认证系统

OTP全称是One Time Password，也称一次性动态口令或是动态密码，是由特别的算法所生成的不可预测的一组随机数组，无需第三方认证，而且一组密码仅可使用一次。

OTP认证是一种独特的摘要认证方式，给其输入一组不定长度的信息，通过单向散列函数，将其压缩或扩充成特定长度的一组值并输出出来，因为有特定的单向散列函数的原因，即使输人的原始信息变化非常小，但是输出的信息也会发生相当大的变化。单向散列函数的特性决定通过输出信息去反向求得原输入信息是不能实现的，即单向散列函数的单向性。

3 混沌加密方式

将混沌的概念应用于加密，最早是由英国数学家 Matthews[4]在 20世纪 80年代末提出的，自Matthews后许多新混沌密码方案不断被提出，而且涌现出很多的混沌密码学研究成就，显示出了混沌在保密安全方面的重大应用前景。混沌系统产生的混沌序列是一种非线性序列，它提供了具有良好随机性、相关性和复杂性的伪随机序列，而且混沌序列具有较好的散布性和不可逆性、防伪性以及初值敏感性，这恰好满足单向HASH函数的条件，所以用混沌映射构造单向HASH函数是十分适合的。

类 Hénon系统

一般地，（1）式中各参数取值范围为a=1.4，b=0.3，0.2≤w≤1.3，初值在[-1.2，1.2]之间时，其最大李雅普诺夫（Lyapunov）指数大于零，此时系统是混沌的。

利用前面所述的类Hénon映射构造一个带密钥(w，k1，k2)的HASH函数，以第一轮循环选取的初始值(w，k1，k2)作为密钥，在其中 k1=x0、k2=x1。 要满足系统是混沌的，所以要求 xiє[-1.2，1.2]，因此在该算法中规定密钥ki取在[-1.2，1.2]之间。

步骤一：将要处理的明文消息 mi(iє[0，N]，N 为明文消息字节数)，按相应的ASCII码转换为数字码，之后线性变换为[0，1]之间的数，设 ci=0.225+0.003chi(iє[0，N]，chi为 mi对应的 ASCII码)，这样处理后所有明文消息就转换成了一个实数序列ci。

步骤二：将初始值即密钥(w，k1，k2)代入类 Hénon映射（1），也就是令 x0=k1，x1=k2，进行 r轮迭代得到xr+1，其中r=(k+[N/256])([.]为取整运算，k为取定的大于0的整数）。

步骤三：令 x0=c0，x1=xr+1，代入类 Hénon 映射(1)中，迭代 r次得到 x1r+1，然后令 x0=c1，x1=x1r+1再进行第二轮r次迭代得到x2r+1，…，这样经过N轮迭代后得到xNr+1。然后对xNr+1进行r次迭代，可生成实值序列{xNr+1， xNr+2，…， xNr+r}。 令 xNr+1=y1，xNr+2=y2，…，xNr+r=yr，即得到 yj(j=1，…，r)；

步骤四：从混沌序列 yj中取出 yr、yr-7、…、yr-49这样8个迭代结果，再分别通过变换，把上述8个迭代结果依次分别映射成32位的0-1数据串，最后将所有数据串合起来构成256位的散列值，即为加密后的结果。

4 基于混沌的OTP移动商务身份认证系统方案设计

用户注册：

1.客户端向服务器端发送注册请求。

2.用户输入基本信息，包括用户名、密码其中将用户名和通行密语发送给服务器。

3.服务器接受客户端发来的用户名和密码，验证用户名是否存在，若不存在则将用户信息存入数据库，反之则提示已存在同名用户，需重新输入用户名。

4.如果用户成功注册，则会收到服务器端发来的提示信息。

5.服务器端将用户的用户名与密码经混沌HASH加密后分别存储到相应数据库中。

双向认证：

加密算法HASH（）；散列次数N；通行密语P；随机种子S。

1.服务器收到客户端发来的用户名，检测用户名是否存在。若不存在则返回给客户端该用户没有注册。若存在则发送给客户端一个随机种子S，转到步骤2。

2.客户端接收到随机种子，用MD5函数对用户的通行密语P、随机种子S和字符进行N次加密，散列次数是个迭代值，N由客户端与服务器端各自生成，认证成功一次N就加1。最后客户端将散列值HASH（P+S）n发送给服务器，并存储 HASH（P+S）n-1。

3.服务器计算自己的HASH （P+S）n-1和HASH（P+S）n，将 HASH（P+S）n与从客户端发来的 HASH（P+S）n相比较。如果不相同就停止客户端的认证，并告知客户端认证失败。如果相同就确认客户端为合法身份，并将服务器计算的HASH（P+S）n-1返回给客户端。

4.客户端比较HASH（P+S）n-1的值是否相同。如不同则终止认证。如果相同就将自己的N加1，并通知服务器双向认证成功。

5.服务器端收到客户端双向认证成功信息后，N加1并保存。

OTP双向认证过程如图1所示:

用户名、通行密语和散列次数加密存储。

用户在注册成功之后，服务器便存储了该用户的用户名与密码，为了保证信息的安全，采用基于混沌构造的HASH函数和MD5分别对用户名与通行密语等进行加密，并存储在数据库中。本文设计三个数据库表：A、B、C各数据库表如下表1、表2、表3所示：

数据库A存储用户名的明文（ID）及用户名通过MD5加密后的密文 （Md5ID）和随机种子（random）。数据库B存储A的用户名加密映射后的用户名（MD5ID）与混沌HASH函数的加密种子（seed）以及混沌HASH函数加密次数（time）。数据库C存储的是数据库A的混沌HASH加密后用户名（HASHID）以及用户密码（pass）。三个数据库之间的逻辑关系如图2所示：

