基于OTP的移动商务身份认证协议的设计实现分析
基于OTP的WiFi身份认证模型的设计及分析
( I n f o r m a t i o n E n g i n e e r i n g D e p a r t m e n t , O r d n a n c e E n g i n e e r i n g C o l l e g e , S h i j i a z h u a n g 0 5 0 0 0 3 , C h i n a )
Wi F i 因其便利和高速 , 成为 目前应用极为广泛 的无线 网络接 入方 式 之 一 。但 是 Wi F i 本 身 的开 放 性 给 网络 带来 很 大 的风 险 , 安 全成 为制 约 无 线 网络 发 展 的重 要 问题 。身份认 证 技术 的 主要 目的是 验证 通信 双方 的真 实 身份 , 将 非法用 户屏 蔽 于 网络应用 之外 , 是 网络安全 的第一道防线… 。一旦 进入 网络 的身份认 证技术被 破坏 , 网络就 无 安 全 可 言 。因 此 , 构 建 一 个 Wi F i 环 境 下 统一 的身 份认证 模 型具有 重要 意义 。
t i t y a u t h e n t i c a t i o n o f t h e wi r e l e s s e n v i r o nme n t b e c a u s e o f t h e i r a d v a n t a g e s . A s e c u r e t wo — wa y i d e n t i t y a ut h e n t i — c a t i o n mo d e l i s p r o p o s e d b a s e d o n o ne — t i me p a s s wo r d a n d t he d i g i t a l s i g n a t ur e i s r e a l i z e d b y us i ng ECC. Fi n a l —
基于OTP的增强型身份认证系统的研究与设计
摘
要: 身份认证是 网络安全的第一道防线 , 也是最重要 的一道防线。一次性 口令认证技术是一种 易于实现且安全度
较 高的解决方案 。但是 , 于 OT 基 P技 术 的身份认 证 系统在 实 际实施和 运用 中仍然存在 一 些潜在 的 问题 。本文 提 出的
S) P身份认证 系统克服 了 O P认证技 术的弱点 , 有更好 的安全性和 实用性。 (r r T 具
tc n lg a o ep tn il r be h rc s fra p l ain Th a e usf rh asrn t e e A y t e h oo yh ssm e t o lmsi t ep o e so e l pi t . o ap n a c o ep p rp t o te g h n d I s se t m b sd o h ae nt eoTP h oo y whc v ro e h a n s e ft eOTP u h n iaintc n lg di f etr e u — t n lg , iho e cm stewe k e s so h c e a t e t t eh oo ya o te c r c o n s b s i
t e On — m e Pa s r c n l g h e Ti s wo d Te h o o y —
张 丽g, t ILim i t , l St - n
( 沈阳化工学院计算机科学与技术学院 , 宁 沈阳 10 4 ) 辽 11 2
(co f _ ue c ne n eh o g Ihn a gIsi t o C e cl eh ooySe yn 1 1 2 C ia Sho o C mp t l  ̄ rSi c dT cn oy Se yn nt ue f hmi T cn lg 。hn a g1 04 。hn ) e a l t a
基于OTP的移动商务身份认证协议的设计与实现
基于OTP的移动商务身份认证协议的设计与实现王秦1,张润彤(北京交通大学信息系统研究所,北京100044)摘要:国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制,这种方式易于实现且操作简单,但容易遭受攻击并且口令在无线传输中易被截获。
一次性口令(One-Time Password,简称OTP)认证机制可以实现一次一密,具备更高的安全性,同时,其实现简单、成本低、无需第三方公证,十分适合于受限的移动商务环境,但难以抵御小数攻击以及没有实现双向认证。
本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA,并利用仿真软件Opnet仿真实现MCIA协议,结果表明其适合于移动商务环境。
