基于OTP的移动商务身份认证协议的设计与实现
电子商务平台中的虚拟身份认证技术教程
电子商务平台中的虚拟身份认证技术教程随着互联网的快速发展,电子商务平台已经成为人们购物和交易的重要途径。
然而,随之而来的安全风险也日益严峻。
为了保障用户的账户安全,防止恶意攻击和欺诈行为,电子商务平台采用了虚拟身份认证技术。
本文将介绍虚拟身份认证技术的基本原理和常见实现方式,并对其安全性进行评估。
首先,我们来了解虚拟身份认证技术的基本原理。
虚拟身份认证是通过验证用户提供的身份信息来确定用户的真实性。
在电子商务平台中,虚拟身份认证技术通常包括以下几个步骤:1. 注册和收集信息:在用户注册时,平台会要求用户填写基本信息,如姓名、电话号码和地址等。
这些信息将用于后续的身份验证。
2. 身份验证方法选择:平台可以使用多种身份验证方法,如短信验证码、邮箱验证、人脸识别等。
根据平台的需求和用户对隐私的要求,选择合适的方法。
3. 身份验证机制:根据所选的验证方法,平台将向用户发送验证码、链接或者要求用户进行人脸识别等操作。
用户需要按照要求完成验证步骤。
4. 结果反馈与处理:平台根据用户提供的信息和验证结果,判断用户的真实身份。
如果验证通过,用户可以成功注册并使用平台的功能;如果验证失败,用户需要提供更多的信息或者通过其他方式完成验证。
在实践中,电子商务平台可以根据自身需求和技术能力选择适合的虚拟身份认证技术。
以下是常见的几种实现方式:1. 短信验证码:用户在注册时会收到一个包含数字验证码的短信,用户需要将验证码输入平台进行验证。
这种方式简单易用,但存在被盗用的风险,因为手机可以被盗或丢失。
2. 邮箱验证:用户在注册时会收到一封包含验证链接的电子邮件,用户需要点击链接完成验证。
这种方式相对安全,但可能会受到电子邮件被黑客攻击的威胁。
3. 人脸识别:通过摄像头获取用户面部特征,并与注册时的面部特征进行比对。
这种方式较为安全,但需要依赖高质量的摄像头和面部识别算法。
4. 数字证书:用户通过数字证书的私钥进行身份验证。
移动商务身份认证系统的研究与设计的开题报告
移动商务身份认证系统的研究与设计的开题报告
一、选题背景及意义
移动商务(M-commerce)是移动互联网时代的一种重要商业模式,将传统的电商业务通过移动设备、移动通信网络进行扩展和升级。
与传
统电商相比,移动商务更加灵活,时效性更强,可以随时随地完成交易。
然而,在移动商务的发展过程中,身份认证问题一直是阻碍其发展的重
要因素。
因此,开发一种高效、安全的移动商务身份认证系统具有重要
意义。
二、研究目的
本研究旨在通过对现有的移动商务身份认证问题进行分析,设计一
种基于移动设备的身份认证系统,并使用合适的技术和算法来确保用户
的隐私和交易安全。
三、研究内容
1.移动商务身份认证问题分析
2.现有的移动商务身份认证系统的研究和分析
3.基于移动设备的身份认证系统的设计和实现
4.系统性能测试和实验结果分析
四、研究方法
本研究将采用文献研究、实验研究和案例分析三种研究方法,其中
文献研究用来了解移动商务身份认证相关的技术和算法等,实验研究用
来验证所设计的系统的性能和可靠性,案例分析则用来比较不同系统的
优缺点。
五、研究进度安排
1. 第一阶段(1月-2月):完成移动商务身份认证问题分析和文献综述
2. 第二阶段(3月-6月):设计和实现基于移动设备的身份认证系统
3. 第三阶段(7月-8月):系统性能测试与实验结果分析
4. 第四阶段(9月-10月):撰写论文和准备答辩
六、研究预期成果
本研究预计能够设计出一种性能优异、安全可靠的移动商务身份认证系统,并证明其具有良好的可扩展性和适用性,可以为移动商务的发展提供重要的技术支持。
基于OTP的移动商务身份认证协议的设计与实现
基于OTP的移动商务身份认证协议的设计与实现王秦1,张润彤(北京交通大学信息系统研究所,北京100044)摘要:国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制,这种方式易于实现且操作简单,但容易遭受攻击并且口令在无线传输中易被截获。
一次性口令(One-Time Password,简称OTP)认证机制可以实现一次一密,具备更高的安全性,同时,其实现简单、成本低、无需第三方公证,十分适合于受限的移动商务环境,但难以抵御小数攻击以及没有实现双向认证。
本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA,并利用仿真软件Opnet仿真实现MCIA协议,结果表明其适合于移动商务环境。
