网站原创[摘 要] 身份认证是属于信息安全怎么写作中的识别与鉴别怎么写作范畴,它主要由加密、口令、身份识别与鉴别、数字证书和数字签名等安全机制所组成.身份认证在信息安全中极为重要,它是保护一个信息系统的安全大门是把好信息系统安全的第一道关.所以,很多系统特别是军事、金融、保险、电子商务、电子交易支付和电子政务系统中已广泛应用身份认证机制.本文通过分析当前几种支付认证技术的特点和原理,对其优劣进行了比较.
[关 键 词 ] 电子支付;身份识别;识别与鉴别;数字证书;数字签名;USBKey
【中图分类号】 TP393 【文献标识码】 A 【文章编号】 1007-4244(2013)12-324-2
一、前言
随着社会进步,电子商务作为全球商务发展的趋势,将给全球的经济带来深刻的影响,所以研究电子商务的安全问题显得尤为重要,电子支付认证技术是电子商务系统的重要组成部分.
身份认证作为网络安全的第一道防线,是安全的网络系统门户.它通常采用各种先进技术,对网络事务中所涉及到的各方进行身份鉴别,防止身份欺诈,保证事务参与各方身份的真实性,从而保证系统和数据的安全以及授权访问者的合法权益.随着网络应用的深入化和网络攻击手段的多样化,口令认证技术不断发生变化,产生了各种各样的新技术.近些年来,我国的电子政务、电子商务以及重点行业的信息系统广泛采用了身份认证技术,在保障信息系统的安全方面发挥了十分重要的作用.电子商务活动场所是虚拟空间,没有面对面地交换、确认场景,如何安全可靠地解决支付问题就显的尤为重要.
二、 几种电子支付认证方式的分析
(一)口令加ID.口令(Password)是最简单、最方便的身份认证机制.但是,它却是保密强度最弱,容易被攻破.这种认证方式没有数字签名的功能.所以不适应于大额交易,也不具备法律仲裁的功能.因此,这种身份认证方式,目前在金融界已逐渐被淘汰.
(二)动态一次性口令.动态一次性口令分两种方式,一是采用动态一次性口令“刮刮卡”;二是 OTP 动态令牌(Token)口令.
1.一次性动态口令“刮刮卡”.一次性口令“刮刮卡”(俗称“”),它是一次一密.这种认证方式有两个弊端,一是作为经常在网上交易的人来说,几天就要去柜台领取一个卡片,因为它只有40 个随机,有的网上交易频繁的客户可能不到一个月就得去银行再,对客户极为不便.二是该口令不具备数字签名的功能,交易额受限,按人民银行《电子支付指引(一)》要求这种不使用数字签名的网上交易最多一笔只能交易一千元,所以它是受到电子签名法的限制的.
2. OTP动态令牌(Token).这种 OTP 动态令牌(Token)卡原理有三种:一是基于时间的;二是基于事件的;三是基于挑战/应答的.每次用户使用OTP 登录系统,口令是静态的,是变化的随机数,它来源于产生的运算因子.
(1) 基于时间同步(Time Synchronous)OTP认证技术
(2) 基于事件同步(Even Synchronous)认证技术
(3) 挑战/应答异步认证技术
但OTP 令牌不具备电子数字签名的机制.
(三)数字证书认证方法.电子数字证书是 PKI 中核心组成部分 CA 所颁发,CA 是互联网上的“局”或“派出所”,他向具有一定信用资格的网民颁发网上书,用以证明其网上的真实身份,即平常人们简称的数字证书.数字证书是符合 X.509 标准的.其结构主要有序列号、ID、姓名、有效期和该证书的公钥标识.所以,有时人们将其称为公钥的载体或公钥证书.数字证书是公钥的载体,它对应着一个私钥,公钥私钥成对存在,通信时用公钥加密,用私钥解密;签名时用私钥加密用公钥解密.当然不能用公钥加密又用公钥解密,反之亦然.数字证书按其存放的介质,可分为文件证书、USBKey 证书、指纹证书和高端数字证书.
1.文件证书.所谓文件证书,即将证书存放在浏览器的硬盘中,以一个文件形式存在,这样用户操作简单.但是,有时这种存放是致命的.因为通过各种方式将木马程序植入你的浏览器就可以把你的证书文件全部窃取,其中包括口令、公钥和私钥.这样就等于让去操作你的,窃取你的资金.
