网站原创[摘 要]本文着重介绍当前电子商务活动存在的安全隐患,分析并说明了动态口令技术的原理和实现方式,并阐述了基于动态口令技术的电子商务身份认证系统的设计方案和实施步骤.该方案可以方便地融合进现存的各种电子商务系统,并可有效地解决静态易泄露和易被攻破的问题,从而提高了电子商务活动的安全性.
[关 键 词]电子商务身份认证网络安全动态口令
电子商务源于英文ELECTRONICCOMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,写卖双方不谋面地进行各种商贸活动.当前电子商务主要是以EDI(电子数据交换)和INTERNET来完成的.电子商务应用中的另一个领域是允许使用者直接访问金融机构,许多人已开始通过电子方式来购写车票、支付账单和管理银行的账户.
一、电子商务的安全隐患
由于电子商务活动的写卖双方大都不谋面地进行各种商贸活动,因此电子商务特别是其网上支付领域有着各种各样的交易风险.但无论是何种风险,其根本原因都是由于登录或支付泄露造成的.而大部分公司和个人受到网络攻击的主要原因是政策管理不善.大多数用户使用的静态都是字典中可查到的普通单词、姓名或者其他简单的.有86%的用户在所有网站上使用的都是同一个或者有限的几个.最典型的例子是2011年12月,CSDN的安全系统遭到攻击,600万用户的登录名、及遭到泄漏.在获取了CSDN的用户登录名和后,再用这个尝试登录注册,如果成功则利用很多网站常用的取回功能得到了该用户的其他关联网站的和.故随着CSDN"外泄门"持续发酵,天涯、网易、新浪和飞信等多家大型网站也相继被曝用户数据遭泄密.解决静态安全性不足问题的根本性方法之一就是使用动态技术.动态的一次一密的特点决定了即使捕获了当前也无法下次使用,从而有效防止了的泄露问题.
二、动态口令技术的基本原理
动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据怎么写作商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录怎么写作器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令.选取动态口令认证这种方案的商用系统采用的是静态与令牌相结合的双因素身份认证.这种方式在检查用户静态(知道什么)的同时,验证用户是否持有正确的令牌(拥有什么).现行动态口令根据其产生方式一般分为三种:事件同步,时间同步和挑战应答模式.
三、基于动态口令技术的电子商务身份认证系统的实现
1.我们这里以挑战应答模式的动态口令系统为例,讲述一下系统实施步骤:
(1)新用户在网站上先注册会员,并要求提供动态口令怎么写作.
(2)新用户被审核通过后,网站产生两个随机整数(如12,25)作为密钥KA1和KA2并存放于数据库用户登录信息表中.
(3)网站根据该用户ID(用户注册时产生)和其相应的密钥KA1和KA2生成一个可执行文件(EXE文件),并发放给该用户.当用户登录网站时,首先输入用户ID和静态,如静态错误,则提示重新输入或拒绝提供怎么写作.若正确则网站页面显示6位挑战码,用户运行客户端文件并输入挑战码,得到相应的8位动态口令.
(4)用户在网页上输入动态口令,如果正确即可登陆成功.系统运行效果如下图:
动态口令系统运行模拟效果图
2.由于电子商务参与者和发布网站的成本承受能力不同,客户端文件的发布方式也可有如下多种形式:
(1)如对于一般小型或非盈利性电子商务网站,我们可以把身份认证软件做成网页浏览器的插件形式,用户在第一次使用时安装该插件后即可反复使用.此种方式使用软件来生成动态口令,不需额外购置硬件,其成本是很低的.但由于插件文件中包含了生成动态口令的算法,因此其口令生成机制容易被攻击者通过软件跟踪或其他方式予以破译,故安全性比其他方式相对较低.
(2)对于大中型电子商务网站,我们可以采用基于手机的动态口令牌或者口令卡等来实现身份认证.由于手机使用的普及和手机性能的提高,使得在手机上运行令牌软件成为可能.手机用户只需注册一个并下载软件到手机上即可.由于只是使用了手机这个载体,故此方案的实现成本也是很低廉的.
(3)对于类似于银行等高安全性和高成本承受能力的企业,我们可以采用安全性和成本都比较高的电子令牌等来实现身份认证.一个常用的令牌(Token)需要解决:输入设备、输出设备、CPU、存储设备、电源、通信端口、晶振以及二进制和十进制的互相转换等问题,故成本较高,但由于设备的唯一性,其安全性非常高.
四、结束语
作为一种商务活动过程,电子商务将带来一场史无前例的革命,而电子商务的安全性问题也越来越受到人们的重视.动态口令又称一次性,其产生可以根据用户的安全级别和实用性要求,分别用软件,手机或者电子令牌产生.该技术可以方便的融合进现存的各种电子商务身份认证系统,并可有效的解决静态易泄露和易被攻破的问题,从而提高了电子商务活动的安全性.