网站原创[摘 要]本文分析了当前电子商务活动存在的安全隐患,简单说明了动态口令技术的原理,并阐述了基于手机令术的电子商务身份认证系统的设计方案.该身份认证方案的应用可有效的解决静态易泄露和易被攻破的问题,从而提高了电子商务活动的安全性.
[关 键 词]电子商务手机令牌身份认证网络安全动态口令
随着电子商务迅速的发展,网上交易成为一个新兴的购物方式,使得传统的商店与行销环境受到冲击.网上交易有着快捷,方便和足不出户等优点,但即使在网络技术日新月异和飞速发展的今天,网络安全仍然是制约电子商务发展的一个主要瓶颈.
一、电子商务的安全隐患
由于电子商务活动的写卖双方大都不谋面地进行各种商贸活动,因此电子商务特别是其网上支付领域有着各种各样的交易风险.由于所有的个人和交易信息进行传输和交换的载体是一个开放的网络(如Inter),故在交易之前我们必须验证交易双方的真实身份.目前大部分网站使用的是基于静态的身份验证技术,由于大多数用户没有定期改变静态的习惯,而且往往采用一些常用词组或者生日等简单数字作为静态,故静态方案不能抵御字典攻击和重放攻击,且容易忘记,所以其安全性是很低的,不能很好满足当前电子商务中身份验证的需求.
二、各种身份认证技术的对比
身份认证的原理是验证用户拥有什么(如U盾和口令牌等),用户知道什么(如用户名和静态),用户具有什么特征(如脑电波,虹膜和指纹等).国内外常见身份验证技术包括:传统的用户名/静态方式 、USB Key认证、生物特征认证和IC卡认证等.大量的研究表明,用户名/静态方式认证是不安全的.目前国内外的一些较成熟的身份验证技术,大多是用硬件来实现的(如U盾技术和IC卡认证技术等).动态口令又称为一次性口令,其特点是每个登录口令只使用一次,窃听者即使窃听成功,但也无法用窃听到的口令来做下一次登录.
三、基于手机令牌的动态口令身份认证技术
与动态口令技术比较相似的是短信技术.所谓的短信是将随机生成一次性发送到手机,每次产生的均不相同,无需携带额外设备,由于是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证帐户和信息的安全.但是基于短信的动态身份认证的系统的实时性和稳定性很大程度上依赖于通信网络的状态.当网络出现拥塞时将导致短信的接收有较大的时延,而且对于中小型电子商务网站来说,发送短信产生的短信费用仍然是一笔不小的开销.据统计在2012年中国手机用户数量已突破10亿大关,而手机口令牌直接运行在用户手机上,无需额外购写其他硬件,且用户使用时无需连接GPRS网,这也保证了广大未开通手机上网功能的用户也能运行手机口令牌.此外相比大部分手机软件而言,手机口令牌程序的计算复杂度相对较低,故大部分中低配置的智能机也能流畅的运行手机令牌软件.
目前手机程序运行的几种主流平台包括:
Symbian
Windows Mobile Smart phone
Apple IOS
GoogleAndroid
由于Android(即安卓)手机操作系统是目前最主流的手机操作系统(2012年11月数据显示,Android占据全球智能手机操作系统市场76%的份额,中国市场占有率为90%),故我们选择了在Android手机操作系统平台下进行手机口令牌的开发.同时我们使用了Ja语言作为开发语言,Ja 语言具有平台无关性特点并得到广泛的网络支持,大多数的手机操作系统(如Android、Symbian和Windows MP)都支持Ja程序, 故Ja语言真正实现了“一次编程,到处运行”的理念.
| 有关论文范文主题研究: | 关于电子商务的论文例文 | 大学生适用: | 高校大学论文、电大论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 51 | 写作解决问题: | 如何怎么撰写 |
| 毕业论文开题报告: | 文献综述、论文摘要 | 职称论文适用: | 期刊发表、初级职称 |
| 所属大学生专业类别: | 如何怎么撰写 | 论文题目推荐度: | 免费选题 |
手机口令牌采用的是基于时间同步的方式产生动态口令,其主界面如图所示.基于时间同步机制的动态口令一般每60秒产生一个新口令.当用户登录网站时,先输入用户名和静态,如果正确则网站提示继续输入当时刻的动态口令.用户输入动态口令后,网站怎么写作器端也按同样的算法计算出当时刻的动态口令,如果两者一致,则校验通过. 由于怎么写作器和用户端同步的基础是国际标准时间,故对令牌的晶振频率有严格的要求,以降低系统失去同步的几率.
随着时间的流逝,误差总是会出现的,为了解决时间同步问题,我们特地为手机令牌软件添加了时间校准功能,只要按一下“MENU”按钮,然后再选择“校准时间”功能就会显示出当前标准北京时间(通过与校时网站time.windows.等通信得到标准时间,故使用该功能时需要短暂网络连接),用户手工校准一下手机的系统时间即可解决同步的问题.最终我们把该手机口令牌软件安装在三星I9300 GALAXY SIII 手机上并调试通过.
四、结束语
作为一种全新的商务活动,电子商务很大程度上改变了人们的生活方式,然而电子商务的安全性问题却始终是信息技术工作者挥之不去的梦魇.本文简单阐述了基于手机令牌的动态口令技术的实现方案,该技术可以与目前流行的各种电子商务系统无缝融合,并可有效的解决静态易被攻破和易泄露问题,从而提高了电子商务活动的安全性.