基于OTP的移动商务身份认证协议的仿真研究

中图分类号：TP393 文献标识码：A

内容摘要：安全、高效的移动商务身份认证协议是保证移动商务安全的必要条件。本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA，文章通过与静态口令认证机制（简称EasyUID）和OTP的仿真比较，表明MCIA协议具备良好的性能。

关键词：静态口令 OTP MCIA Opnet

国内移动商务身份认证的实现多基于静态口令认证机制（Yang Mu，Zhang Runtong，2008），这种机制实现简单、易于操作。但静态口令认证机制是一种单因子的认证技术，其安全性仅依赖于用户口令的保密性，一旦用户口令泄密，安全性则彻底丧失。目前，国外无线身份认证研究的重点为无线公开密钥体系WPKI（Noureddine Boudriga，2009）（Wireless Public Key Infrastructure，简称WPKI）。WPKI认证机制对承载设备的运算能力要求较高，并不十分适合计算能力受限的移动商务环境（Feilder，2004），同时，其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性（赵文、戴宗坤，2005），最重要的是国内尚无一家法律上承认的、权威的第三方认证机构―CA（Certification Authority，简称CA）中心，这些因素都限制了WPKI认证机制在国内的应用。一次性口令认证机制（One-Time Password，简称OTP）采用一次一密的方法，可以有效保证用户身份的安全性，同时，其实现简单、成本低、无需第三方认证，是实现移动商务身份认证一个可行的选择。但是，OTP易遭受小数攻击（顾韵华、刘素英，2007）、没有实现双向认证。OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送，因此，如果采取密码体制对随机数及认证信息进行加密，必然给攻击者攻击带来巨大困难。

基于OTP的移动商务身份认证协议MCIA的设计

（一）MCIA的设计思路

椭圆曲线密码体制（Elliptic Curve Cryptosystem，简称ECC）是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制，其存储空间占用小、带宽要求低、计算量小和处理速度快（肖安，2006）等特点使其十分适合于移动商务环境。本文结合OTP和ECC提出基于OTP的移动商务身份认证协议MCIA（Mobile Commerce Identity Authentication，简称MCIA）。

MCIA设计思路如下：将认证分成两级：一是客户端对用户身份的认证，二是客户端与服务器的双向身份认证；使用椭圆曲线加密算法产生客户端、服务器端的公钥和私钥，较传统的公钥算法效率更高；使用移动设备特征性标识（IMEI）作为一次性因素的生成因子；利用哈希链构造一次性口令时加入服务计数，避免针对已知散列函数的小数攻击；认证口令传输时，客户端和服务器端分别用对方的公钥加密，在另一方用私钥解密，避免了明文传输，且对随机因子进行了二次加密，提高了口令传输的安全性。

（二）MCIA的流程设计

协议中描述的符号说明：

C ：参与认证的客户端；S：用来认证的服务器端；UID：用户注册提供的用户身份标识；SID：服务器身份标识；UPW：用户提供的口令，在注册时第一次提供，存储在客户端。以后每次认证，用户都需提供正确的用户密码；IMEI：移动设备的唯一标识（International Mobile Equipment Identity，简称IMEI），也称手机串号，IMEI做为客户端与服务器端的认证口令因子；Hash()：哈希函数，为了叙述简便，以下使用H()代替；||：连接符，表示两端的信息或文字进行连接；ECC：服务器端生成的安全椭圆曲线密码系统的参数集；KUR：用户公钥；KUS：用户私钥；KSR：服务器公钥；KSS：服务器私钥；E()：加密过程；D()：解密过程；i：表示客户端第i次登录；Counter：服务器端的计算器；OTPi：客户端登陆的一次性口令；Nc：客户端产生的随机数；Ns：服务器端产生的随机数。

1.注册阶段流程设计。注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥产生。MCIA协议利用ECC进行第一次密钥分配和敏感信息的传输加密。MCIA协议的注册阶段流程如下：

初始化生成椭圆曲线，选取密钥对―KSR和KSS；C向S发起注册请求；S将椭圆曲线系统参数集ECC连同KSR发送给C；C存储KSR，并根据安全椭圆曲线选取自己的密钥对KUR和KUS；C输入UID和UPW，并存储UID和H(UPW)，向S发送利用KSR加密的UID、H(UPW)、IMEI以及KUR，即EKSR(UID，H(UPW)，IMEI，KUR)； S接收EKSR(UID，H(UPW)，IMEI，KUR)，利用KSS做DKSS(EKSR(UID)，H(UPW)，IMEI，KUR)运算，得到UID、H(UPW)、IMEI和KUR。S验证UID是否存在其用户数据库中，如果存在，则向C发送用户名重复的注册失败信息；如果UID验证成功，则S将UID与H(UPW)、IMEI、KUR绑定，并存入数据库，将服务计数Counter初始化为0，生成一次性因素OTP0=H(IMEICounter)，并向C发送注册成功信息m、用KUR加密的SID和OTP0，即（m，EKUR(OTP0)）；C接收并用KUS解密得到SID和OTP0，存储SID、OTP0，注册阶段完成。