关键字:身份认证;一次性口令;MCIA;OpnetDesign and Implementation of Identity Authentication Protocol inMobile Commerce based on OTPWang Qin, Zhang Run-tong(Institute of Information System, Beijing Jiaotong University, Beijing 100044, China) Abtract: Presently, identity authentication in domestic mobile commerce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization, and so it is more suitable for limited mobile commerce environment, but it couldn’t resist decimal attack and realize bidirectional authentication. Combined OTP with Elliptic curve cryptosystem, it is presented a mobile commerce identity authentication protocol based on OTP, named by MCIA protocol. The protocol is simulated through simulation software Opnet and it is suitable for mobile commerce environment by simulation results.Key words:Identity authentication; One-Time Password; Mobile commerce identity authentication; Opnet1国家自然科学基金资助项目:移动商务系统中的身份认证研究(60773033)作者简介:王秦,男,吉林省梨树县,1973年生,北京交通大学博士研究生,研究方向:移动商务身份认证,melonzn@张润彤,男,辽宁省大连市,1963年生,北京交通大学教授,研究方向:信息安全、移动电子商务、网格计算等,rtzhang@1 引言随着移动商务的普及和应用,移动商务的安全性已成为人们关注的焦点。
移动商务身份认证评价指标体系研究
移动商务身份认证评价指标体系研究王秦;支芬和【摘要】移动商务身份认证机制的评价主要为形式化分析方法的安全性证明和简单的性能比较,缺乏移动商务身份认证评价指标体系对认证机制进行全面的评价,影响了移动商务身份认证机制的选择.本文通过分析无线通信网络和移动终端的特点,提出移动商务身份认证评价指标体系的设立原则,设计包含安全性、适用性和成熟性三大指标的总体架构,并逐层细化确定其各指标项.在此基础上,运用模糊综合评价法对移动商务身份认证机制进行建模,首先确定评价因素集、评语集和权重,然后建立模糊矩阵,最后根据确定的各级评价因素集对体系的各项指标进行定量或定性分析,从安全性、适用性和成熟性得到机制的评价结果,实现对移动商务身份认证机制的综合评价和分析比较.【期刊名称】《技术经济与管理研究》【年(卷),期】2012(000)004【总页数】5页(P16-20)【关键词】移动商务;身份认证;通信网络;移动终端【作者】王秦;支芬和【作者单位】北京联合大学,北京100101;北京联合大学,北京100101【正文语种】中文【中图分类】F626.3一、引言安全问题是限制移动商务发展的主要问题[1],身份认证是最基本的安全服务[2]。
国内外学者在身份认证技术的基础上纷纷提出适用移动商务环境的身份认证机制。
目前,移动商务身份认证机制的评价方法主要为形式化分析方法的安全性证明和简单的性能比较,缺乏一个完善、有效的评价指标体系对认证机制进行客观、全面的评价,影响了移动商务身份认证机制的分析和选择。
本文通过分析移动商务的特点指出移动商务身份认证评价指标体系的设立原则和指标选取,提出基于模糊综合评价法建立移动商务身份认证评价指标体系。
二、移动商务的特点分析本文从无线通信网络及移动终端两方面分析移动商务的特点。
1.无线通信网络的特点无线通信网络使通信摆脱了时间、地点和对象的束缚,为通信过程带来了极大的自由度、便捷性和及时性。
与有线通信网络相比,无线网络具有易于部署、成本低廉和灵活方便等优势,但其面临的安全威胁更加严重,不仅面对有线环境下的所有安全威胁,而且面对新出现的专门针对无线环境的安全威胁,如监听攻击、网络的鲁棒性和无线干扰等[3]。
移动互联时代的电子认证解决方案
手机密令系统建设流程
完成系统对接 和测试
进行公测,进行手机 密令初步宣传推广
进行手机密令 宣传推广
进行资费宣传,通知 用户缴费策略和渠道
正式开始前端 收费服务模式
业务流程
宝令是一种基于OTP技术(One Time
Password)的硬件令牌,是一个小巧的 硬件终端令牌。LCD屏幕清晰显示,无 需安装驱动,与电脑物理隔离,操作简 单,适合大众使用。
淘宝手机密令解决方案
2011年,时代亿宝与淘宝达成合作协议,启动了“手机密令项目”, 即在淘宝注册的用户,通过使用手机密令,便可进行淘宝网内相关操作的 保护。
9、要学生做的事,教职员躬亲共做 ;要学 生学的 知识, 教职员 躬亲共 学;要 学生守 的规则 ,教职 员躬亲 共守。2 1.7.1 221. 7.12 Monday, July 12, 2021
10、阅读一切好书如同和过去最杰出 的人谈 话。1 4:03:0314 :03:0 314:037/ 12/2 021 2:03:03 PM
பைடு நூலகம்
15、一年之计,莫如树谷;十年之计 ,莫如 树木; 终身之 计,莫 如树人 。20 21年7 月下午 2时3 分21.7 .121 4:03July 12, 2021
16、提出一个问题往往比解决一个更 重要。 因为解 决问题 也许仅 是一个 数学上 或实验 上的技 能而已 ,而提 出新的 问题, 却需要 有创造 性的想 像力, 而且标 志着科 学的真 正进步 。20 21年7 月12 日星期 一2时3 分3秒 14:03 :031 2 July 2021
