摘 要

随着互联网的迅速发展和成熟，演化出各种各样的行业，包括游戏，电子商务，互联网金融等，伴随着移动通信和和无线网络的不断成熟，5G时代也即将来临，互联网和移动产业已跟人们财产，个人信息隐私以及日常生活紧密联系在一起，面对如此快速的信息交换和更迭，数据信息的安全越来越受大家的重视，信息的安全已经跟人们的隐私，财产安全密不可分，身份认证是信息安全最重要的一个方面，传统的静态口令和动态口令认证方式存在容易受到网络窃听和字典攻击等攻击以及硬件成本昂贵，有额外的花销等问题。

本文提出了一种基于标识和移动终端的动态口令身份认证方式，此种方式将用户终端种子密钥跟用户标识联系在一起，用户的手机移动终端替代了通常的动态口令令牌硬件，且用户的动态口令种子密钥可以随时恢复。

利用基于Android的Java语言对前端进行开发，用python和MySQL进行后台服务器的开发，此方案可以大大减少硬件成本，减少用户种子密钥因丢失导致的损失，随时更新和恢复用户种子密钥增强动态口令的安全性，经过程序功能测试，程序功能完好，对于加强身份认证的安全性和易用性，提高经济效益具有实践意义。

关键词：动态口令；Android；用户标识；身份认证

Abstract

With the rapid development and maturity of the Internet, various industries have evolved, including social networking, gaming, e-commerce, Internet finance, etc. With the continuous maturity of mobile communications and wireless networks, the 5G era is also coming. The mobile industry has been closely linked to people's property, privacy of personal information and daily life. In the face of such rapid information exchange and change, the security of data information is more and more valued by everyone. Information security has been linked to people's privacy and property Security is inseparable. Identity authentication is the most important aspect of information security. The traditional static password and dynamic token authentication methods are vulnerable to network eavesdropping and dictionary attacks, as well as expensive hardware and additional costs.

This paper proposes a dynamic password identity authentication method based on identity identification and mobile terminal. This method associates the key with the user identification. The user's mobile phone terminal replaces the usual dynamic password token hardware, and the user's dynamic The password seed key can be recovered at any time.

Use the Java language based on Android to develop the front end, and use python and MySQL to develop the background server. This solution can greatly reduce the hardware cost, reduce the loss of the key due to the loss, and update and restore the key at any time to enhance the security of the dynamic password. After the program function test, the program function is intact, which has practical significance for strengthening the security of identity authentication, reducing economic costs, and improving economic benefits.

Key Words：Dynamic password；Android；User ID；authentication

目录

第1章 绪论 1

1.1 研究背景及意义 1

1.2 国内外研究现状 2

1.3 本文研究的主要内容以及章节安排 3

第2章 基于口令的身份鉴别技术 4

2.1 静态口令身份认证技术 4

2.2 动态口令身份认证技术 4

2.2.1 基于时间同步的动态口令认证技术 4

2.2.2 基于挑战/应答方式的动态口令身份认证技术 5

2.2.3 基于手机的动态口令身份认证技术 6

第3章 系统整体结构设计 8

3.1 需求分析 8

3.2 系统整体结构设计 8

3.3 系统的整体设计思路 10

3.4 系统整体流程详细设计 11

第4章 系统详细功能模块设计与实现 14

4.1 动态口令生成APP模块设计与实现 14

4.1.1 IP输入模块 14

4.1.2 用户注册模块 14

4.1.3 请求获取终端种子密钥模块 15

4.1.4 动态口令生成模块 17

4.2 动态口令服务器模块设计与实现 17

4.2.1 用户注册模块 17

4.2.2 用户标识合法性验证及种子密钥生成模块 17

4.2.3 动态口令验证模块 19

第5章 系统测试 22

5.1 系统功能性测试 22

5.2 系统安全性分析 31

第6章 总结和展望 33

6.1 总结 33

6.2 未来展望 34

参考文献 35

致 谢 37

第1章 绪论

1.1 研究背景及意义

如今信息安全技术的地位已经变得越来越重要，信息安全技术水平发展的高低已经对互联网和数字化建设的发展以及个人财产安全，集体的财产安全的保护发挥着越来越重要的作用，社会，国家以及个人对于数据信息的安全越来越重视。同时伴随着计算机硬件的发展，移动通信的迅速发展，信息安全技术也越来越成熟和完善。身份认证技术是信息安全技术中重要的一个方面，身份认证是指验证访问用户身份与预先声称的身份是否一致的方式，它是保障用户信息安全的第一道屏障，也是第一道防守线^[1]。

身份认证的本质是除了用户本人以外别人都无法访问自己的个人数据和信息，任何第三方都无法伪造其合法性^[2]，口令作为身份认证中的一项重要的技术，其应用范围越来越广。口令主要包括静态口令和动态口令，由于传统的静态口令身份认证技术采用的是固定不变的口令进行登陆，存在易受字典攻击等问题，所以动态口令在安全性方面有着更大的提升，由于其安全性和易用性，动态口令被广泛应用于企业，集体和个人。

动态口令的生成主要有三种方式：基于手机短信的方式，基于硬件的方式，基于软件的方式。下面对三种令牌进行简单的介绍。硬件令牌是通过硬件设备生成动态口令的一种方式，由于硬件可以避免网络攻击，软件攻击等，所以其安全性较高，但是同时伴随着成本昂贵的问题并且由于需要随时携带硬件设备导致使用的便利性大大降低。生成动态口令的手机短信令牌是一种利用手机移动通信获取动态口令的令牌形式，其只需要一部正常通信的手机即可，具有方便便捷等特点；软件令牌是基于程序生成动态口令的一种动态口令生成的令牌形式，需要移动网络和一部终端设备^[3]。动态口令极大的保证的用户数据信息的安全性，对于传统的动态口令硬件令牌而言，其安全性虽然是最高的，但是每一个动态口令令牌硬件设备的成本比较昂贵，对于个人和中小型企业来说成本太高，并且携带不方便，不具有便捷性。对于手机短信令牌来说，其主要的依托载体是短信，短信作为载体的安全性较低，在通信过程中容易被窃取。如今智能手机已经普及，手机软件代替传统的硬件以及手机短信令牌，这样降低了成本也更加便捷，同时提高了安全性。