2.登录阶段（认证阶段）流程设计。登录阶段利用注册阶段产生的公钥和私钥对认证口令进行加密和解密。认证中产生的随机数是认证的关键因素，C和S通过比较NC和NC`、NS和NS`验证双方身份的合法性。口令传输过程中，均用公钥进行加密处理。MCIA协议的登录阶段（第一次登录）流程如下：

C输入UID和UPW，计算H(UPW)，比较此计算值是否与移动设备存储的H(UPW)相同。若相同，继续；否则提示用户，口令错误。

C向S发起登录请求，生成随机数NC，发送用KSR加密的UID、NC和OTP0，即EKSR(UID，NC，OTP0)，并保存NC。

S接收EKSR(UID，NC，OTP0)，利用KSS做解密，即执行DKSS(EKSR(UID，NC，OTP0))得到UID、NC和OTP0`。S查找UID，若存在此用户，则得到IMEI和KUR，根据IMEI和Counter计算OTP0，如果OTP0`=OTP0，S生成新的一次性口令OTP1和随机数NS。

OTP1=H(OTP0Counter)OTPi=H(OTPi-1Counter)

发送用KUR加密的SID、OTP1、NC和NS，即EKUR(SID，OTP1，NC，NS)，并保存NS，否则认证结束。

C接收S的信息后利用KUS解密，即执行DKUS(EKUR(SID，OTP1，NC，NS))，得到SID`、OTP1、NC`和NS。比较NC`和NC，如果相同，则验证了C的身份，C存储新的一次性口令OTP1做为下一次登陆的认证口令。比较SID`和SID，如果相同，发送用KSR加密后的NS，即EKSR(NS)，否则认证结束。

S接收EKSR(NS)，利用KSS做解密，即执行DKSS(EKSR(NS))，得到NS`，并与保存的NS比较，若相同，则通过对S的验证，否则终止会话，认证结束。认证成功后，S将Counter加1更新，发送认证成功消息。

C接收认证成功消息，认证结束。

基于Opnet的MCIA协议仿真实现

网络仿真是分析认证协议性能的重要手段。为了验证MCIA协议在真实移动网络环境中的运行效率和性能，本文利用Opnet仿真软件建立MCIA协议的仿真模型，从认证时间、时延、信道利用率、吞吐量与静态口令认证机制EasyUID、OTP认证机制进行仿真比较。

（一）MCIA协议的仿真参数设计

1.仿真软硬件平台。MCIA协议的仿真软硬件平台的具体组成如表1所示。

2.环境变量设置。环境变量依据国际电信联盟ITU2000年5月确定的2.5G及3G标准设置。仿真使用的随机信号由具有simple source类型的随机发生器generator产生，它以特定分布时间间隔产生特定分布大小的数据包，另外，使用指数分布函数随机确定数据包的大小。

仿真过程用到的固定设置，其值分别设定如下：随机信号间隔，移动客户端服从参数为2s的指数分布；随机信号数据包大小，移动客户端产生1024Kb大小的固定数据包；仿真时间设定为30s，seed为32，Values Per Statistic为100；Specify Size设置为12.5km*12.5km网络，移动客户端通过无线网关与服务器通信。

对于节点模型中无线收发器的无线信道相关参数的设置，参考无线网络的相关指标，主要设定无线信道的数据传输率为384kbps，带宽30KHz，噪音、增益等模型均为缺省模型；客户端发送频率为920MHz，接收频率为960MHz，发送机功率为 0.2W；网关接收频率同客户端的发送频率相同，而发送频率则同客户端的接收频率相同，网关发送机功率为15W；网关和服务器之间有线链路的数据传输速率为100M；无线收发器支持的包格式为MCIA_packet_data，此包存放认证信息，进行客户端与服务器端的通信。

（二）MCIA协议的仿真实现

本文选择静态口令认证机制EasyUID、基于挑战/应答的OTP认证机制和MCIA进行仿真比较，EasyUID和OTP认证机制中的仿真参数设定与MCIA完全相同，移动客户端数量为10，从认证时间、时延、信道利用率、吞吐量上比较三种认证机制。

1.三种认证机制的仿真实现。表现为：

一是认证时间。首先仿真三种认证机制进行身份认证需要的时间，认证时间越短，接入越快。图1表示三种认证机制的认证时间，从图1中可以看到，EasyUID的认证时间为2s，OTP的认证时间为5.5s，MCIA的认证时间为7.3s。EasyUID由于不涉及对认证消息加密，认证时间明显低于OTP和MCIA，而MCIA由于引入了椭圆曲线密码体制，因此，MCIA的认证时间比OTP略高。