基于OTP的移动商务环境下的一种身份认证方案
1引言
随着信 息技 术 的发 展 ,移 动通 信 以其 灵活 、使 用方 便 、 信号覆 盖广 等特 点 ,除 提供 传统 的话 音服 务外 ,高 速 、高
能 力 以及 第 三 方 认 证 等 诸 多 问 题 。而 一 次 性 口令 认 证技
术 O P ( n- i e P s r )无 需 第三方 认证 ,可 以 T O e T m as d wo
A i d Tc og , Byg 1 o5 Cn 4n a eh ly e o 0 , ha /g n n no  ̄ i)
Ab ta t T i p pr rp ss a nw O P u hn i to shme b sd o O e i p swod n a a t t i o M-cmmec evrn n sr c : hs a e po oe e T a te t a i c n ce a e n n -t me a s r a d d p i n t o re n i met. o C mprd O rdt n lshme , te ce c nies h sr i o wi l s ewok n mo i e up n o ae t ta ii a ce s h shme os r t e tan f r e n t r a d o d s es bl q i e me t. Th shme o ol c ud slt sc e ce n t ny ol i a e u h o po l o ta ii a ce e . b t l c ud rvd mu u I u h nia i b t e te sr n t e ev r rbe ms f rdto l h m s n s u as o l o po i e ta a te tc t n ewe n h ue a d h sr e . o Ke w ods: M-cmmec y r o re; a te t a i u h ni to c n; oe i p swod; sc r y n tme as r eui t
电子商务平台安全防护技术中的身份认证方法分析
电子商务平台安全防护技术中的身份认证方法分析随着互联网和电子商务的迅速发展,人们越来越依赖在线平台进行购物、支付和交互。
然而,网络安全威胁也随之增加,个人身份和敏感信息的泄露已经成为一个严重的问题。
因此,在电子商务平台中采取有效的身份认证方法是确保用户信息安全的关键步骤之一。
在电子商务平台中,身份认证是确认用户身份并授权其访问特定资源的过程。
这种认证过程需要经过严格的验证,以确定用户是否有权访问所需的信息或执行特定的操作。
以下是一些常见的身份认证方法。
1. 用户名和密码认证:用户名和密码认证是目前最常见的身份认证方法之一。
用户提供注册的用户名和与之关联的密码,系统会验证用户提供的密码与存储的密码是否一致。
这种方法简单易用,但安全性相对较低,容易受到密码泄露、字典攻击和社交工程攻击。
2. 双因素认证:双因素认证是一种更安全的身份认证方法,它结合了两个或多个不同的认证因素,通常是“知识因素”(密码、PIN码等)和“物理因素”(指纹、面部识别)。
用户需要提供两个或多个因素来验证其身份,提高了安全性。
3. 多因素认证:多因素认证是对双因素认证的进一步扩展,它可能包括知识因素、物理因素、位置因素和行为因素等。
该方法通过结合多个因素,比如输入密码、扫描指纹和验证设备位置等,提供更高的安全性。
4. 生物特征认证:生物特征认证采用用户独特的生物特征进行身份认证,例如指纹、虹膜、声纹和面部识别等。
这些生物特征是不可复制的,因此提供了更高的安全性。
然而,生物特征认证可能受到伪造和技术限制的影响。
5. 单点登录认证(SSO):单点登录认证是一个用户只需要进行一次身份验证,然后就可以访问多个相互信任的应用程序或网站的方法。
用户只需提供一次用户名和密码,就可访问其授权的多个电子商务平台。
这样的认证方法简化了用户的登录过程,并提高了用户体验。
6. OAuth:OAuth是一个用于授权的开放标准协议,允许用户通过第三方应用程序访问其在其他网站上的信息,而无需提供用户名和密码。
移动商务身份认证协议的设计与实现
K e r s:o e t e p swo d;m o l o me c de tt u h n iai n; Opn t y wo d n —i a s r m bi c m e r e i n i a t e tc to y e
O 引 言
目前 , 国外 无线 身份认 证研 究 的重 点 为无 线公
内应 用 W P I K 认证 机 制 。
国 内移 动商 务 身 份 认 证 多 数基 于静 态 口令 认 证机 制 , 种 方 式 实 现简 单 、 于操 作 。但 静 态 口 这 易 令认证 机制 是一 种单 因子 的认证 技 术 , 安 全性 其
开密钥 体系 WP I ( rl s u l e nr t c K Wi e b cK yIf s u — e sP i ar tr , ue 简称 WP I 。WP I 以实 现 数 据 传 输 中 真 K) K 可
正 的端 到端 安 全性 、 全 的用 户 识别 及 可 信 交 易 , 安 有效地 建立安 全 的移动 商务 环境 。但 有 专家 认 为 :
WP I 证 机 制 对 承 载 设 备 的 运 算 能 力 要 求 较 高 , K 认
仅依赖 于用 户 口令 的保 密性 , 旦 用户 口令 外 泄 , 一
移 动 商务 身 份认 证 协 议 的设 计 与实 现