关键字:身份认证;一次性口令;MCIA;OpnetDesign and Implementation of Identity Authentication Protocol inMobile Commerce based on OTPWang Qin, Zhang Run-tong(Institute of Information System, Beijing Jiaotong University, Beijing 100044, China) Abtract: Presently, identity authentication in domestic mobile commerce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization, and so it is more suitable for limited mobile commerce environment, but it couldn’t resist decimal attack and realize bidirectional authentication. Combined OTP with Elliptic curve cryptosystem, it is presented a mobile commerce identity authentication protocol based on OTP, named by MCIA protocol. The protocol is simulated through simulation software Opnet and it is suitable for mobile commerce environment by simulation results.Key words:Identity authentication; One-Time Password; Mobile commerce identity authentication; Opnet1国家自然科学基金资助项目:移动商务系统中的身份认证研究(60773033)作者简介:王秦,男,吉林省梨树县,1973年生,北京交通大学博士研究生,研究方向:移动商务身份认证,melonzn@张润彤,男,辽宁省大连市,1963年生,北京交通大学教授,研究方向:信息安全、移动电子商务、网格计算等,rtzhang@1 引言随着移动商务的普及和应用,移动商务的安全性已成为人们关注的焦点。
移动商务身份认证评价指标体系研究
移动商务身份认证评价指标体系研究王秦;支芬和【摘要】移动商务身份认证机制的评价主要为形式化分析方法的安全性证明和简单的性能比较,缺乏移动商务身份认证评价指标体系对认证机制进行全面的评价,影响了移动商务身份认证机制的选择.本文通过分析无线通信网络和移动终端的特点,提出移动商务身份认证评价指标体系的设立原则,设计包含安全性、适用性和成熟性三大指标的总体架构,并逐层细化确定其各指标项.在此基础上,运用模糊综合评价法对移动商务身份认证机制进行建模,首先确定评价因素集、评语集和权重,然后建立模糊矩阵,最后根据确定的各级评价因素集对体系的各项指标进行定量或定性分析,从安全性、适用性和成熟性得到机制的评价结果,实现对移动商务身份认证机制的综合评价和分析比较.【期刊名称】《技术经济与管理研究》【年(卷),期】2012(000)004【总页数】5页(P16-20)【关键词】移动商务;身份认证;通信网络;移动终端【作者】王秦;支芬和【作者单位】北京联合大学,北京100101;北京联合大学,北京100101【正文语种】中文【中图分类】F626.3一、引言安全问题是限制移动商务发展的主要问题[1],身份认证是最基本的安全服务[2]。
国内外学者在身份认证技术的基础上纷纷提出适用移动商务环境的身份认证机制。
目前,移动商务身份认证机制的评价方法主要为形式化分析方法的安全性证明和简单的性能比较,缺乏一个完善、有效的评价指标体系对认证机制进行客观、全面的评价,影响了移动商务身份认证机制的分析和选择。
本文通过分析移动商务的特点指出移动商务身份认证评价指标体系的设立原则和指标选取,提出基于模糊综合评价法建立移动商务身份认证评价指标体系。
二、移动商务的特点分析本文从无线通信网络及移动终端两方面分析移动商务的特点。
1.无线通信网络的特点无线通信网络使通信摆脱了时间、地点和对象的束缚,为通信过程带来了极大的自由度、便捷性和及时性。
与有线通信网络相比,无线网络具有易于部署、成本低廉和灵活方便等优势,但其面临的安全威胁更加严重,不仅面对有线环境下的所有安全威胁,而且面对新出现的专门针对无线环境的安全威胁,如监听攻击、网络的鲁棒性和无线干扰等[3]。
移动互联时代的电子认证解决方案
手机密令系统建设流程
完成系统对接 和测试
进行公测,进行手机 密令初步宣传推广
进行手机密令 宣传推广
进行资费宣传,通知 用户缴费策略和渠道
正式开始前端 收费服务模式
业务流程
宝令是一种基于OTP技术(One Time
Password)的硬件令牌,是一个小巧的 硬件终端令牌。LCD屏幕清晰显示,无 需安装驱动,与电脑物理隔离,操作简 单,适合大众使用。
淘宝手机密令解决方案
2011年,时代亿宝与淘宝达成合作协议,启动了“手机密令项目”, 即在淘宝注册的用户,通过使用手机密令,便可进行淘宝网内相关操作的 保护。
9、要学生做的事,教职员躬亲共做 ;要学 生学的 知识, 教职员 躬亲共 学;要 学生守 的规则 ,教职 员躬亲 共守。2 1.7.1 221. 7.12 Monday, July 12, 2021
