【基于动态口令技术的电子商务身份认证系统】身份认证系统口令
[摘 要]本文着重介绍当前电子商务活动存在的安全隐患,分析并说明了动态口令技术的原理和实现方式,并阐述了基于动态口令技术的电子商务身份认证系统的设计方案和实施步骤。该方案可以方便地融合进现存的各种电子商务系统,并可有效地解决静态密码易泄露和易被攻破的问题,从而提高了电子商务活动的安全性。
[关键词]电子商务 身份认证 网络安全 动态口令
电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。当前电子商务主要是以EDI(电子数据交换)和INTERNET来完成的。电子商务应用中的另一个领域是允许使用者直接访问金融机构,许多人已开始通过电子方式来购买车票、支付账单和管理银行的账户。
一、电子商务的安全隐患
由于电子商务活动的买卖双方大都不谋面地进行各种商贸活动,因此电子商务特别是其网上支付领域有着各种各样的交易风险。但无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。而大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。大多数用户使用的静态密码都是字典中可查到的普通单词、姓名或者其他简单的密码。有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。最典型的例子是2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。故随着CSDN"密码外泄门"持续发酵,天涯、网易、新浪和飞信等多家大型网站也相继被曝用户数据遭泄密。解决静态密码安全性不足问题的根本性方法之一就是使用动态密码技术。动态密码的一次一密的特点决定了黑客即使捕获了当前密码也无法下次使用,从而有效防止了密码的泄露问题。
二、动态口令技术的基本原理
动态口令又称为一次性口令OTP(One - Time - Password) ,其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如 Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。选取动态口令认证这种方案的商用系统采用的是静态密码与令牌相结合的双因素身份认证。这种方式在检查用户静态密码(知道什么) 的同时,验证用户是否持有正确的令牌(拥有什么)。现行动态口令根据其产生方式一般分为三种:事件同步,时间同步和挑战应答模式。
三、基于动态口令技术的电子商务身份认证系统的实现
1.我们这里以挑战应答模式的动态口令系统为例,讲述一下系统实施步骤:
(1)新用户在网站上先注册会员,并要求提供动态口令服务。
(2)新用户被审核通过后,网站产生两个随机整数(如12,25)作为密钥KA1和KA2并存放于数据库用户登录信息表中。
(3)网站根据该用户ID(用户注册时产生)和其相应的密钥KA1和KA2生成一个可执行文件(EXE文件),并发放给该用户。当用户登录网站时,首先输入用户ID和静态密码,如静态密码错误,则提示重新输入或拒绝提供服务。若正确则网站页面显示6位挑战码,用户运行客户端文件并输入挑战码,得到相应的8位动态口令。
(4)用户在网页上输入动态口令,如果正确即可登陆成功。系统运行效果如下图:
动态口令系统运行模拟效果图
2.由于电子商务参与者和发布网站的成本承受能力不同,客户端文件的发布方式也可有如下多种形式:
(1)如对于一般小型或非盈利性电子商务网站,我们可以把身份认证软件做成网页浏览器的插件形式,用户在第一次使用时安装该插件后即可反复使用。此种方式使用软件来生成动态口令,不需额外购置硬件,其成本是很低的。但由于插件文件中包含了生成动态口令的算法,因此其口令生成机制容易被攻击者通过软件跟踪或其他方式予以破译,故安全性比其他方式相对较低。
(2)对于大中型电子商务网站,我们可以采用基于手机的动态口令牌或者口令卡等来实现身份认证。由于手机使用的普及和手机性能的提高,使得在手机上运行令牌软件成为可能。手机用户只需注册一个账号并下载软件到手机上即可。由于只是使用了手机这个载体,故此方案的实现成本也是很低廉的。
(3)对于类似于银行等高安全性和高成本承受能力的企业,我们可以采用安全性和成本都比较高的电子令牌等来实现身份认证。一个常用的令牌(Token)需要解决:输入设备、输出设备、CPU、存储设备、电源、通信端口、晶振以及二进制和十进制的互相转换等问题,故成本较高,但由于设备的唯一性,其安全性非常高。
四、结束语
作为一种商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视。动态口令又称一次性密码,其产生可以根据用户的安全级别和实用性要求,分别用软件,手机或者电子令牌产生。该技术可以方便的融合进现存的各种电子商务身份认证系统,并可有效的解决静态密码易泄露和易被攻破的问题,从而提高了电子商务活动的安全性。
参考文献:
[1]李传目.一次性口令技术的研究[J].集美大学学报(自然科学版),2003,8(2):160-163
[2]曾伟国,胡汉平,王祖喜,孔涛.基于手机令牌方式的动态身份认证系统[J].计算机与数字工程,2005,9:21-24
[3]吴佩萱.基于时间同步机制的动态密码认证系统[J].长江大学学报(自然版),2005,2(7):256-257
[4]胡天麟,刘嘉勇,陈芳,隋�.基于MD5的OTP认证系统的原理及实现[J].信息技术,2005,9:140-142
栏目最新:
- 心情二则2023-07-07
- 心情好坏心脏知2023-03-26
- 花的日记2023-03-26
- 马春晖老师辅导的日记画2023-03-24
- 西南联大师生的文学生活——以西南联大...2023-03-23
- 2022年实习日记100篇汇总通用版实习日记...2022-10-01
- 笑猫日记转动时光伞读后感2022-09-19
- 陶奇暑期日记读后感(精选文档)2022-09-19
- 2022小屁孩日记读后感集合2022-09-19
- 2022年度小屁孩日记读后感(全文)2022-09-19
相关文章:
- 【人教版小学二年级下册数学第六单元有余数的除法练习题课件】二年级有余数的除法练习题
- 六年级下册语文《明天,我们毕业》说课稿 人教版语文六年级下册优秀说课稿
- [京翰,重庆北部新区校区(龙湖)小学三年级语文一对一补习贵吗,暑期补习班|,小学家教辅导机构电话]京翰教育(龙湖校区)怎么样
- [2018年6月广东高中会考成绩查询时间及入口汇总]2018山东高中会考成绩查询时间
- 【2018江苏无锡中考录取分数线(天一中学)】 无锡天一中学2018高考
- 会计个人小结范文 [学校会计工作个人小结范文]
- 冬瓜鲜荷叶煲鸭【小暑养生:老冬瓜鲜荷叶煲老鸭】
- [临盆待产:产前如何预防“早破水”?]妻子三胎待产将临盆
- [2018年兵团注册测绘师考试缴费时间:7月4日-7月26日]2017注册测绘师通过率
- 四年级作文400字:日出|日出景象作文100字四年级
- 杨浦区政通路初一数学暑假培训班怎么收费/课外辅导机构推荐哪家好_杨浦区政通路邮编