王 秦 , 芬 和 支
( 北京 联 合 大学 , 京 100 ) 北 0 1 1
[ 摘 要 ] 一 次性 口令一 次一 密 的认证 机 制具 备 较 高 的安 全性 , 实现 简单 、 其 成本 低 、 需第 三 无 方公 证 , 十分适合 于受限 的移动 商务 环 境 。结合 一 次性 口令 认 证 机 制 和 椭 圆 曲线 密码 体 制提 出
专访飞天诚信-全面解析OTP身份认证技术
专访飞天诚信:全面解析OTP身份认证技术随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。
在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证也成了1互联网安全所面临的重要问题。
为此,我们特地采访了飞天诚信OTP的产品总监陈达先生,他将和我们一起探讨身份认证技术的发展,并深入解析OTP在身份认证领域的重要作用和发展前景。
陈达首先为我们介绍了OTP的相关概念,OTP全称OneTimePassword,意为一次性密码,又称为动态令牌,指的是用特定的算法而产生不同的口令作为一次性使用的密码,其特点主要是由算法产生的口令只能使用一次。
由于2动态令牌使用起来非常便捷,据统计,目前有85%以上的世界500强企业在运用它保护登录安全,并且广泛应用在VPN、网上银行、电子政务、电子商务等领域。
在谈到飞天诚信OTP产品,陈达表示,飞天诚信从2007年开始研发OTP产品,到目前为止,飞天诚信OTP产品已涵盖有时间型、事件型、挑战应答型、复合型等多种类型产品。
各类产品依据内部算法因子的不同而应用于不同的场合。
陈达具体谈到,如果应用是次数类型,则使用事件3型OTP,如果应用是按时间来计算,则使用时间型OTP,如果是随机的挑战码,则使用挑战型OTP.陈达表示,从安全性的角度来讲,挑战型的OTP安全性是最高的,如果从易用性的角度来讲,则时间型的OTP最容易使用的。
对比其他身份认证技术,陈达介绍说:"动态令牌给用户带来的最大好处就是方便和安全,除了动态令牌,目前主流的身份认证技术还有静态口令和数字证书。
静态口令非常的方便,但是安全性不高,数字证书非常安全,但其4使用起来比较繁琐。
"在谈到OTP在行业用户中的应用方案时,陈达为我们介绍了三种类型的应用,一是单渠道应用,就是把OTP的产品和技术用在网银登陆和转账,如用户登陆网银时,需要输入OTP动态口令作为一次性的密码,在进入网银要进行转账时也需要输入OTP作为一次性的密码来进行转账的安全确认。
基于OTP的移动商务环境下的一种身份认证方案
基于OTP的移动商务环境下的一种身份认证方案
杨木;张润彤;杨易
【期刊名称】《计算机安全》
【年(卷),期】2008(000)007
【摘要】该文在现有身份认证技术的基础上,基于一次性口令(OTP)认证技术,提出了移动商务环境下的一种身份认证方案.与传统方案相比,该方案考虑了移动商务的安全性要求及移动设备的技术限制,引入服务提供次数作为不确定因素,安全性高,运算量小,实现了通信双方的相互认证.
【总页数】4页(P1-3,7)
【作者】杨木;张润彤;杨易
【作者单位】北京交通大学信息系统研究所,北京,100044;北京交通大学信息系统研究所,北京,100044;中国矿业大学,文法学院,北京,100083
【正文语种】中文
【中图分类】TP3
【相关文献】
1.一种云环境下基于身份的统一身份认证方案研究 [J], 刘团奇;张浩军;赵志鹏
2.基于混沌的OTP移动商务身份认证方案设计与实现 [J], 胡新月;姜楠
3.一种基于签密的移动自组网络身份认证方案 [J], 刘志远;高超
4.基于椭圆曲线密码体制的OTP身份认证方案 [J], 曹阳;洪岐;余冬梅
5.云计算环境下基于二维码的移动终端身份认证方案 [J], 马立林
因版权原因,仅展示原文概要,查看原文内容请购买。
基于电子商务商务的一种新的身份认证方法
摘要随着信息技术日新月异的发展,电子商务己逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动。
但电子商务的安全问题变得越来越突出,而电子商务安全的第一道防线就是身份认证,本文主要对电子商务安全中的身份认证方法做深入地分析和探讨。
本文首先对电子商务系统中的主要安全需求和架构进行了简单的介绍分析,并阐述了身份认证在电子商务中的意义。
其次对身份认证的现状进行了深入的分析和探讨,对其分类并找出了现存身份认证系统中的安全漏洞和不足。
最后提出一种新的身份认证解决方案,即双网路动态身份认证,设计了一种利用现有移动通信网络进行电子商务身份认证模式,并对这种模式进行了安全性和可行性分析,提出改进方案。
【关键词】电子商务电子商务安全身份认证双网路身份认证AbstractWith the rapid development of Information Technology, Electronic Commerce has become a new way for people to pursue commerce. But at the same time, the security problem of Electronic Commerce is becoming more and more obvious, and the first defense of Electronic Commerce security is identity authentication, so the thesis mainly analyzes and probes the