10、阅读一切好书如同和过去最杰出 的人谈 话。1 4:03:0314 :03:0 314:037/ 12/2 021 2:03:03 PM
பைடு நூலகம்
15、一年之计,莫如树谷;十年之计 ,莫如 树木; 终身之 计,莫 如树人 。20 21年7 月下午 2时3 分21.7 .121 4:03July 12, 2021
16、提出一个问题往往比解决一个更 重要。 因为解 决问题 也许仅 是一个 数学上 或实验 上的技 能而已 ,而提 出新的 问题, 却需要 有创造 性的想 像力, 而且标 志着科 学的真 正进步 。20 21年7 月12 日星期 一2时3 分3秒 14:03 :031 2 July 2021
基于OTP的移动商务环境下的一种身份认证方案
1引言
随着信 息技 术 的发 展 ,移 动通 信 以其 灵活 、使 用方 便 、 信号覆 盖广 等特 点 ,除 提供 传统 的话 音服 务外 ,高 速 、高
能 力 以及 第 三 方 认 证 等 诸 多 问 题 。而 一 次 性 口令 认 证技
术 O P ( n- i e P s r )无 需 第三方 认证 ,可 以 T O e T m as d wo
A i d Tc og , Byg 1 o5 Cn 4n a eh ly e o 0 , ha /g n n no  ̄ i)
Ab ta t T i p pr rp ss a nw O P u hn i to shme b sd o O e i p swod n a a t t i o M-cmmec evrn n sr c : hs a e po oe e T a te t a i c n ce a e n n -t me a s r a d d p i n t o re n i met. o C mprd O rdt n lshme , te ce c nies h sr i o wi l s ewok n mo i e up n o ae t ta ii a ce s h shme os r t e tan f r e n t r a d o d s es bl q i e me t. Th shme o ol c ud slt sc e ce n t ny ol i a e u h o po l o ta ii a ce e . b t l c ud rvd mu u I u h nia i b t e te sr n t e ev r rbe ms f rdto l h m s n s u as o l o po i e ta a te tc t n ewe n h ue a d h sr e . o Ke w ods: M-cmmec y r o re; a te t a i u h ni to c n; oe i p swod; sc r y n tme as r eui t
移动商务身份认证协议的设计与实现
K e r s:o e t e p swo d;m o l o me c de tt u h n iai n; Opn t y wo d n —i a s r m bi c m e r e i n i a t e tc to y e
O 引 言
目前 , 国外 无线 身份认 证研 究 的重 点 为无 线公
内应 用 W P I K 认证 机 制 。
国 内移 动商 务 身 份 认 证 多 数基 于静 态 口令 认 证机 制 , 种 方 式 实 现简 单 、 于操 作 。但 静 态 口 这 易 令认证 机制 是一 种单 因子 的认证 技 术 , 安 全性 其
开密钥 体系 WP I ( rl s u l e nr t c K Wi e b cK yIf s u — e sP i ar tr , ue 简称 WP I 。WP I 以实 现 数 据 传 输 中 真 K) K 可
正 的端 到端 安 全性 、 全 的用 户 识别 及 可 信 交 易 , 安 有效地 建立安 全 的移动 商务 环境 。但 有 专家 认 为 :
WP I 证 机 制 对 承 载 设 备 的 运 算 能 力 要 求 较 高 , K 认
仅依赖 于用 户 口令 的保 密性 , 旦 用户 口令 外 泄 , 一
移 动 商务 身 份认 证 协 议 的设 计 与实 现
王 秦 , 芬 和 支
( 北京 联 合 大学 , 京 100 ) 北 0 1 1
[ 摘 要 ] 一 次性 口令一 次一 密 的认证 机 制具 备 较 高 的安 全性 , 实现 简单 、 其 成本 低 、 需第 三 无 方公 证 , 十分适合 于受限 的移动 商务 环 境 。结合 一 次性 口令 认 证 机 制 和 椭 圆 曲线 密码 体 制提 出
移动商务身份机制的研究
移动商务身份机制的研究移动商务身份认证机制的设计与研究摘要:移动商务的身份认证问题已成为制约移动商务发展的瓶颈。
动态口令技术实现简单、成本低、无须第三方认证的特点使其较适合移动商务的身份认证。
本文基于动态口令的认证思想,引入椭圆曲线密码体制进行改进,提出一套移动商务身份认证机制,最后分析了该机制具备很好的安全性。
