基于OTP的移动商务身份认证协议的设计与实现王秦国家自然科学基金资助项目：移动商务系统中的身份认证研究(60773033)作者简介：王秦，男，吉林省梨树县，1973年生，北京交通大学博士研究生，研究方向：移动商务身份认证，张润彤，男，辽宁省大连市，1963年生，北京交通大学专家，研究方向：信息安全、移动电子商务、网格计算等，，张润彤(北京交通大学信息系统研究所，北京100044)摘要：国内移动商务身份认证重要采用基于用户名/口令的静态口令认证机制，这种方式易于实现且操作简朴，但容易遭受袭击并且口令在无线传输中易被截获。一次性口令（One-TimePassword，简称OTP）认证机制可以实现一次一密，具有更高的安全性，同时，其实现简朴、成本低、无需第三方公证，十分适合于受限的移动商务环境，但难以抵御小数袭击以及没有实现双向认证。本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA，并运用仿真软件Opnet仿真实现MCIA协议，结果表白其适合于移动商务环境。关键字：身份认证；一次性口令；MCIA；OpnetDesignandImplementationofIdentityAuthenticationProtocolinMobileCommercebasedonOTPWangQin,ZhangRun-tong(InstituteofInformationSystem,BeijingJiaotongUniversity,Beijing100044,China)Abtract:Presently,identityauthenticationindomesticmobilecommerceismainlyimplementedbystaticpasswordmechanismbasedonUserid/password.Themethodhassomeadvantages,suchaseasierimplementationandsimpleroperation.Butitssecurityisworse,whichitiseasilyattacked,anditspasswordiseasilyinterceptedandseizedintransmissionprocessbywirelessnetwork.OTP(One-TimePassword)authenticationmechanismhashighersecuritybyonetimepadding.Itisimplementedsimply,costlessandneedednothird-partynotarization,andsoitismoresuitableforlimitedmobilecommerceenvironment,butitcouldn’tresistdecimalattackandrealizebidirectionalauthentication.CombinedOTPwithEllipticcurvecryptosystem,itispresentedamobilecommerceidentityauthenticationprotocolbasedonOTP,namedbyMCIAprotocol.TheprotocolissimulatedthroughsimulationsoftwareOpnetanditissuitableformobilecommerceenvironmentbysimulationresults.Keywords:Identityauthentication;One-TimePassword;Mobilecommerceidentityauthentication;Opnet引言随着移动商务的普及和应用，移动商务的安全性已成为人们关注的焦点。身份认证是第一道安全屏障，通信安全几乎总是始于身份认证的握手过程。基于密码技术的认证协议是实现身份认证最安全的方式，因此，安全、高效的移动商务身份认证协议是保证移动商务安全通信的必要条件。与传统商务相比，移动商务在身份认证的实现上具有一定的优势：一方面，移动通信设备传输的信号为数字信号，便于进行加密解决；另一方面，由于移动用户和移动终端普遍为一对一，身份认证更易实现。但是，移动商务实现身份认证也存在诸多薄弱环节，重要涉及：一是开放的无线信道使移动商务传送的信息更易遭受窃听、干扰、篡改等袭击，这也许是移动商务最大的安全问题[1]；二是与有线信道相比，无线信道带宽较小，容易产生信号的衰落、频移以及时延扩展，信道的误码率较高[2]；三是与固定终端相比，移动终端在功能及资源上严重受限，如：计算能力弱、存储空间小、通信带宽窄和电源供应时间短等；四