technologies of identity authentication.Firstly, this thesis introduces and analyzes the main demand of security and structure of Electronic Commerce, and expounds the significance of identity authentication in Electronic Commerce. Secondly, it analyzes and probes the current state of identity authentication deeply, then sorts it and finds security leakage and deficiency. Lastly, the thesis gives a new solution to the identity authentication, namely double network dynamic identity authentication, and designs an EC identity authentication mode that uses current mobile communications network, and analyzes the security of this mode, and raises some improvement.【Key words】Electronic Commerce; Electronic Commerce security; Identity Authentication; Double Network Identity Authentication目录1 引言 (4)2 电子商务安全简述 (4)2.1电子商务的安全需求 (4)2.2电子商务安全的现状 (5)2.3电子商务的安全架构 (7)3 身份认证 (8)3.1电子商务中身份认证的意义 (8)3.2电子商务身份认证现状分析 (9)3.3网上银行的身份认证现状 (10)4 双网路动态身份认证 (11)4.1双网路动态身份认证的定义及运行机制 (11)4.2双网路动态认证与CA认证的比较 (13)4.3双网路动态认证方法的电子商务需求分析 (13)4.4双网路动态认证方法的安全性分析 (14)4.5双网路动态认证方法的劣势分析 (15)4.6双网路动态认证方法的可行性分析 (16)5 结论 (16)参考文献 (17)致谢 (18)基于电子商务的一种新的身份认证方法------双网路动态认证1 引言随着我国经济的持续高速发展,互连网的发展更是日新月异,网民的人数也早就突破1亿,在此基础上的电子商务在经过一阵低潮之后,又走上了高速轨道。
基于改进OTP的用户认证技术的研究与实现
基于改进OTP的用户认证技术的研究与实现
许正伟;程晓荣;王翠茹;马慧敏
【期刊名称】《计算机技术与发展》
【年(卷),期】2004(014)006
【摘要】随着网络应用的不断发展,网络安全问题也变得越来越重要,用户认证机制是安全防护机制之一,认证信息可以用来认证需访问系统的请求用户的合法性.文中分析了无须第三方认证的"一次性口令(OTP)"技术及其存在的安全漏洞,结合Kerberos认证机制优点,提出了将用户的通行密语用服务器的公钥加密后保存在数据库中,并在服务器种子信息中加入时间戳和服务器IP地址的改进OTP技术,提高了认证系统的安全性.
【总页数】3页(P109-110,114)
【作者】许正伟;程晓荣;王翠茹;马慧敏
【作者单位】华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003;华北电力大学,计算机科学与技术学院,河北,保定,071003
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.基于非对称密码算法的身份认证技术研究与实现 [J], 王开林;刘伯驹;崔鹏飞;王志宣
2.基于HOTP动态口令认证技术应用研究 [J], 刘坤
3.Android平台下基于OAuth2.0协议的三方认证技术研究与实现 [J], 徐丽仙
4.基于TePA视频监控身份认证技术的研究与实现 [J], 史庭俊;张颖杰;魏振宇
5.基于身份认证技术的统一认证系统研究与实现 [J], 邱素华
因版权原因,仅展示原文概要,查看原文内容请购买。
基于OTP的移动商务身份认证协议的仿真研究
基于OTP的移动商务身份认证协议的仿真研究安全、高效的移动商务身份认证协议是保证移动商务安全的必要条件。
本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA,文章通过与静态口令认证机制(简称EasyUID)和OTP的仿真比较,表明MCIA协议具备良好的性能。
关键词:静态口令OTP MCIA Opnet国内移动商务身份认证的实现多基于静态口令认证机制(Yang Mu,Zhang Runtong,2008),这种机制实现简单、易于操作。
但静态口令认证机制是一种单因子的认证技术,其安全性仅依赖于用户口令的保密性,一旦用户口令泄密,安全性则彻底丧失。
目前,国外无线身份认证研究的重点为无线公开密钥体系WPKI(Noureddine Boudriga,2009)(Wireless Public Key Infrastructure,简称WPKI)。