关键字:身份认证;一次性口令;椭圆曲线密码;IMEI1移动商务的身份认证需求在移动商务环境的安全机制中,身份认证处于核心地位,因为在缺乏对用户身份有效认证的前提下,用户信息的完整性和保密性没有任何意义可言[1],因此,移动商务环境下身份认证机制的研究,对移动商务的安全体系,乃至对整个移动商务的推广与发展具有重大意义。
目前,移动商务的身份认证机制多基于GSM 网络、短信息以及简单的用户静态口令认证,这些方法易受到攻击并且口令在无线传输中易被截获。
非移动商务环境下的身份认证机制多采用基于公钥的认证体系,它必须以完善的CA (Certification Authority,证书授权中心)体系为基础,需要一个合法的公正的第三方参与认证,这种方法成本高昂,技术复杂,不适合于目前尚不成熟的移动商务环境。
本文拟对移动商务的身份认证进行研究,提出适合于移动商务环境的安全、高效的身份认证机制。
无线信道资源短缺,带宽成本高,时延长,连接可靠性较低,同时,相比有线终端,无线终端的资源有限、处理能力低,存储能力小,需要尽量减少证书的数据长度和处理难度。
考虑到上述特点,因此,移动商务身份认证机制的需求主要为[2]-[4]:①移动用户与移动网络的双向认证;移动用户与移动通信网络之间相互认证身份,这是在移动通信中被普遍认同的一个安全需求,也是安全通信中最基本的安全需求。
但是在第二代移动通信系统中存在很多安全问题,其中之一就是缺少用户对移动网络的身份认证,导致“中间人攻击”的威胁。
②密钥协商和双向密钥控制;移动用户与移动通信网络之问通过安全参数协商确定会话密钥,保证一次一密。
基于OTP的移动商务环境下的一种身份认证方案
基于OTP的移动商务环境下的一种身份认证方案
杨木;张润彤;杨易
【期刊名称】《计算机安全》
【年(卷),期】2008(000)007
【摘要】该文在现有身份认证技术的基础上,基于一次性口令(OTP)认证技术,提出了移动商务环境下的一种身份认证方案.与传统方案相比,该方案考虑了移动商务的安全性要求及移动设备的技术限制,引入服务提供次数作为不确定因素,安全性高,运算量小,实现了通信双方的相互认证.
【总页数】4页(P1-3,7)
【作者】杨木;张润彤;杨易
【作者单位】北京交通大学信息系统研究所,北京,100044;北京交通大学信息系统研究所,北京,100044;中国矿业大学,文法学院,北京,100083
【正文语种】中文
【中图分类】TP3
【相关文献】
1.一种云环境下基于身份的统一身份认证方案研究 [J], 刘团奇;张浩军;赵志鹏
2.基于混沌的OTP移动商务身份认证方案设计与实现 [J], 胡新月;姜楠
3.一种基于签密的移动自组网络身份认证方案 [J], 刘志远;高超
4.基于椭圆曲线密码体制的OTP身份认证方案 [J], 曹阳;洪岐;余冬梅
5.云计算环境下基于二维码的移动终端身份认证方案 [J], 马立林
因版权原因,仅展示原文概要,查看原文内容请购买。
基于电子商务商务的一种新的身份认证方法
摘要随着信息技术日新月异的发展,电子商务己逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。
但电子商务的安全问题变得越来越突出,而电子商务安全的第一道防线就是身份认证,本文主要对电子商务安全中的身份认证方法做深入地分析和探讨。
本文首先对电子商务系统中的主要安全需求和架构进行了简单的介绍分析,并阐述了身份认证在电子商务中的意义。
其次对身份认证的现状进行了深入的分析和探讨,对其分类并找出了现存身份认证系统中的安全漏洞和不足。
最后提出一种新的身份认证解决方案,即双网路动态身份认证,设计了一种利用现有移动通信网络进行电子商务身份认证模式,并对这种模式进行了安全性和可行性分析,提出改进方案。
【关键词】电子商务电子商务安全身份认证双网路身份认证AbstractWith the rapid development of Information Technology, Electronic Commerce has become a new way for people to pursue commerce. But at the same time, the security problem of Electronic Commerce is becoming more and more obvious, and the first defense of Electronic Commerce security is identity authentication, so the thesis mainly analyzes and probes the technologies of identity authentication.Firstly, this thesis introduces and analyzes the main demand of security and structure of Electronic Commerce, and expounds the significance of identity authentication