基于手机令牌的身份认证技术在电子商务活动中的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇基于手机令牌的身份认证技术在电子商务活动中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
[摘要]本文分析了当前电子商务活动存在的安全隐患,简单说明了动态口令技术的原理,并阐述了基于手机令牌技术的电子商务身份认证系统的设计方案。该身份认证方案的应用可有效的解决静态密码易泄露和易被攻破的问题,从而提高了电子商务活动的安全性。
[关键词]电子商务 手机令牌 身份认证 网络安全 动态口令
随着电子商务迅速的发展,网上交易成为一个新兴的购物方式,使得传统的商店与行销环境受到冲击。网上交易有着快捷,方便和足不出户等优点,但即使在网络技术日新月异和飞速发展的今天,网络安全仍然是制约电子商务发展的一个主要瓶颈。
一、电子商务的安全隐患
由于电子商务活动的买卖双方大都不谋面地进行各种商贸活动,因此电子商务特别是其网上支付领域有着各种各样的交易风险。由于所有的个人和交易信息进行传输和交换的载体是一个开放的网络(如Internet),故在交易之前我们必须验证交易双方的真实身份。目前大部分网站使用的是基于静态密码的身份验证技术,由于大多数用户没有定期改变静态密码的习惯,而且往往采用一些常用词组或者生日等简单数字作为静态密码,故静态密码方案不能抵御字典攻击和重放攻击,且密码容易忘记,所以其安全性是很低的,不能很好满足当前电子商务中身份验证的需求。
二、各种身份认证技术的对比
身份认证的原理是验证用户拥有什么(如U盾和口令牌等),用户知道什么(如用户名和静态密码),用户具有什么特征(如脑电波,虹膜和指纹等)。国内外常见身份验证技术包括:传统的用户名/静态密码方式 、USB Key认证、生物特征认证和IC卡认证等。大量的研究表明,用户名/静态密码方式认证是不安全的。目前国内外的一些较成熟的身份验证技术,大多是用硬件来实现的(如U盾技术和IC卡认证技术等)。动态口令又称为一次性口令,其特点是每个登录口令只使用一次,窃听者即使窃听成功,但也无法用窃听到的口令来做下一次登录。
三、基于手机令牌的动态口令身份认证技术
与动态口令技术比较相似的是短信密码技术。所谓的短信密码是将随机生成一次性密码发送到手机,每次产生的密码均不相同,无需携带额外设备,由于密码是一次性使用的,他人即使盗用了密码,也无法再次使用,从而能保证帐户和信息的安全。但是基于短信密码的动态身份认证的系统的实时性和稳定性很大程度上依赖于通信网络的状态。当网络出现拥塞时将导致短信的接收有较大的时延,而且对于中小型电子商务网站来说,发送短信产生的短信费用仍然是一笔不小的开销。据统计在2012年中国手机用户数量已突破10亿大关,而手机口令牌直接运行在用户手机上,无需额外购买其他硬件,且用户使用时无需连接GPRS网,这也保证了广大未开通手机上网功能的用户也能运行手机口令牌。此外相比大部分手机软件而言,手机口令牌程序的计算复杂度相对较低,故大部分中低配置的智能机也能流畅的运行手机令牌软件。
目前手机程序运行的几种主流平台包括:
Symbian
Windows Mobile Smart phone
Apple IOS
Google Android
由于Android(即安卓)手机操作系统是目前最主流的手机操作系统(2012年11月数据显示,Android占据全球智能手机操作系统市场76%的份额,中国市场占有率为90%),故我们选择了在Android手机操作系统平台下进行手机口令牌的开发。同时我们使用了Java语言作为开发语言,Java 语言具有平台无关性特点并得到广泛的网络支持,大多数的手机操作系统(如Android、Symbian和Windows MP)都支持Java程序, 故Java语言真正实现了“一次编程,到处运行”的理念。
手机口令牌采用的是基于时间同步的方式产生动态口令,其主界面如图所示。基于时间同步机制的动态口令一般每60秒产生一个新口令。当用户登录网站时,先输入用户名和静态密码,如果正确则网站提示继续输入当时刻的动态口令。用户输入动态口令后,网站服务器端也按同样的算法计算出当时刻的动态口令,如果两者一致,则校验通过。 由于服务器和用户端同步的基础是国际标准时间,故对令牌的晶振频率有严格的要求,以降低系统失去同步的几率。
随着时间的流逝,误差总是会出现的,为了解决时间同步问题,我们特地为手机令牌软件添加了时间校准功能,只要按一下“MENU”按钮,然后再选择“校准时间”功能就会显示出当前标准北京时间(通过与校时网站等通信得到标准时间,故使用该功能时需要短暂网络连接),用户手工校准一下手机的系统时间即可解决同步的问题。最终我们把该手机口令牌软件安装在三星I9300 GALAXY SIII 手机上并调试通过。
四、结束语
作为一种全新的商务活动,电子商务很大程度上改变了人们的生活方式,然而电子商务的安全性问题却始终是信息技术工作者挥之不去的梦魇。本文简单阐述了基于手机令牌的动态口令技术的实现方案,该技术可以与目前流行的各种电子商务系统无缝融合,并可有效的解决静态密码易被攻破和易泄露问题,从而提高了电子商务活动的安全性。
参考文献:
[1]曾伟国,胡汉平,王祖喜,孔涛.基于手机令牌方式的动态身份认证系统[J].计算机与数字工程,2005,9
[2]吴佩萱.基于时间同步机制的动态密码认证系统[J].长江大学学报(自然版),2005,2(7)