WPKI认证机制对承载设备的运算能力要求较高,并不十分适合计算能力受限的移动商务环境(Feilder,2004),同时,其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性(赵文、戴宗坤,2005),最重要的是国内尚无一家法律上承认的、权威的第三方认证机构—CA(Certification Authority,简称CA)中心,这些因素都限制了WPKI认证机制在国内的应用。
一次性口令认证机制(One-Time Password,简称OTP)采用一次一密的方法,可以有效保证用户身份的安全性,同时,其实现简单、成本低、无需第三方认证,是实现移动商务身份认证一个可行的选择。
但是,OTP易遭受小数攻击(顾韵华、刘素英,2007)、没有实现双向认证。
OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送,因此,如果采取密码体制对随机数及认证信息进行加密,必然给攻击者攻击带来巨大困难。
基于OTP的移动商务身份认证协议MCIA的设计(一)MCIA的设计思路椭圆曲线密码体制(Elliptic Curve Cryptosystem,简称ECC)是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制,其存储空间占用小、带宽要求低、计算量小和处理速度快(肖脩安,2006)等特点使其十分适合于移动商务环境。
浅析电子商务网站的身份认证技术
浅析电子商务网站的身份认证技术电子商务源于英文ELECTRONIC COMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,买卖双方不谋面地进行各种商贸活动。
随着电子商务的普及,人们已经习惯于网上购物,网上银行和电子支付等新兴事物,然而网络安全始终是制约电子商务发展的一个主要瓶颈。
一、电子商务的身份认证在电子商务活动中,由于所有的个人和交易信息要在一个开放的网络(如Internet)进行传输和交换,故我们需要身份认证技术去验证客户的身份。
身份认证一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态密码),客户有什么特征(如指纹,虹膜和脑电波等)。
国内外常见身份认证技术包括:用户名/密码方式、IC卡认证、USB Key认证和生物特征认证等。
随着网络和黑客技术的发展,用户名/密码方式认证已经被证明是不安全的。
由于静态的密码方案不能抵御重放攻击,字典攻击且密码容易忘记,所以其安全性是很低的,不能满足电子商务中身份认证的要求。
目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USB Key认证技术等)。
二、各种身份认证技术的比较1. 静态的用户名和口令方案。
在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论坛,BBS和电子信箱。
目前公司和个人受到网络攻击的主要原因是静态密码政策管理不善。
大多数用户使用的密码都是字典中可查到的普通单词、姓名或者其他简单的密码。
有86%的用户在所有网站上使用的都是同一个密码或者有限的几个密码。
最近一次全国性安全事件发生在2011年12月。
当时CSDN的安全系统遭到黑客攻击,600万用户的登录名、密码及邮箱遭到泄漏。
黑客在获取了CSDN的用户登录名和密码后,再用这个密码尝试登录注册邮箱,如果成功则利用很多网站常用的密码取回功能得到了该用户的其他关联网站的账号和密码。
电子商务平台移动支付安全技术的设计与实现
电子商务平台移动支付安全技术的设计与实现近年来,随着互联网的快速发展,电子商务平台的普及成为了越来越多人的生活方式。
与此同时,移动支付技术也得到了迅速的普及,这使得消费者能够利用手机等移动设备方便地完成支付。
然而,在移动支付的同时,支付安全也成为了一个非常重要的问题。
本文将探讨电子商务平台移动支付的安全技术设计与实现。
一、电子商务平台移动支付的发展与挑战随着移动互联网的飞速发展,电子商务平台也迎来了新的机遇与挑战。
移动支付在电子商务平台的应用已经成为一个基本的标配,方便了消费者的购物体验。
然而,随着电子商务平台交易量的增加,支付安全也成为了一种重要的需求和挑战。
电子商务平台需要考虑的东西很多,其中包括许多与支付相关的问题。
通过加强对移动支付技术的研发,电子商务平台可以增加支付的安全性、稳定性和可靠性。
同时,这也可以帮助消费者在使用移动支付时更加放心。
二、电子商务平台移动支付的安全技术电子商务平台移动支付的安全技术能够提高支付的安全性和可靠性,减少交易风险。
因此,多种技术措施被应用于电子商务平台的移动支付中。
1.密码安全密码是电子商务平台移动支付中保护账号信息的一种常用手段。
平台需要加密存储用户密码,并采用强密码规则限制密码强度,以保证用户账号的安全性。
2.双层验证双层验证是电子商务平台移动支付中一种常用的验证方式。
双层验证意味着需要输入两个不同的标识才能完成支付。
例如,在输入密码之后,需要输入一次性密码(OTP)以完成交易。
这样可以大大降低支付的风险,提高用户的信任度。
3.多因素认证多因素认证是一种增强电子商务平台移动支付安全性的方式。
多因素认证需要用户提供两个或多个不同的认证方式,以更好地保证账号的安全性。
例如,支付宝采用了两步骤验证,需要用户输入密码和短信验证码以完成交易。
4.内部安全协议电子商务平台对于支付流程的控制和安全保护极其重要。