in Electronic Commerce. Secondly, it analyzes and probes the current state of identity authentication deeply, then sorts it and finds security leakage and deficiency. Lastly, the thesis gives a new solution to the identity authentication, namely double network dynamic identity authentication, and designs an EC identity authentication mode that uses current mobile communications network, and analyzes the security of this mode, and raises some improvement.【Key words】Electronic Commerce; Electronic Commerce security; Identity Authentication; Double Network Identity Authentication目录1 引言 (4)2 电子商务安全简述 (4)2.1电子商务的安全需求 (4)2.2电子商务安全的现状 (5)2.3电子商务的安全架构 (7)3 身份认证 (8)3.1电子商务中身份认证的意义 (8)3.2电子商务身份认证现状分析 (9)3.3网上银行的身份认证现状 (10)4 双网路动态身份认证 (11)4.1双网路动态身份认证的定义及运行机制 (11)4.2双网路动态认证与CA认证的比较 (13)4.3双网路动态认证方法的电子商务需求分析 (13)4.4双网路动态认证方法的安全性分析 (14)4.5双网路动态认证方法的劣势分析 (15)4.6双网路动态认证方法的可行性分析 (16)5 结论 (16)参考文献 (17)致谢 (18)基于电子商务的一种新的身份认证方法------双网路动态认证1 引言随着我国经济的持续高速发展,互连网的发展更是日新月异,网民的人数也早就突破1亿,在此基础上的电子商务在经过一阵低潮之后,又走上了高速轨道。
移动电子商务联机认证及应用平台设计与应用的开题报告
移动电子商务联机认证及应用平台设计与应用的开题报告1、选题背景随着移动互联网技术的发展,移动电子商务越来越受到人们的关注。
移动电子商务已经成为当前发展趋势之一,并引发了越来越多的研究。
移动电子商务联机认证及应用平台设计与应用是一种新型的认证和授权方式,可解决移动电子商务中信息安全和用户隐私的问题。
因此,本文将探讨移动电子商务联机认证及应用平台的设计与应用。
2、研究目的(1)研究移动电子商务联机认证及应用平台设计、开发和实现的技术;(2)构建移动电子商务联机认证及应用平台,并在实验室中对其进行测试和性能评估;(3)将移动电子商务联机认证及应用平台应用于实际的移动电商应用中,验证其可行性和有效性。
3、研究内容(1)移动电子商务联机认证及应用平台的设计和实现通过研究移动电子商务联机认证及应用平台的设计和实现,包括平台建设、服务器端程序、客户端程序和接口设计等方面,设计一套高效的、稳定的、可扩展的移动电子商务联机认证及应用平台。
(2)移动电子商务应用场景针对不同的移动电子商务应用场景,设计并实现相应的联机认证及应用模型,为客户提供针对性的解决方案。
(3)联机认证及应用平台的安全性评估通过安全测试、性能测试等手段,对移动电子商务联机认证及应用平台的安全性进行评估,保障移动电商中的用户信息安全和隐私。
4、研究方法(1)文献综述:对移动电子商务、联机认证及应用平台和相关技术进行深入了解和研究,为后续的研究提供理论支持和指导。
(2)系统分析设计:基于对现有移动电子商务联机认证及应用平台的分析,设计出一套新的移动电子商务联机认证及应用平台模型。
(3)软件开发:通过使用现代软件工程技术,采用JAVA语言进行平台实现和开发。
(4)实验检验:在实验室中,进行系统的测试和性能评估,确定系统的可行性和可用性。
5、研究意义本研究将为移动电子商务提供一种新型的联机认证及应用平台,该平台可以解决现有移动电商中存在的安全性和用户隐私的问题,提高移动电商的安全性和信任度。
基于改进OTP的用户认证技术的研究与实现
基于改进OTP的用户认证技术的研究与实现
许正伟;程晓荣;王翠茹;马慧敏
【期刊名称】《计算机技术与发展》
【年(卷),期】2004(014)006
【摘要】随着网络应用的不断发展,网络安全问题也变得越来越重要,用户认证机制是安全防护机制之一,认证信息可以用来认证需访问系统的请求用户的合法性.文中分析了无须第三方认证的"一次性口令(OTP)"技术及其存在的安全漏洞,结合Kerberos认证机制优点,提出了将用户的通行密语用服务器的公钥加密后保存在数据库中,并在服务器种子信息中加入时间戳和服务器IP地址的改进OTP技术,提高了认证系统的安全性.
