新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

摘 要：本文分析了當(dāng)前電子商務(wù)活動存在的安全隱患，簡單說明了動態(tài)口令技術(shù)的原理，并闡述了基于軟件口令牌技術(shù)的電子商務(wù)身份認(rèn)證系統(tǒng)的設(shè)計(jì)方案。該身份認(rèn)證方案的應(yīng)用可有效的解決靜態(tài)密碼易泄露和易被攻破的問題，從而提高了電子商務(wù)活動的安全性。
　　關(guān)鍵詞：電子商務(wù) 軟件口令牌 身份認(rèn)證 網(wǎng)絡(luò)安全 動態(tài)口令
　　隨著電子商務(wù)迅速的發(fā)展，網(wǎng)上交易成為一個新興的購物方式，使得傳統(tǒng)的商店與行銷環(huán)境受到?jīng)_擊。網(wǎng)上交易有著快捷，方便和足不出戶等優(yōu)點(diǎn)，但即使在網(wǎng)絡(luò)技術(shù)日新月異和飛速發(fā)展的今天，網(wǎng)絡(luò)安全仍然是制約電子商務(wù)發(fā)展的一個主要瓶頸。目前部分大型電子商務(wù)網(wǎng)站和中國銀行采用了的動態(tài)電子口令牌來驗(yàn)證用戶的身份。但對于大部分中小型電子商務(wù)網(wǎng)站來講，使用電子口令牌的成本太高，推廣起來有一定的難度。而軟件口令牌的實(shí)現(xiàn)無需購買任何硬件，故基于軟件口令牌的動態(tài)口令認(rèn)證技術(shù)方案能解決的當(dāng)前中小型電子商務(wù)網(wǎng)站身份認(rèn)證的燃眉之急。
　　一、傳統(tǒng)的靜態(tài)口令身份認(rèn)證方案的安全隱患
　　由于電子商務(wù)活動買賣雙方的個人信息和交易信息進(jìn)行傳輸和交換的載體是一個開放的網(wǎng)絡(luò)（如Internet），故在交易之前我們必須確認(rèn)交易雙方的真實(shí)身份。目前大部分網(wǎng)站使用的是基于靜態(tài)密碼的身份驗(yàn)證技術(shù)，但大多數(shù)用戶沒有定期變換靜態(tài)密碼的習(xí)慣，而且往往采用一些常用詞組或者生日等簡單數(shù)字作為靜態(tài)密碼，故靜態(tài)密碼方案已經(jīng)不能很好的抵御字典攻擊和重放攻擊，所以其安全性比較低，不能很好滿足當(dāng)前電子商務(wù)中身份驗(yàn)證的需求。
　　二、客戶證書U盾（USB Key）方案
　　目前國內(nèi)幾大商業(yè)銀行，如交通銀行、農(nóng)業(yè)銀行和工商銀行等都采用了U盾方案。使用該方案時，黑客如果竊取了用戶的密碼，則黑客可登錄進(jìn)用戶銀行帳號并瀏覽各種賬戶信息，但如要進(jìn)行一些轉(zhuǎn)賬，外匯買賣等敏感操作時，則必須插入U盾進(jìn)行身份的再驗(yàn)證。U盾方案的優(yōu)點(diǎn)是安全性很強(qiáng)，但U盾使用前需要安裝驅(qū)動（或下載一些插件），由于計(jì)算機(jī)操作系統(tǒng)眾多（如目前流行的Windows XP、Windows 7 、Windows 8 以及各種Linux版本操作系統(tǒng)），故客戶在安裝時常常會因?yàn)橐恍┘嫒菪詥栴}而安裝失敗，這大大降低了客戶使用滿意度。此外U盾的發(fā)布涉及到了硬件實(shí)體，故其實(shí)施成本較高，某些商業(yè)銀行會因此向客戶收取一定的費(fèi)用，這也進(jìn)一步限制了U盾方案的推廣。
　　三、動態(tài)口令認(rèn)證方案
　　動態(tài)口令又稱為一次性口令，其特點(diǎn)是每個登錄口令只使用一次，竊聽者即使竊聽成功，但也無法用竊聽到的口令來做下一次登錄?；谲浖诹钆频膭討B(tài)口令認(rèn)證方案的實(shí)施步驟如下：