6 仿真试验

在搭建的模拟移动平台上进行仿真试验，从试验结果及对比分析中进一步验证本方案的可行性与优势。图3和图4分别显示的是登录正确和错误的系统情况。

7 方案分析

系统的性能分析：

在移动商务的背景下，移动终端的处理能力相对比较低，所以选择的混沌HASH算法和MD5加密散列算法都是高性能、低运算的算法，使移动终端运算压力大大减少。整个身份认证从开始到结束客户端只与服务器端通信，降低了其他信息被劫持的可能性。而且由于不使用第三方认证而是采用一次性动态口令，在很大程度上降低了运行成本。该系统使用JAVA语言开发，在目前几乎所有的手机上均可保证正常安装和使用本系统。

系统的安全分析：

服务器端的三个数据库表分别存储不同信息，信息相互之间有联系，并使用混沌HASH加密与MD5加密相结合，保证存储信息即使泄露也不会被破解，保证了用户信息和系统的双安全。

客户端和服务端通信信息都经过加密，只在用户注册的时候通行密语在客户端和服务端上传播过一次，其他通信信息都经过加密以确保安全。混沌HASH函数和MD5函数对用户的用户名通行密语和随机种子等信息加密，随机种子通过随机函数生成，每次的随机种子不同，设计的散列次数也不同，这样每次的口令就不相同，保证了口令的一次性和唯一性，所以不法者采用重放攻击是不会成功的。系统认证方式为双向认证，当攻击者冒充服务器时客户端的散列次数和冒充的服务端的散列次数不相同，所以双向认证失败，保证了用户和服务器的安全。

本系统只有在用户名，通行密语、随机种子和散列次数同时被窃取时才会被冒充成功，而且通行密语、散列次数都不在网络上传输，如果被窃取应该是用户的失误，这种失误不是系统所能弥补的，所以总的来说本系统在技术层面上是有很高安全性的。

8 结论

电子商务的发展促进了全球经济的一体化，并使得全球商务得到了长足进步。而移动电子商务作为电子商务的新发展，具备着强劲的经济推动能力，其快速、随时、方便的交易模式是未来电子商务发展的新特征。

与其他电子商务一样，移动商务需要符合自身特点的身份认证系统来提供各商业行为的基础。本文所提出的基于混沌的OTP移动商务身份认证系统正是为解决这类问题而开发的。与传统静态口令身份认证不同的是该认证方案操作简单，安全性高，无需公钥认证体系的支持，双向认证，混沌HASH加密与MD5加密相结合等安全措施综合应用，最大程度上防止各种攻击，最终做到保障客户端和服务器端的安全和高效。

本文通过分析原始OTP移动商务身份认证系统。特别设计混沌HASH算法对服务器端的信息加密，多种加密方式混合使用，从而确保系统整体的安全性。改进原始OTP移动商务身份认证系统，实现双向认证、客户端与服务器的散列次数同步、通信数据之间的加密、融入混沌HASH算法加密方式对服务器端的信息加密。搭建J2ME平台，编程实现基于混沌的移动商务身份认证系统，并在模拟器上进行仿真实验。验证了该方案在移动身份认证环境中的安全性和可行性。随着移动商务的发展移动身份认证必将会有长足发展。

[1]LAM PO R T L．Passw ord authentication w ith insecure communication[J]．C ommunications of the AC M，1981，24(11):770-772．

[2]W ang X Y，Y u H B．H ow to Break M D 5 and O ther H ASH Functions [M]．Berlin，H eidelberg:Springer V erlag，2005．

[3]W ang X Y，Lai X J，Feng D G．cryptanalysis ofthe H ASH functionsM D 4 and R IPEM D[C]∥Ad vancesin C ryptology-Euro crypt 2005．Berlin:Springer，2005．

[4]M atthew s R．O n the derivation of a chaotic encryption algorithm[J]．C ryptology，1989，3(1):29-42．

[5]姜楠，杨德礼，王德高．基于混沌理论的身份认证方案[J]．吉林大学学报:理学版，2008，46(4):711-715．

[6]Jiang N an， Y ang D e-li， W ang D e-gao．Identity authentication scheme based on chaotictheory [J]．Journal of Jilin U niversity(Science Edition)，2008，46(4):711-715．

Design and Implementation for an OTP Mobile Commerce Authentication Scheme Based on Chaos

Hu Xinyue，Jiang Nan
（School of Computer Science&Engineering,Dalian Nationalities University,Dalian,Liaoning 116600）

With the arrival of the age of 3G,mobile e-commerce,with its portable mobile,convenience,efficiency,profitableness and so on,is becoming the new trend of e-commerce development,but the mobile e-commerce authentication problem has become an important bottleneck restricting its rapid development.To solve this problem,this paper puts forward the OTP authentication scheme in the mobile business environment based on the existing authentication technology and combined with characteristics of mobile e-commerce application as well as one-time password (OTP)authentication technology and a unique chaotic HASH encryption method to encrypt information.The program contains a user registration,mutual authentication and secure storage of sensitive information and so on.Compared with the traditional authentication scheme,the program considers more about mobile commerce security requirements and the technical limitations of mobile devices.Consistent with its own characteristics of mobile commerce,identity authentication process is more safe and efficient.

mbile commerce;OTP;Chaos HASH function;identity authentication

I206

A

1005-1554（2011）02-0026-04

2011-03-20

胡新月（1987-），男，山东威海人，大连民族学院计算机科学与工程学院学生。