【总页数】3页(P109-110,114)
【作者】许正伟;程晓荣;王翠茹;马慧敏
【作者单位】华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于非对称密码算法的身份认证技术研究与实现 [J], 王开林;刘伯驹;崔鹏飞;王志宣
2.基于HOTP动态口令认证技术应用研究 [J], 刘坤
3.Android平台下基于OAuth2.0协议的三方认证技术研究与实现 [J], 徐丽仙
4.基于TePA视频监控身份认证技术的研究与实现 [J], 史庭俊;张颖杰;魏振宇
5.基于身份认证技术的统一认证系统研究与实现 [J], 邱素华
因版权原因,仅展示原文概要,查看原文内容请购买。
基于OTP的移动商务身份认证协议的仿真研究
基于OTP的移动商务身份认证协议的仿真研究安全、高效的移动商务身份认证协议是保证移动商务安全的必要条件。
本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA,文章通过与静态口令认证机制(简称EasyUID)和OTP的仿真比较,表明MCIA协议具备良好的性能。
关键词:静态口令OTP MCIA Opnet国内移动商务身份认证的实现多基于静态口令认证机制(Yang Mu,Zhang Runtong,2008),这种机制实现简单、易于操作。
但静态口令认证机制是一种单因子的认证技术,其安全性仅依赖于用户口令的保密性,一旦用户口令泄密,安全性则彻底丧失。
目前,国外无线身份认证研究的重点为无线公开密钥体系WPKI(Noureddine Boudriga,2009)(Wireless Public Key Infrastructure,简称WPKI)。
WPKI认证机制对承载设备的运算能力要求较高,并不十分适合计算能力受限的移动商务环境(Feilder,2004),同时,其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性(赵文、戴宗坤,2005),最重要的是国内尚无一家法律上承认的、权威的第三方认证机构—CA(Certification Authority,简称CA)中心,这些因素都限制了WPKI认证机制在国内的应用。
一次性口令认证机制(One-Time Password,简称OTP)采用一次一密的方法,可以有效保证用户身份的安全性,同时,其实现简单、成本低、无需第三方认证,是实现移动商务身份认证一个可行的选择。
但是,OTP易遭受小数攻击(顾韵华、刘素英,2007)、没有实现双向认证。
OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送,因此,如果采取密码体制对随机数及认证信息进行加密,必然给攻击者攻击带来巨大困难。
基于OTP的移动商务身份认证协议MCIA的设计(一)MCIA的设计思路椭圆曲线密码体制(Elliptic Curve Cryptosystem,简称ECC)是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制,其存储空间占用小、带宽要求低、计算量小和处理速度快(肖脩安,2006)等特点使其十分适合于移动商务环境。
基于动态口令技术的电子商务身份认证系统
基于动态口令技术的电子商务身份认证系统本文着重介绍当前电子商务活动存在的安全隐患,分析并说明了动态口令技术的原理和实现方式,并阐述了基于动态口令技术的电子商务身份认证系统的设计方案和实施步骤。
该方案可以方便地融合进现存的各种电子商务系统,并可有效地解决静态密码易泄露和易被攻破的问题,从而提高了电子商务活动的安全性。
标签:电子商务身份认证网络安全动态口令电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。
当前电子商务主要是以EDI(电子数据交换)和INTERNET来完成的。
电子商务应用中的另一个领域是允许使用者直接访问金融机构,许多人已开始通过电子方式来购买车票、支付账单和管理银行的账户。
一、电子商务的安全隐患由于电子商务活动的买卖双方大都不谋面地进行各种商贸活动,因此电子商务特别是其网上支付领域有着各种各样的交易风险。
但无论是何种风险,其根本原因都是由于登录密码或支付密码泄露造成的。
而大部分公司和个人受到网络攻击的主要原因是密码政策管理不善。
大多数用户使用的静态密码都是字典中可查到的普通单词、姓名或者其他简单的密码。
有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。
最典型的例子是2011年12月,CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。
黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。
故随着CSDN”密码外泄门”持续发酵,天涯、网易、新浪和飞信等多家大型网站也相继被曝用户数据遭泄密。
解决静态密码安全性不足问题的根本性方法之一就是使用动态密码技术。
动态密码的一次一密的特点决定了黑客即使捕获了当前密码也无法下次使用,从而有效防止了密码的泄露问题。
二、动态口令技术的基本原理动态口令又称为一次性口令OTP(One - Time - Password) ,其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录服务器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令。
基于RFID移动商务认证协议的研究与实现的开题报告