　　1.首先用戶在注冊時要選擇自己的動態(tài)口令生成類型為軟件口令牌用戶，并輸入需要輸入運(yùn)行該軟件口令牌的計(jì)算機(jī)的網(wǎng)卡MAC地址，由于每張網(wǎng)卡的MAC地址是全球唯一的，這也體現(xiàn)了用戶信息的唯一性。系統(tǒng)服務(wù)器把用戶的MAC地址信息存放在用戶信息數(shù)據(jù)庫中，并按照一定的算法生成軟件口令牌并發(fā)放給用戶（可通過網(wǎng)頁直接下載或電子郵件附件形式發(fā)放）。由于軟件口令牌運(yùn)行時會直接讀取本地網(wǎng)卡MAC地址信息并作為被加密因子之一，而網(wǎng)卡MAC地址是全球唯一的，故即使黑客竊取了該軟件口令牌也無法在非注冊機(jī)器上得到正確的動態(tài)口令。
　　2.用戶收到系統(tǒng)發(fā)來的軟件口令牌后，直接點(diǎn)擊運(yùn)行就可以得到當(dāng)時（精確到分鐘）的動態(tài)口令。當(dāng)然如果用戶需要，也可為該軟件設(shè)置啟動密碼，這樣可防止同機(jī)操作的其他人員使用該軟件。
　　動態(tài)口令的安全性主要由單向散列函數(shù)在計(jì)算上的不可逆性來保證。常用的單向散列函數(shù)包括： MD4，MD5，SHA-1，SHA-256和SHA-512等。由于MD4和MD5的安全性已經(jīng)受到人們的質(zhì)疑，而SHA-256和SHA-512的計(jì)算量偏大，故最終本項(xiàng)目選擇了SHA-1作為產(chǎn)生動態(tài)口令的單向散列函數(shù)。此外根據(jù)不確定因素的選擇方式，動態(tài)口令可以分為：時間同步機(jī)制、事件同步機(jī)制和挑戰(zhàn)/應(yīng)答機(jī)制。這幾種實(shí)現(xiàn)動態(tài)口令的技術(shù)各有優(yōu)缺點(diǎn)，最終我們選取了國際上較通用且實(shí)現(xiàn)相對簡單的基于時間同步的機(jī)制來產(chǎn)生動態(tài)口令。圖為軟件口令牌運(yùn)行的效果圖。
　　為了驗(yàn)證本方案的平臺兼容性和可移植性，我們分別用VB，C#，VB.net， C++， C和Java等編程語言實(shí)現(xiàn)了OTP生成算法，并在Windows和Linux操作系統(tǒng)環(huán)境下調(diào)試通過。這有效的保證本方案可兼容絕大部分主流設(shè)備和系統(tǒng)，但由于計(jì)算機(jī)軟件的多樣性， 我們無法仍保證本方案可運(yùn)行于所有軟件環(huán)境下。比如跟絕大多數(shù)認(rèn)證技術(shù)一樣，本技術(shù)可兼容微軟IE瀏覽器，但無法在Firefox（火狐瀏覽器），chrome （谷歌瀏覽器）和Safari（蘋果公司瀏覽器）等非主流瀏覽器中運(yùn)行。要兼容所有的瀏覽器需要大量人力和物力對各種瀏覽器的原理進(jìn)行研究，即使是諸如中國銀行，工商銀行等大型企業(yè)的網(wǎng)上銀行業(yè)務(wù)目前也只能保證兼容IE瀏覽器。
　　四、結(jié)束語
　　作為一種全新的商務(wù)活動，電子商務(wù)很大程度上改變了人們的生活方式，然而電子商務(wù)的安全性問題卻始終是信息技術(shù)工作者揮之不去的夢魘。本文簡單闡述了基于軟件口令牌的動態(tài)口令技術(shù)的實(shí)現(xiàn)方案，該技術(shù)可以與目前流行的各種電子商務(wù)系統(tǒng)無縫融合，并可有效的解決靜態(tài)密碼易被攻破和易泄露問題，從而提高了電子商務(wù)活動的安全性。