基于时间同步的动态口令身份认证技术应用研究.docVIP

　　基于时间同步的动态口令身份认证技术应用研究 　　摘 要： 电子 商务交易过程中客户最担心的是安全性问题。主要针对电子商务交易过程中普遍存在的身份认证安全问题提出了基于时间同步的动态口令身份认证技术，并给出了具体身份认证实现的过程。该技术的主要优点是口令是动态一次性的并且操作简单、单向数据传输、可以防止重放攻击等。 　　关键词：时间同步；动态口令；电子商务 　　0 前言 　　 　　 计算 机技术的 发展 和 网络 的普及，使得电子商务应运而生，电子商务是指交易当事人或参与人利用 现代 信息技术和互联网所进行的各类商业活动，包括货物贸易、服务贸易和知识产权贸易等。随着互联网的迅猛发展，加上多媒体与通讯条件的逐渐成熟，电子商务活动越来越普遍。 　　 　　1 我国电子商务发展现状 　　 　　网络购物是互联网作为网民实用性工具的重要体现，随着我国整体网络购物环境的改善，网络购物市场的增长趋势明显。目前的网络购物用户人数已经达到6329万人，有25.0%的网民青睐网上购物，跻身十大网络应用之列。而近半年我国网络购物变化情况如下表： 　　 　　比较国外的发展状况，韩国网民的网络购物比例为57.3%，美国为66%。均高于我国网络购物的使用率，我国应着力推动电子商务的发展。 　　根据 中国 互联网发展信息中心的最新有关互联网的发展状况调查报告，网民不愿意进行电子商务交易的主要原因为担心交易安全问题。调查显示只有25.1%的网民表示对电子商务交易安全的可信，而74.9%的网民则表示不可信。因此迫切需要解决电子商务交易中的安全问题。 　　 　　2 身份认证技术 　　 　　 电子商务交易过程中的安全性问题体现在很多的方面，比如物理网络的安全、计算机的安全、密码的安全等。这里我们最关心的莫过于交易过程中身份认证的密码安全。电子商务的身份认证采用最多的就是静态口令的“用户名＋密码”的方式，这是最为传统的方式，现在很多领域还在沿用。用户名是用户的惟一标识，而密码则是用来保障登录的用户是其本人。但是，在木马和病毒横行无忌的今天，这种基于静态口令的身份认证技术已经暴露出了许多弊端。因此，产生了动态口令身份认证技术。 　　 动态口令（Dynamic Passe Passe Synchronous）认证技术、基于事件同步（Event Synchronous）认证技术和挑战/应答方式的非同（Challenge/Response Asynchronous）认证技术。在其他许多 　　4 基于时间同步的动态口令身份认证技术 　　 　　基于时间同步认证技术是把时间作为变动因子，一般以60秒作为变化单位。用户在进行 电子 商务交易过程中，需要进行身份认证并访问身份认证系统时，整个过程如下图所示： 　　 　　（1）用户端首先向应用服务器提出认证申请。用户端提出申请的主要目的是要与应用服务器进行时间同步。此时应用服务器应该安装相应的NTP服务器端软件，并且当用户端提出申请后，服务器端应该以插件的形式在用户端安装相应的NTP客户端软件。当用户提出认证申请后，双方使用NTP协议进行时间同步。即使在广域网的环境下，NTP的时间同步精度也能够达到数十毫秒，完全可以满足动态口令身份认证的要求。需要说明的是，应用服务器与认证服务器之间也必须进行时间同步，这样才能保证用户端与认证服务器的时间同步。 　　（2）用户端根据当前时间连同用户信息（如用户ID，输入的口令等）生成的动态口令传送到应用服务器，应用服务器请求认证服务器对客户的身份的合法性和真实性进行认证。 　　（3）认证服务器调用客户信息，产生与客户信息和时间相关的随机序列，并与客户输入的口令进行比对，判别客户身份的合法性和真实性。 　　（4）认证服务器将认证结果报告给应用服务器。 　　（5）应用服务器根据客户身份的合法性和真实性反馈给客户终端，并决定可以提供服务或拒绝服务。 　　 　　5 结语 　　 　　本文论述的这种基于时间同步的动态口令身份认证技术的优点为：动态口令一次性使用；操作简单；单向数据传输，只需用户向服务器发送口令数据，而服务器无需向用户回传数据；可以防止重放攻击，所谓重放攻击就是指 网络 黑客截获客户端传输给服务器的网络数据包后，到其它网络终端上重新向服务器发出该网络数据包从而获得服务器的认证。而时间交流中加入了系统时间信息，通过重放后传输到服务器的数据包由于时间差距而不能得到认证。而且整个认证过程只需与服务器交流一个来回，比服务器主动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一致的系统时间才能确保时间交流认证正确，所以网络中要维护一台时间服务器。 　　本方法主要的缺点是用户端需要和应用服务