基于RFID移动商务认证协议的研究与实现的开题报告1. 研究背景随着移动互联网技术的发展和普及,移动商务在我们的生活中越来越普及。
然而,移动商务在传统电子商务交易中仍面临许多问题,如认证和安全性等问题。
此外,这些问题对用户隐私和数字身份的保护也提出了许多挑战。
因此建立一个安全和可靠的认证协议是移动商务发展的关键。
RFID技术引进可扩展的认证方式,它射频识别技术可以用于通信认证,以便更好地解决电子商务认证过程中的许多问题。
2. 目的和意义本文旨在设计和实现一种基于RFID的移动商务认证协议,以解决移动商务中的认证问题。
该协议能够提供安全的保护,以确保数字身份和隐私的保护。
通过本研究,我们也将探讨RFID在移动商务认证中的应用,并了解不同协议的优缺点。
3. 研究方法本研究将参考现有的RFID认证协议,包括RSA算法和AES加密算法等,并结合移动商务应用场景和需求,设计新的认证协议。
然后使用模拟器和实际测试设备来测试协议的可靠性和性能。
最后,对比不同协议的优劣。
4. 预期结果本研究的预期结果是建立一个安全、可靠、高效的基于RFID的移动商务认证协议。
所设计的协议能够使用在移动商务场景中,实现身份认证和安全通信。
同时,通过比较不同协议,我们能够理解每种协议的优劣和适用场景,为后续的改进和新的研究提供指导和借鉴。
5. 研究意义此项研究有重要的现实意义和理论指导意义。
从现实角度来看,研究能够推进移动商务认证过程的安全保护和推广,促进移动商务行业的发展。
从理论角度来看,研究能够扩展理论知识体系,丰富RFID技术应用方向的研究,推动电子商务安全保护相关研究发展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于OTP的移动商务身份认证协议的设计与实现王秦1,张润彤(北京交通大学信息系统研究所,北京100044)摘要:国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制,这种方式易于实现且操作简单,但容易遭受攻击并且口令在无线传输中易被截获。
一次性口令(One-Time Password,简称OTP)认证机制可以实现一次一密,具备更高的安全性,同时,其实现简单、成本低、无需第三方公证,十分适合于受限的移动商务环境,但难以抵御小数攻击以及没有实现双向认证。
本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA,并利用仿真软件Opnet仿真实现MCIA协议,结果表明其适合于移动商务环境。
关键字:身份认证;一次性口令;MCIA;OpnetDesign and Implementation of Identity Authentication Protocol inMobile Commerce based on OTPWang Qin, Zhang Run-tong(Institute of Information System, Beijing Jiaotong University, Beijing 100044, China) Abtract: Presently, identity authentication in domestic mobile commerce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization, and so it is more suitable for limited mobile commerce environment, but it couldn’t resist decimal attack and realize bidirectional authentication. Combined OTP with Elliptic curve cryptosystem, it is presented a mobile commerce identity authentication protocol based on OTP, named by MCIA protocol. The protocol is simulated through simulation software Opnet and it is suitable for mobile commerce environment by simulation results.Key words:Identity authentication; One-Time Password; Mobile commerce identity authentication; Opnet1国家自然科学基金资助项目:移动商务系统中的身份认证研究(60773033)作者简介:王秦,男,吉林省梨树县,1973年生,北京交通大学博士研究生,研究方向:移动商务身份认证,melonzn@张润彤,男,辽宁省大连市,1963年生,北京交通大学教授,研究方向:信息安全、移动电子商务、网格计算等,rtzhang@1 引言随着移动商务的普及和应用,移动商务的安全性已成为人们关注的焦点。
身份认证是第一道安全屏障,通信安全几乎总是始于身份认证的握手过程。
基于密码技术的认证协议是实现身份认证最安全的方式,因此,安全、高效的移动商务身份认证协议是保证移动商务安全通信的必要条件。
与传统商务相比,移动商务在身份认证的实现上具备一定的优势:首先,移动通信设备传输的信号为数字信号,便于进行加密处理;其次,由于移动用户和移动终端普遍为一对一,身份认证更易实现。
