WAP移动电子商务动态口令认证系统研究与实现.pdfVIP

WAP 移动电子商务动态口令认证系统研究与实现 马瑞东，邹俊伟 北京邮电大学电子工程学院，北京 (100876) E-mail：ruidongma@126.com 摘 要：本文介绍了两种常用的动态口令实现方案，并对这两种方案进行了简要分析，在此 基础上，针对基于WAP 网络的移动电子商务系统，提出了一种以手机STK 卡作为电子令牌 的动态口令认证服务系统的实现方案。最后对此系统的安全性和主要优点进行了分析，说明 该系统具有一定实用价值。 关键词：动态口令，WAP 中图分类号：TP393.08 1．引言 近年来，随着移动通信与计算机、互联网等技术的结合，移动电子商务应运而生，如手 机银行、股票交易等。WAP(Wireless Application Protocol ，无线应用协议)是开展移动电子商 务的核心技术之一。通过WAP 网络，手机可以随时随地、方便快捷地接入因特网，真正实 [1] 现不受时间和地域约束的移动电子商务 。 但是同时，移动电子商务也存在着一些严重的安全隐患，如果不能有效地解决网络安全 问题,必然影响对WAP 网络的更深层次的应用。网络的安全系统是一个复杂的体系,其中身份 验证是信息安全体系的重要组成部分，它是保护信息系统安全的第一道屏障。 传统的身份验证模式是用户提供用户名和密码交给服务器验证，即静态口令验证。但这 种方式存在着易窃取，易暴力破解等固有的缺陷。为解决静态口令的不足之处，安全专家提 出了动态口令方案，即一次性口令（OTP，One-Time Password ）方案。OTP方案即用户每次 [2] 登录系统的口令都是不同的 。 针对基于WAP 网络的移动电子商务系统的安全登录问题，本文提出了一种动态口令身 份认证的实现方案。 2 ．常用OTP方案分析 动态口令的产生因子一般都为双运算因子：一、代表用户身份的识别码，这是确定的。 二、不确定因子。根据不确定因子的不同，有几种常用的实现方案[3]，这里简要介绍如下两 种。 2.1 时间同步(Time Synchronization)方案 以用户登录的时间作为不确定因子，根据当前时间和用户的识别码可以动态生成一个 OTP 。用户需要访问系统时，将此动态口令传送到认证服务器。服务器根据用户的识别码和 当前时间计算出当前口令值，对用户进行验证。这种方案对双方时间同步的要求较高，而数 据的传输和处理会有一定的延时，所以一般采取以分钟为单位的折中办法。当时间误差超过 允许值时，正常用户的登录也会认证失败。另外该方案一般要有时间同步令牌（token ）这 类特殊硬件的支持。 2.2 挑战/应答(Challenge/Response)方案 以服务器随机产生的数字序列（即挑战码）作为不确定因子，根据此数字序列及用户识 -1- 别码动态生成一个OTP 。该方案具有很高的安全性，但是一般需要特殊硬件(挑战/应答令牌) 的支持，每个用户都持有相应的挑战/应答令牌，令牌内置用户的识别码和加密算法。当用 户访问系统时，服务器随机生成一个挑战码，用户将其输入到挑战/应答令牌，从而计算出 本次登录的口令。 上述两种方案一般都需要特殊硬件（电子令牌）的支持，一方面，增加了方案的实现成 本，另一方面，用户需要随身携带额外的设备，给用户带来了不便。 3 ．一种基于STK卡的动态口令认证系统设计 为解决以上问题，本文提出了一种以手机STK （SIM Tool Kit，SIM 卡应用开发工具） 卡代替电子令牌，进行口令验证的OTP 实现方案。系统结构如图1 所示。 图1 WAP 移动电子商务动态口令认证服务系统体系结构 3.1 注册过程 服务商提供给注册用户一张手机STK 卡，此卡内置了一次性口令（OTP ）的生成算法、 功能菜单（此菜单主要包