2.USBKey证书.USBKey 的产生是对 PKI 的发展,它大大地简化了数字证书的产生和应用.USBKey 是由一种 IC 智能芯片所制成,内置操作系统 COS 和各种算法,如:非对称算法 RSA、对称算法 DES、杂凑函数 MD5及 SHA-1等等.因此,公私密钥对可在卡中产生,私钥不出卡,也不可以拷贝;公钥通过安全协议进行 CA 申请产生证书,然后又通过安全协议下载到 USBKey 中,公私钥对不能裸跑,要在带内循环.所以,存放在 USBKey 中的证书是安全的.
| 有关论文范文主题研究: | 关于电子商务的论文范文集 | 大学生适用: | 在职研究生论文、电大论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 73 | 写作解决问题: | 怎么写 |
| 毕业论文开题报告: | 论文提纲、论文前言 | 职称论文适用: | 论文发表、职称评副高 |
| 所属大学生专业类别: | 怎么写 | 论文题目推荐度: | 优秀选题 |
3.身份认证.证书在使用时是借助于 SSL 协议传递的,并采用证书控件将其与应用连接起来.怎么写作器端认证客户端的身份真伪时,通过 SSL 协议交换证书,怎么写作器用客户的公钥解开证书并在 LDAP上查找比对是否在有效期内或是否进入“黑名单”(CRL).验证通过,即识别了客户是真实身份,如图1 所示.在实际应用中,客户端也有要求认证怎么写作器的需求,如网上银行的 B2B 企业商户也要认证你是否是我的真正开户行.此时,商户(客户端)要索取银行(怎么写作器端)证书,并用银行的公钥证书验证该证书的真伪,如上述过程相同,此为双向验证.以上双方身份验证过程,客户端必须是使用USBKey 证书证书是以USBKey 作为介质存放,以防止客户的窃取拷贝.除网上银行之外还有电子支付平台、电子商务或电子政务系统中也广泛地使用了这种技术.
USBKey 数字证书,除上述身份认证之外,它还可以做到交易中的数据完整性和交易的不可抵赖性,即数字签名技术.值得一提的是,USBKey 数字证书认证技术,也存在一定的问题.这就是,当你的浏览器被攻击程序变成“僵尸”(或称“肉鸡”)时,会利用你的证书,抢先签名,即会改变你的转出或转出的金额,并将转出的钱划到的,这种案件虽然不多,但已有发生. (四)电子认证技术的发展
由于上述原因,USBKey 数字证书存放的介质在不断地发展.即发展了双强因子的 USBKey,如指纹交易表单、高端Key―“所见即所签”USBKey.
(五)其他身份识别的方法
其他身份识别的方法还有许多,如:眼球网膜识别,声音识别,面目识别.
三、 几种电子支付认证方式的比较
(一)口令加ID
口令加ID具有实现简单的优点,但存在以下安全缺点: 网络窃听、截取/重放、字典攻击、穷举攻击、伪造怎么写作器攻击、口令泄露.
(二)一次性动态口令
1. 一次性动态口令“刮刮卡”
优点:采用一次一密的方法,不能由产生的内容去预测出下一次的内容.而且输入方法普遍(一般计算机键盘即可),能符合网络行为双方的需要.
缺点:如果客户端硬件与怎么写作器端程序的时间或次数不能保持良好的同步,就可能发生合法用户无法登录的问题,这使得用户的使用非常不方便.
2.OTP动态令牌(Token)
(1) 基于时间同步(Time Synchronous)OTP认证技术
优点:易于使用.
缺点:时间同步困难,可能造成必须重新输入新.软体认证卡采用PC的时刻,很可能随时被修改.常常需要与怎么写作器重新对时.
(2)基于事件同步(Even Synchronous)认证技术
优点:1.容易使用.2.由于使用者无法知道序列数字,所以安全性高,序列绝不会显示出来.
缺点:如果没有PIN的保护及认证卡借给别人使用时,会有安全的疑虑.
(3)挑战/应答异步认证技术
优点:询问/应答身份认证的优点:1.没有同步的问题.2.一片认证卡可以用来存取被不同认证怎么写作器所保护的系统.3.最安全的认证方式.
缺点:1.使用者必须按较多的按钮,操作较繁复.2.容易产生比较多的输入失误.
(4)短信
优点:安全性、普及性、易收费、易维护
(三)数字证书认证方法
采用软硬件相结合、一次一密的强双因子认证模式.USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USB Key内置的学算法实现对用户身份的认证.
优点:便于携带、使用方便、成本低廉、安全可靠性很高,被认为将会成为身份认证的主要发展方向.
缺点:依赖于MD4/MD5的不可逆性;会话内容没有保密;重复使用以前的密钥,给入侵者提供机会;维护一个很大的一次性密钥列表也很麻烦.系统不使用任何形式的会话加密,因此没有保密性.安全性不如生物特征认证.
(四)生物特征认证方式
以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别.声波纹识别也是商业系统采用的一种识别方式.
优点:绝对无法仿冒的使用者认证技术.
缺点:1.比较昂贵.2.不够稳定(辩识失败率高)
总之,在商务活动过程中身份认证在电子支付中的应用是及其重要的,已从最初的逻辑认证发展到物理认证最终将达到生物认证,希望在不久的将来安全可靠的电子商务会将人类真正带入信息社会.