但是,移动商务实现身份认证也存在诸多薄弱环节,主要包括:一是开放的无线信道使移动商务传送的信息更易遭受窃听、干扰、篡改等攻击,这可能是移动商务最大的安全问题[1];二是与有线信道相比,无线信道带宽较小,容易产生信号的衰落、频移以及时延扩展,信道的误码率较高[2];三是与固定终端相比,移动终端在功能及资源上严重受限,如:计算能力弱、存储空间小、通信带宽窄和电源供应时间短等;四是移动终端本身不能提供足够的安全防护。
因此,移动商务身份认证协议的研究必须综合考虑上述因素,尤其重点考虑硬件资源上受限的移动终端。
2 研究现状二十世纪九十年代以来,国外提出了一些无线网络环境下的认证协议,如:TMN 协议、改进BCY 协议、Diffie Aziz -协议、Park 协议、Koc Sunar Aydos --协议和ASPeCT 协议[3]-[8]。
这些协议都能够实现身份认证,但同时也存在一些局限性,诸如:多数无线认证协议采用基于数字证书的身份认证机制,这需要具备完善的CA 认证体系;认证协议都是基于公钥密码体制实现数字签名,由于传统的公钥密码体制基本上通过大数计算实现加解密,造成认证协议的运算负载较高、耗时长且效率低下等问题;多数认证协议都考虑了无线链路中数据的机密性和实体认证,但没有考虑移动用户的匿名性。
移动用户的匿名性指防止非法用户从认证协议的信息获取移动用户的相关信息[9]。
目前,国外无线身份认证研究的重点为无线公开密钥体系WPKI [10](Wireless Public Key Infrastructure ,简称WPKI )。
WPKI 将互联网电子商务中公开密钥体系PKI (Public Key Infrastructure ,简称PKI )的安全机制引入无线网络环境,是一套遵循既定标准的密钥及证书管理平台体系。
它使用公共密钥加密及开放标准技术构建可信的安全性架构,实现无线通信网络上的交易和安全通信鉴权。
WPKI 为基于无线通信网络的各类移动终端用户提供基于WPKI 体系的各种安全服务,可以实现数据传输中真正的端到端安全性、安全的用户识别及可信交易,保护数据传输的完整性和保密性,而且能够实现交易参与方的不可抵赖,有效地建立安全的移动商务环境。
但也有专家认为:WPKI 认证机制对承载设备的运算能力要求较高,并不十分适合计算能力受限的移动商务环境[11],同时,其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性[12],最重要的是国内尚无一家法律上承认的、权威的第三方认证机构——CA (Certification Authority ,简称CA )中心,这些因素都限制了WPKI 认证机制在国内的应用。
国内移动商务身份认证的实现多数基于简单的静态口令认证机制[13],这种方式实现简单、易于操作。
但静态口令认证机制是一种单因子的认证技术,其安全性仅依赖于用户口令的保密性,一旦用户口令泄密,安全性则彻底丧失。
一次性口令认证机制(One-Time Password,简称OTP)采用一次一密的方法,可以有效保证用户身份的安全性,同时,其实现简单、成本低、无需第三方认证,是实现移动商务身份认证一个可行的选择。
但是,OTP 认证机制易遭受小数攻击、没有实现双向认证。
OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送,因此,如果采取密码体制对随机数及认证信息进行加密,必然给攻击者攻击带来巨大困难。
3基于OTP的移动商务身份认证协议MCIA的设计椭圆曲线密码体制是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制,其存储空间占用小、带宽要求低、计算量小和处理速度快等特点使其十分适合应用于移动商务环境。
因此,本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA(Mobile Commerce Identity Authentication,简称MCIA)。
3.1 MCIA协议的设计思路MCIA协议的设计思路如下:(1)将认证分成两级,一是客户端对用户身份的认证,二是客户端与服务器的双向身份认证;(2)使用椭圆曲线加密算法产生客户端、服务器端的公钥和私钥,较传统的公钥算法效率更高;(IMEI做为一次性因素的生成因子;(3)使用移动设备特征性标识)(4)利用哈希链构造一次性口令时加入服务计数,避免针对已知散列函数的小数攻击;(5)认证口令传输时,客户端和服务器端分别用对方的公钥加密,在另一方用私钥解密,避免了明文传输,且对随机因子进行了二次加密,提高了口令传输的安全性。
3.2 MCIA协议的流程设计符号说明协议中描述的符号说明:C:参与认证的客户端S:用来认证的服务器端UID:用户注册提供的用户身份标识UPW:用户提供的口令,在注册时第一次提供,存储在客户端。
以后每次认证,用户都需提供正确的用户密码IMEI:移动设备的唯一标识(International Mobile Equipment Identity,简称IMEI),也称手机串号,IMEI做为客户端与服务器端的认证口令因子SID:服务器身份标识H代替()Hash:哈希函数,为了叙述简便,以下使用()||:连接符,表示两端的信息或文字进行连接ECC :服务器端生成的安全椭圆曲线密码系统的参数集UR K :用户公钥 US K :用户私钥SR K :服务器公钥 SS K :服务器私钥()E :加密过程 ()D :解密过程i :表示客户端第i 次登录 Counter :服务器端的计算器i OTP :客户端登陆的一次性口令c N :客户端产生的随机数 s N :服务器端产生的随机数3.2.1 注册阶段流程设计注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥产生。
MCIA 协议利用ECC 进行第一次密钥分配和敏感信息的传输加密。