电子支付认证技术分析和比较.docVIP

电子支付认证技术分析和比较 　　[摘 要] 身份认证是属于信息安全服务中的识别与鉴别服务范畴，它主要由加密、口令、身份识别与鉴别、数字证书和数字签名等安全机制所组成。身份认证在信息安全中极为重要，它是保护一个信息系统的安全大门是把好信息系统安全的第一道关。所以，很多系统特别是军事、金融、保险、电子商务、电子交易支付和电子政务系统中已广泛应用身份认证机制。本文通过分析当前几种支付认证技术的特点和原理，对其优劣进行了比较。 　　[关键词] 电子支付；身份识别；识别与鉴别；数字证书；数字签名；USBKey 　　【中图分类号】 TP393 【文献标识码】 A 【文章编号】 1007-4244（2013）12-324-2 　　一、前言 　　随着社会进步，电子商务作为全球商务发展的趋势，将给全球的经济带来深刻的影响，所以研究电子商务的安全问题显得尤为重要，电子支付认证技术是电子商务系统的重要组成部分。 　　身份认证作为网络安全的第一道防线，是安全的网络系统门户。它通常采用各种先进技术，对网络事务中所涉及到的各方进行身份鉴别，防止身份欺诈，保证事务参与各方身份的真实性，从而保证系统和数据的安全以及授权访问者的合法权益。随着网络应用的深入化和网络攻击手段的多样化，口令认证技术不断发生变化，产生了各种各样的新技术。近些年来，我国的电子政务、电子商务以及重点行业的信息系统广泛采用了身份认证技术，在保障信息系统的安全方面发挥了十分重要的作用。电子商务活动场所是虚拟空间，没有面对面地交换、确认场景，如何安全可靠地解决支付问题就显的尤为重要。 　　二、 几种电子支付认证方式的分析 　　（一）口令加ID。口令（Password）是最简单、最方便的身份认证机制。但是，它却是保密强度最弱，容易被攻破。这种认证方式没有数字签名的功能。所以不适应于大额交易，也不具备法律仲裁的功能。因此，这种身份认证方式，目前在金融界已逐渐被淘汰。 　　（二）动态一次性口令。动态一次性口令分两种方式，一是采用动态一次性口令“刮刮卡”；二是 OTP 动态令牌（Token）口令。 　　1.一次性动态口令“刮刮卡”。一次性口令“刮刮卡”（俗称“刮刮乐”），它是一次一密。这种认证方式有两个弊端，一是作为经常在网上交易的人来说，几天就要去柜台领取一个卡片，因为它只有40 个随机密码，有的网上交易频繁的客户可能不到一个月就得去银行再办卡，对客户极为不便。二是该口令不具备数字签名的功能，交易额受限，按人民银行《电子支付指引（一）》要求这种不使用数字签名的网上交易最多一笔只能交易一千元，所以它是受到电子签名法的限制的。 　　2. OTP动态令牌（Token）。这种 OTP 动态令牌（Token）卡原理有三种：一是基于时间的；二是基于事件的；三是基于挑战/应答的。每次用户使用OTP 登录系统，口令是静态的，是变化的随机数，它来源于产生密码的运算因子。 　　（1） 基于时间同步（Time Synchronous）OTP认证技术 　　（2） 基于事件同步（Even Synchronous）认证技术 　　（3） 挑战/应答异步认证技术 　　但OTP 令牌不具备电子数字签名的机制。 　　（三）数字证书认证方法。电子数字证书是 PKI 中核心组成部分 CA 所颁发，CA 是互联网上的“公安局”或“派出所”，他向具有一定信用资格的网民颁发网上身份证书，用以证明其网上的真实身份，即平常人们简称的数字证书。数字证书是符合 X.509 标准的。其结构主要有序列号、ID、姓名、有效期和该证书的公钥标识。所以，有时人们将其称为公钥的载体或公钥证书。数字证书是公钥的载体，它对应着一个私钥，公钥私钥成对存在，通信时用公钥加密，用私钥解密；签名时用私钥加密用公钥解密。当然不能用公钥加密又用公钥解密，反之亦然。数字证书按其存放的介质，可分为文件证书、USBKey 证书、指纹证书和高端数字证书。 　　1.文件证书。所谓文件证书，即将证书存放在浏览器的硬盘中，以一个文件形式存在，这样用户操作简单。但是，有时这种存放是致命的。因为黑客通过各种方式将木马程序植入你的浏览器就可以把你的证书文件全部窃取，其中包括口令、公钥和私钥。这样就等于让黑客去操作你的账号，窃取你的资金。 　　2.USBKey证书。USBKey 的产生是对 PKI 的发展，它大大地简化了数字证书的产生和应用。USBKey 是由一种 IC 智能芯片所制成，内置操作系统 COS 和各种密码算法，如：非对称算法 RSA、对称算法 DES、密码杂凑函数 MD5及 SHA-1等等。因此，公私密钥对可在卡中产生，私钥不出卡，也不可以拷贝；公钥通过安全协议进行 CA 申请产生证书，然后又通过安全协议下载到 USBKey 中，公私钥对不能裸跑，要