軟件口令牌技術在電子商務活動中的應用

2013-07-17 01:25:24溫州醫學院信息與工程學院

商場現代化 2013年1期

關鍵詞：用戶

■高敏葉晰溫州醫學院信息與工程學院

隨著電子商務迅速的發展，網上交易成為一個新興的購物方式，使得傳統的商店與行銷環境受到沖擊。網上交易有著快捷，方便和足不出戶等優點，但即使在網絡技術日新月異和飛速發展的今天，網絡安全仍然是制約電子商務發展的一個主要瓶頸。目前部分大型電子商務網站和中國銀行采用了的動態電子口令牌來驗證用戶的身份。但對于大部分中小型電子商務網站來講，使用電子口令牌的成本太高，推廣起來有一定的難度。而軟件口令牌的實現無需購買任何硬件，故基于軟件口令牌的動態口令認證技術方案能解決的當前中小型電子商務網站身份認證的燃眉之急。

一、傳統的靜態口令身份認證方案的安全隱患

由于電子商務活動買賣雙方的個人信息和交易信息進行傳輸和交換的載體是一個開放的網絡（如Internet），故在交易之前我們必須確認交易雙方的真實身份。目前大部分網站使用的是基于靜態密碼的身份驗證技術，但大多數用戶沒有定期變換靜態密碼的習慣，而且往往采用一些常用詞組或者生日等簡單數字作為靜態密碼，故靜態密碼方案已經不能很好的抵御字典攻擊和重放攻擊，所以其安全性比較低，不能很好滿足當前電子商務中身份驗證的需求。

二、客戶證書U盾（USB Key）方案

目前國內幾大商業銀行，如交通銀行、農業銀行和工商銀行等都采用了U盾方案。使用該方案時，黑客如果竊取了用戶的密碼，則黑客可登錄進用戶銀行帳號并瀏覽各種賬戶信息，但如要進行一些轉賬，外匯買賣等敏感操作時，則必須插入U盾進行身份的再驗證。U盾方案的優點是安全性很強，但U盾使用前需要安裝驅動（或下載一些插件），由于計算機操作系統眾多（如目前流行的Windows XP、Windows 7、Windows 8以及各種Linux版本操作系統），故客戶在安裝時常常會因為一些兼容性問題而安裝失敗，這大大降低了客戶使用滿意度。此外U盾的發布涉及到了硬件實體，故其實施成本較高，某些商業銀行會因此向客戶收取一定的費用，這也進一步限制了U盾方案的推廣。

三、動態口令認證方案

動態口令又稱為一次性口令，其特點是每個登錄口令只使用一次，竊聽者即使竊聽成功，但也無法用竊聽到的口令來做下一次登錄。基于軟件口令牌的動態口令認證方案的實施步驟如下：

1.首先用戶在注冊時要選擇自己的動態口令生成類型為軟件口令牌用戶，并輸入需要輸入運行該軟件口令牌的計算機的網卡MAC地址，由于每張網卡的MAC地址是全球唯一的，這也體現了用戶信息的唯一性。系統服務器把用戶的MAC地址信息存放在用戶信息數據庫中，并按照一定的算法生成軟件口令牌并發放給用戶（可通過網頁直接下載或電子郵件附件形式發放）。由于軟件口令牌運行時會直接讀取本地網卡MAC地址信息并作為被加密因子之一，而網卡MAC地址是全球唯一的，故即使黑客竊取了該軟件口令牌也無法在非注冊機器上得到正確的動態口令。

2.用戶收到系統發來的軟件口令牌后，直接點擊運行就可以得到當時（精確到分鐘）的動態口令。當然如果用戶需要，也可為該軟件設置啟動密碼，這樣可防止同機操作的其他人員使用該軟件。

動態口令的安全性主要由單向散列函數在計算上的不可逆性來保證。常用的單向散列函數包括：MD4，MD5，SHA-1，SHA-256 和SHA-512等。由于MD4和MD5的安全性已經受到人們的質疑，而SHA-256和SHA-512的計算量偏大，故最終本項目選擇了SHA-1作為產生動態口令的單向散列函數。此外根據不確定因素的選擇方式，動態口令可以分為：時間同步機制、事件同步機制和挑戰/應答機制。這幾種實現動態口令的技術各有優缺點，最終我們選取了國際上較通用且實現相對簡單的基于時間同步的機制來產生動態口令。圖為軟件口令牌運行的效果圖。

軟件口令牌運行效果圖

為了驗證本方案的平臺兼容性和可移植性，我們分別用VB，C#，VB.net,C++,C和Java等編程語言實現了OTP生成算法，并在Windows和Linux操作系統環境下調試通過。這有效的保證本方案可兼容絕大部分主流設備和系統，但由于計算機軟件的多樣性，我們無法仍保證本方案可運行于所有軟件環境下。比如跟絕大多數認證技術一樣，本技術可兼容微軟IE瀏覽器，但無法在Firefox（火狐瀏覽器），chrome(谷歌瀏覽器)和Safari（蘋果公司瀏覽器）等非主流瀏覽器中運行。要兼容所有的瀏覽器需要大量人力和物力對各種瀏覽器的原理進行研究，即使是諸如中國銀行，工商銀行等大型企業的網上銀行業務目前也只能保證兼容IE瀏覽器。

四、結束語

作為一種全新的商務活動，電子商務很大程度上改變了人們的生活方式，然而電子商務的安全性問題卻始終是信息技術工作者揮之不去的夢魘。本文簡單闡述了基于軟件口令牌的動態口令技術的實現方案，該技術可以與目前流行的各種電子商務系統無縫融合，并可有效的解決靜態密碼易被攻破和易泄露問題，從而提高了電子商務活動的安全性。

李傳目.一次性口令技術的研究[J].集美大學學報(自然科學版),2003,8(2):160-163