一些平台采用了严格的内部安全协议,包括内部交易防范、账号安全检测和反欺诈技术等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于OTP的移动商务身份认证协议的设计与实现王秦1,X润彤(交通大学信息系统研究所,100044)摘要:国内移动商务身份认证主要采用基于用户名/口令的静态口令认证机制,这种方式易于实现且操作简单,但容易遭受攻击并且口令在无线传输中易被截获。
一次性口令(One-Time Password,简称OTP)认证机制可以实现一次一密,具备更高的安全性,同时,其实现简单、成本低、无需第三方公证,十分适合于受限的移动商务环境,但难以抵御小数攻击以及没有实现双向认证。
本文结合OTP认证机制和椭圆曲线密码体制提出一种基于OTP的移动商务身份认证协议MCIA,并利用仿真软件Opnet仿真实现MCIA协议,结果表明其适合于移动商务环境。
关键字:身份认证;一次性口令;MCIA;OpnetDesign and Implementation ofIdentity Authentication Protocol in Mobilemerce based on OTPWang Qin, Zhang Run-tong(Institute of Information System, BeijingJiaotongUniversity, Beijing 100044, China)Abtract:Presently, identity authentication in domestic mobile merce is mainly implemented by static password mechanism based on Userid/password. The method has some advantages, such as easier implementation and simpler operation. But its security is worse, which it is easily attacked, and its password is easily intercepted and seized in transmission process by wireless network. OTP (One-Time Password) authentication mechanism has higher security by one time padding. It is implemented simply, cost less and needed no third-party notarization,and so it is more suitable for limited mobile merce environment, but it couldn’t resist decimal attack and realize bidirectional authentication.bined OTP with Elliptic curve cryptosystem, it is presented a mobile merce identity authentication protocol based on OTP, named by MCIA protocol.The protocol is simulated through simulation software Opnet and it is suitable for mobile merce environment by simulation results. Key words:Identity authentication; One-Time Password; Mobile merce identity authentication; Opnet1引言随着移动商务的普及和应用,移动商务的安全性已成为人们关注的焦点。
身份认证是第1国家自然科学基金资助项目:移动商务系统中的身份认证研究(60773033)作者简介:王秦,男,XX省梨树县,1973年生,交通大学博士研究生,研究方向:移动商务身份认证,melonznsina.X润彤,男,XX省XX市,1963年生,交通大学教授,研究方向:信息安全、移动电子商务、网格计算等,.一道安全屏障,通信安全几乎总是始于身份认证的握手过程。
基于密码技术的认证协议是实现身份认证最安全的方式,因此,安全、高效的移动商务身份认证协议是保证移动商务安全通信的必要条件。
与传统商务相比,移动商务在身份认证的实现上具备一定的优势:首先,移动通信设备传输的信号为数字信号,便于进行加密处理;其次,由于移动用户和移动终端普遍为一对一,身份认证更易实现。
但是,移动商务实现身份认证也存在诸多薄弱环节,主要包括:一是开放的无线信道使移动商务传送的信息更易遭受窃听、干扰、篡改等攻击,这可能是移动商务最大的安全问题[1];二是与有线信道相比,无线信道带宽较小,容易产生信号的衰落、频移以及时延扩展,信道的误码率较高[2];三是与固定终端相比,移动终端在功能及资源上严重受限,如:计算能力弱、存储空间小、通信带宽窄和电源供应时间短等;四是移动终端本身不能提供足够的安全防护。
因此,移动商务身份认证协议的研究必须综合考虑上述因素,尤其重点考虑硬件资源上受限的移动终端。
2 研究现状二十世纪九十年代以来,国外提出了一些无线网络环境下的认证协议,如:TMN 协议、改进BCY 协议、Diffie Aziz -协议、Park 协议、Koc Sunar Aydos --协议和ASPeCT 协议[3]-[8]。