二是时延。图2表示三种认证机制中移动客户端的数据包在服务器端等待处理的平均时间，时延最高的是MCIA，其时延为0.18s-0.22s，表明随着移动客户端数量的增加，时延有所增加。OTP时延为0.16s-0.19s，EasyUID的移动客户端等待的时延最短，最高为0.16s。

三是信道利用率。图3表示三种认证机制的信道利用率，利用率越低，运行时占用的信道资源越少，网关容纳同时接入的用户数则越多。MCIA信道利用率从2.5%变化到7.5%，EasyUID信道利用率从4%变化到7%，OTP信道利用率从3.5%变化到8.0%。可知，MCIA的信道利用率平均值最低，表明与EasyUID和OTP相比，MCIA协议可容纳同时接入的用户数最多。

四是吞吐量。图4表示三种认证机制在单位时间内（s）移动节点与服务器之间成功接受的无差错数据的数量，EasyUID的吞吐量最高，平均值为6000bit/sec，MCIA的吞吐量平均值为5000bit/sec，OTP的吞吐量最低，但是其在仿真运行26s时达到峰值，最高值达到9500bit/sec。

2.不同处理能力下三种认证机制仿真比较。信道处理能力对身份认证有着重要影响。因此，改变无线链路模型MCIA_packet_data的处理能力，将数据传输率改为1.4Mbps和144Kbps分析三种认证机制统计变量的变化。

数据传输率从384Kbps增加为1.4Mbps时仿真结果如图5、6、7和8。

由图5、6、7和8可知，在数据传输率为1.4Mbps的情况下，三种认证机制的认证时间小幅减少，MCIA为7s，OTP为5s，EasyUID为2s；MCIA、OTP和EasyUID时延分别为0.17s-0.2s，0.16s-0.18s和0.11s-0.15s；三种认证机制的信道利用率基本没有变化；三种认证机制的吞吐量都略有增加，分别为5400bit/sec，5000 bit/sec和6200 bit/sec。因此，在数据传输率为1.4Mbps和384Kbps下的仿真结果类似，说明信道处理能力越强，对协议影响不大。所以，增强数据传输率时三种认证机制的一些参数基本不变或更优。

数据传输率从384Kbps降低为144Kbps，仿真结果如图9、10、11和12。

由图9可知，当数据传输率下降后，三种认证机制的认证时间都有小幅增加，EasyUID认证时间增加约1s，OTP和MCIA认证时间分别增加约0.8s和0.5s；在时延方面，由图10可知，三种认证机制的时延都有明显增多，MCIA协议时延为0.19s-0.25s，OTP和EasyUID时延分别为0.18s-0.23s和0.12s-0.17s；在接受信道利用率上，由图11可知，EasyUID几乎没有变化，OTP和MCIA有较小程度的变化；在吞吐量上，由图12可知，由于数据传输率的下降，三种认证机制的吞吐量都有不同程度的变化，MCIA协议的吞吐量平均值为4200bit/sec，OTP和EasyUID的吞吐量平均值分别为3000 bit/sec和4000 bit/sec。与EasyUID和OTP相比，MCIA协议吞吐量变化的程度最小。因此，当处理能力降低时，OTP的性能降低程度最大，EasyUID有少量降低，MCIA协议的参数保持最优，表明MCIA协议更加适用于移动环境。

综上，相比EasyUID和OTP，MCIA在保证身份认证准确性、安全性的同时，时延短，可以同时容纳更多的用户接入，相同时隙可以发送更多的数据包，说明MCIA适合于移动商务环境。

结论

本文利用仿真软件Opnet仿真实现MCIA协议的认证过程，从认证时间、时延、信道利用率、吞吐量上比较EasyUID、OTP及MCIA三种认证机制，并分析了在不同处理能力下三种认证机制的仿真结果，分析表明MCIA协议适合于移动商务的身份认证。

参考文献：

1.Yang Mu, Zhang Runtong. New authentication scheme for M-commerce based on two dimension bar code [A]. In: Proceedings of 2008 IEEE International Conference on Service Operations and Logistics, and Informatics [C], 2008

2.Noureddine Boudriga. Security of Mobile Communications [M]. American: CRC, 2009

3.Feilder. Mobility Technology Growth Could Cause New Security Risks [J]. Electronic Commerce News, 2004, 12(9)

4.赵文，戴宗坤.WPKI应用体系架构研究[J].四川大学学报（自然科学版），2005，4（24）

5.顾韵华，刘素英.动态口令身份认证机制及其安全性研究[J].微计算机信息，2007，23（11）

6.肖安.椭圆曲线密码体系研究[M].华中科技大学出版社，2006

7.陈敏.OPNET网络仿真[M].清华大学出版社，2004