基于手機令牌的身份認證技術在電子商務活動中的應用

[摘要]本文分析了當前電子商務活動存在的安全隱患，簡單說明了動態(tài)口令技術的原理，并闡述了基于手機令牌技術的電子商務身份認證系統(tǒng)的設計方案。該身份認證方案的應用可有效的解決靜態(tài)密碼易泄露和易被攻破的問題，從而提高了電子商務活動的安全性。

[關鍵詞]電子商務 手機令牌 身份認證 網絡安全 動態(tài)口令

隨著電子商務迅速的發(fā)展，網上交易成為一個新興的購物方式，使得傳統(tǒng)的商店與行銷環(huán)境受到沖擊。網上交易有著快捷，方便和足不出戶等優(yōu)點，但即使在網絡技術日新月異和飛速發(fā)展的今天，網絡安全仍然是制約電子商務發(fā)展的一個主要瓶頸。

一、電子商務的安全隱患

由于電子商務活動的買賣雙方大都不謀面地進行各種商貿活動，因此電子商務特別是其網上支付領域有著各種各樣的交易風險。由于所有的個人和交易信息進行傳輸和交換的載體是一個開放的網絡（如Internet），故在交易之前我們必須驗證交易雙方的真實身份。目前大部分網站使用的是基于靜態(tài)密碼的身份驗證技術，由于大多數(shù)用戶沒有定期改變靜態(tài)密碼的習慣，而且往往采用一些常用詞組或者生日等簡單數(shù)字作為靜態(tài)密碼，故靜態(tài)密碼方案不能抵御字典攻擊和重放攻擊，且密碼容易忘記，所以其安全性是很低的，不能很好滿足當前電子商務中身份驗證的需求。

二、各種身份認證技術的對比

身份認證的原理是驗證用戶擁有什么（如U盾和口令牌等），用戶知道什么（如用戶名和靜態(tài)密碼），用戶具有什么特征（如腦電波，虹膜和指紋等）。國內外常見身份驗證技術包括：傳統(tǒng)的用戶名/靜態(tài)密碼方式 、USB Key認證、生物特征認證和IC卡認證等。大量的研究表明，用戶名/靜態(tài)密碼方式認證是不安全的。目前國內外的一些較成熟的身份驗證技術，大多是用硬件來實現(xiàn)的（如U盾技術和IC卡認證技術等）。動態(tài)口令又稱為一次性口令，其特點是每個登錄口令只使用一次，竊聽者即使竊聽成功，但也無法用竊聽到的口令來做下一次登錄。

三、基于手機令牌的動態(tài)口令身份認證技術

與動態(tài)口令技術比較相似的是短信密碼技術。所謂的短信密碼是將隨機生成一次性密碼發(fā)送到手機，每次產生的密碼均不相同，無需攜帶額外設備，由于密碼是一次性使用的，他人即使盜用了密碼，也無法再次使用，從而能保證帳戶和信息的安全。但是基于短信密碼的動態(tài)身份認證的系統(tǒng)的實時性和穩(wěn)定性很大程度上依賴于通信網絡的狀態(tài)。當網絡出現(xiàn)擁塞時將導致短信的接收有較大的時延，而且對于中小型電子商務網站來說，發(fā)送短信產生的短信費用仍然是一筆不小的開銷。據(jù)統(tǒng)計在2012年中國手機用戶數(shù)量已突破10億大關，而手機口令牌直接運行在用戶手機上，無需額外購買其他硬件，且用戶使用時無需連接GPRS網，這也保證了廣大未開通手機上網功能的用戶也能運行手機口令牌。此外相比大部分手機軟件而言，手機口令牌程序的計算復雜度相對較低，故大部分中低配置的智能機也能流暢的運行手機令牌軟件。

目前手機程序運行的幾種主流平臺包括：

Symbian

Windows Mobile Smart phone

Apple IOS

Google Android

由于Android（即安卓）手機操作系統(tǒng)是目前最主流的手機操作系統(tǒng)（2012年11月數(shù)據(jù)顯示，Android占據(jù)全球智能手機操作系統(tǒng)市場76%的份額，中國市場占有率為90%），故我們選擇了在Android手機操作系統(tǒng)平臺下進行手機口令牌的開發(fā)。同時我們使用了Java語言作為開發(fā)語言，Java 語言具有平臺無關性特點并得到廣泛的網絡支持，大多數(shù)的手機操作系統(tǒng)（如Android、Symbian和Windows MP）都支持Java程序， 故Java語言真正實現(xiàn)了“一次編程，到處運行”的理念。

手機口令牌采用的是基于時間同步的方式產生動態(tài)口令，其主界面如圖所示?；跁r間同步機制的動態(tài)口令一般每60秒產生一個新口令。當用戶登錄網站時，先輸入用戶名和靜態(tài)密碼，如果正確則網站提示繼續(xù)輸入當時刻的動態(tài)口令。用戶輸入動態(tài)口令后，網站服務器端也按同樣的算法計算出當時刻的動態(tài)口令，如果兩者一致，則校驗通過。 由于服務器和用戶端同步的基礎是國際標準時間，故對令牌的晶振頻率有嚴格的要求，以降低系統(tǒng)失去同步的幾率。

隨著時間的流逝，誤差總是會出現(xiàn)的，為了解決時間同步問題，我們特地為手機令牌軟件添加了時間校準功能，只要按一下“MENU”按鈕，然后再選擇“校準時間”功能就會顯示出當前標準北京時間（通過與校時網站time.windows.com等通信得到標準時間，故使用該功能時需要短暫網絡連接），用戶手工校準一下手機的系統(tǒng)時間即可解決同步的問題。最終我們把該手機口令牌軟件安裝在三星I9300 GALAXY SIII 手機上并調試通過。

四、結束語

作為一種全新的商務活動，電子商務很大程度上改變了人們的生活方式，然而電子商務的安全性問題卻始終是信息技術工作者揮之不去的夢魘。本文簡單闡述了基于手機令牌的動態(tài)口令技術的實現(xiàn)方案，該技術可以與目前流行的各種電子商務系統(tǒng)無縫融合，并可有效的解決靜態(tài)密碼易被攻破和易泄露問題，從而提高了電子商務活動的安全性。

參考文獻：

[1]曾偉國，胡漢平，王祖喜，孔濤.基于手機令牌方式的動態(tài)身份認證系統(tǒng)[J].計算機與數(shù)字工程，2005，9

[2]吳佩萱.基于時間同步機制的動態(tài)密碼認證系統(tǒng)[J].長江大學學報（自然版），2005，2（7）