这些协议都能够实现身份认证,但同时也存在一些局限性,诸如:多数无线认证协议采用基于数字证书的身份认证机制,这需要具备完善的CA 认证体系;认证协议都是基于公钥密码体制实现数字签名,由于传统的公钥密码体制基本上通过大数计算实现加解密,造成认证协议的运算负载较高、耗时长且效率低下等问题;多数认证协议都考虑了无线链路中数据的XX 性和实体认证,但没有考虑移动用户的匿名性。
移动用户的匿名性指防止非法用户从认证协议的信息获取移动用户的相关信息[9]。
目前,国外无线身份认证研究的重点为无线公开密钥体系WPKI [10](Wireless Public Key Infrastructure ,简称WPKI )。
WPKI 将互联网电子商务中公开密钥体系PKI (Public Key Infrastructure ,简称PKI )的安全机制引入无线网络环境,是一套遵循既定标准的密钥及证书管理平台体系。
它使用公共密钥加密及开放标准技术构建可信的安全性架构,实现无线通信网络上的交易和安全通信鉴权。
WPKI 为基于无线通信网络的各类移动终端用户提供基于WPKI 体系的各种安全服务,可以实现数据传输中真正的端到端安全性、安全的用户识别及可信交易,保护数据传输的完整性和XX 性,而且能够实现交易参与方的不可抵赖,有效地建立安全的移动商务环境。
但也有专家认为:WPKI 认证机制对承载设备的运算能力要求较高,并不十分适合计算能力受限的移动商务环境[11],同时,其成本高昂、技术复杂、缺乏统一的标准和良好的互操作性[12],最重要的是国内尚无一家法律上承认的、权威的第三方认证机构——CA (Certification Authority ,简称CA )中心,这些因素都限制了WPKI 认证机制在国内的应用。
国内移动商务身份认证的实现多数基于简单的静态口令认证机制[13],这种方式实现简单、易于操作。
但静态口令认证机制是一种单因子的认证技术,其安全性仅依赖于用户口令的XX性,一旦用户口令泄密,安全性则彻底丧失。
一次性口令认证机制(One-Time Password,简称OTP)采用一次一密的方法,可以有效保证用户身份的安全性,同时,其实现简单、成本低、无需第三方认证,是实现移动商务身份认证一个可行的选择。
但是,OTP 认证机制易遭受小数攻击、没有实现双向认证。
OTP认证机制的安全隐患主要在于参与一次性口令生成的随机数以及口令认证信息均以明文方式传送,因此,如果采取密码体制对随机数及认证信息进行加密,必然给攻击者攻击带来巨大困难。
3基于OTP的移动商务身份认证协议MCIA的设计椭圆曲线密码体制是现有公钥密码体制中运算效率、安全性最高且无须第三方的体制,其存储空间占用小、带宽要求低、计算量小和处理速度快等特点使其十分适合应用于移动商务环境。
因此,本文结合OTP认证机制和椭圆曲线密码体制提出基于OTP的移动商务身份认证协议MCIA(Mobile merce Identity Authentication,简称MCIA)。
3.1MCIA协议的设计思路MCIA协议的设计思路如下:(1)将认证分成两级,一是客户端对用户身份的认证,二是客户端与服务器的双向身份认证;(2)使用椭圆曲线加密算法产生客户端、服务器端的公钥和私钥,较传统的公钥算法效率更高;(IMEI做为一次性因素的生成因子;(3)使用移动设备特征性标识)(4)利用哈希链构造一次性口令时加入服务计数,避免针对已知散列函数的小数攻击;(5)认证口令传输时,客户端和服务器端分别用对方的公钥加密,在另一方用私钥解密,避免了明文传输,且对随机因子进行了二次加密,提高了口令传输的安全性。
3.2MCIA协议的流程设计符号说明协议中描述的符号说明:C:参与认证的客户端S:用来认证的服务器端UID:用户注册提供的用户身份标识UPW:用户提供的口令,在注册时第一次提供,存储在客户端。
以后每次认证,用户都需提供正确的用户密码IMEI:移动设备的唯一标识(International Mobile Equipment Identity,简称IMEI),也称手机串号,IMEI做为客户端与服务器端的认证口令因子SID:服务器身份标识H代替()Hash:哈希函数,为了叙述简便,以下使用()||:连接符,表示两端的信息或文字进行连接ECC:服务器端生成的安全椭圆曲线密码系统的参数集UR K :用户公钥US K :用户私钥SR K :服务器公钥SS K :服务器私钥()E :加密过程()D :解密过程i :表示客户端第i 次登录Counter :服务器端的计算器i OTP :客户端登陆的一次性口令c N :客户端产生的随机数s N :服务器端产生的随机数3.2.1 注册阶段流程设计注册阶段完成用户的口令和密码选择、客户端和服务器端的公钥产生。
MCIA 协议利用ECC 进行第一次密钥分配和敏感信息的传输加密。
MCIA 协议的注册阶段流程如下:(1)S 初始化生成椭圆曲线,选取密钥对——SR K 和SS K ;(2)C 向S 发起注册请求;(3)S 将椭圆曲线系统参数集ECC 连同SR K 发送给C ;(4)C 存储SR K ,并根据安全椭圆曲线选取自己的密钥对UR K 和US K ;(5)C 输入UID 和UPW ,并存储UID 和)(UPW H ,向S 发送利用SR K 加密的UID 、)(UPW H 、IMEI 以及UR K ,即),),(,(UR k K IMEI UPW H UID E SR ;(6)S 接收),),(,(UR k K IMEI UPW H UID E SR ,利用SS K 做)),),(,((UR k K K IMEI UPW H UID E D SR SS 运算,得到UID 、)(UPW H 、IMEI 和UR K 。