移动商务应用中认证技术.docVIP

移动商务应用中认证技术 　　移动商务又称为下一代电子商务，是指使用移动设备进行电子交易和互动的一种行为。越来越多的商家开始通过用户的移动设备提供电子交易服务，而这一切如果没有智能手机的出现是不可能实现的。智能手机为移动商务提供了小型的浏览器和相关的安全服务（例如，证书、加密等），而且，手机一般和用户寸步不离且很少关机，这就使得移动商务对企业而言非常诱人。当今，移动商务已经成为一种商业模式，成为增加企业核心竞争力的手段之一。 　　近些年推出的很多产品和服务都在使用移动商务，包括从基本的移动营销到要求高度安全级别的支付类应用。现在很多金融交易都离不开移动支付作为中间环节。爱立信作为电信行业的巨头同时也是移动支付领域的佼佼者，估计截至2015年移动支付行业会创造20亿欧元的利润和600亿欧元的营业额。 　　移动商务依托智能手机为企业提供了新的机遇，并且为用户提供了随时随地在线交易的途径。但是，我们不能忽视随之而来的安全问题。例如，移动商务的认证问题，安全金融交易的实现问题等。 　　一、移动商务安全现状分析 　　移动设备上的病毒和传统计算机病毒在行为方式上是一致的，都具有传染性；不同之处是其适应性，移动设备上的病毒在往往专门为某一种运行环境设计的，例如塞班操作系统、IOS等，这些病毒一般通过蓝牙或者短信传播。在过去十年间，有超过200种有关移动设备的安全威胁被发现，这些威胁几乎都与特定的机器设备有关。例如，塞班操作系统被报道出来的病毒明显多于其他操作系统。可以肯定的是，安全威胁的数量和移动设备的复杂性成正比。 　　为了扩大消费群体和提供更大的便捷性，越来越多的商业交易都有了自己的移动平台，这些平台或者应用的推出除了吸引更多的用户外，同时也引起了黑客的注意；可以预见，在未来一段时间内，移动设备遭受攻击的案例会越来越多。当然，移动设备生产厂商也不会坐以待毙；例如，苹果公司在其IOS操作系统中通过实施某些安全策略，限制未经许可的程序安装在它们的平台上，从而在一定程度上保证用户系统的安全；但黑客们也已经开发出某些程序，???些程序可以绕过这些安全机制，让用户随心所欲的安装软件（这一行为称之为“越狱”），这些软件很有可能存在被黑客利用的漏洞。本文接下来将探讨移动商务中如何进行访问控制。 　　二、移动商务认证技术 　　1.双因素认证。简单来说，双因素身份认证是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。在移动商务领域，其中一个因素是智能手机，另一个因素是密码，只有两者结合才能认证。认证过程需要手机产生一个动态密码（OTP），或者使用短信获得一个远程服务器产生的OTP，然后配合已有密码同时输入到系统中，只有两者皆正确，才能完成认证。这样的话，即使用户已知的密码被泄露也不用担心系统被入侵了，这比传统的单因素认证要安全的多。 　　现如今，双因素认证系统被广泛使用。例如，使用中国银行网银系统付款时需要同时输入口令牌中的动态密码和由短信接收的密码，两者缺一不可。有的银行使用动态令牌卡和动态密码也可以实现安全交易。 　　2.单点登录认证。一般来说，用户对多个应用会建立若干个账号来访问，例如，邮箱账号、QQ账号、办公系统的账号等。用户需要记住不同的用户名和密码组合才能访问这些应用。单点登录机制（SSO）只需要通过用户的一次性鉴别登录，即可获得需访问系统和应用软件的授权，也就是说，用户不需要为每个应用逐一认证，只用认证一个应用即可。至于应用程序之间如何认证，用户不用介入。这种服务现在也被广泛的使用，例如现在可以使用QQ帐号登录很多论坛，用户只需要授权该论坛有验证QQ帐号密码的权限即可。 　　这种服务虽然方便了用户，但如果某个帐号被窃取了，单点登录机制会导致该用户的多个应用都有被盗用的危险。特别是有些应用程序安全级别较低，黑客可能会通过取得这些程序的权限来达到获取高安全级别应用权限的目的。 　　3.强认证。强认证引入了移动电话充当认证的令牌，取代了传统的硬件令牌。传统方式下，企业需要维护成百上千个硬件令牌用于认证，这样付出的代价是相当高的；而且，用户也需要随身携带一个硬件令牌随时进行认证，这样给用户造成了很大不便。强认证使用手机作为动态密码的发生器，解决了上述不便；而且，使用手机还可以实现上面描述的双因素认证。 　　4.社交认证。加拿大麦吉尔大学的两位研究员在一份研究报告中建议，在已有的双因素认证再添加一个社交认证因素可以增加系统的安全性，该因素来源于某个人所属的社交网络，比如他所认识的朋友或亲人。全球最大的社交网站Facebook实践了这一应用，当系统接收到从国外发送来的登录请求时，用户被要求回答本人相册中三张照片里某个人的姓名，一般情况下，陌生人是不认识用户的朋友的，从而系统抵御了这类人的攻击；但是，如果用户的系统遭到他朋