■高 敏 葉 晰 溫州醫(yī)學(xué)院信息與工程學(xué)院

隨著電子商務(wù)迅速的發(fā)展，網(wǎng)上交易成為一個新興的購物方式，使得傳統(tǒng)的商店與行銷環(huán)境受到?jīng)_擊。網(wǎng)上交易有著快捷，方便和足不出戶等優(yōu)點，但即使在網(wǎng)絡(luò)技術(shù)日新月異和飛速發(fā)展的今天，網(wǎng)絡(luò)安全仍然是制約電子商務(wù)發(fā)展的一個主要瓶頸。目前部分大型電子商務(wù)網(wǎng)站和中國銀行采用了的動態(tài)電子口令牌來驗證用戶的身份。但對于大部分中小型電子商務(wù)網(wǎng)站來講，使用電子口令牌的成本太高，推廣起來有一定的難度。而軟件口令牌的實現(xiàn)無需購買任何硬件，故基于軟件口令牌的動態(tài)口令認證技術(shù)方案能解決的當前中小型電子商務(wù)網(wǎng)站身份認證的燃眉之急。

一、傳統(tǒng)的靜態(tài)口令身份認證方案的安全隱患

由于電子商務(wù)活動買賣雙方的個人信息和交易信息進行傳輸和交換的載體是一個開放的網(wǎng)絡(luò)（如Internet），故在交易之前我們必須確認交易雙方的真實身份。目前大部分網(wǎng)站使用的是基于靜態(tài)密碼的身份驗證技術(shù)，但大多數(shù)用戶沒有定期變換靜態(tài)密碼的習(xí)慣，而且往往采用一些常用詞組或者生日等簡單數(shù)字作為靜態(tài)密碼，故靜態(tài)密碼方案已經(jīng)不能很好的抵御字典攻擊和重放攻擊，所以其安全性比較低，不能很好滿足當前電子商務(wù)中身份驗證的需求。

二、客戶證書U盾（USB Key）方案

目前國內(nèi)幾大商業(yè)銀行，如交通銀行、農(nóng)業(yè)銀行和工商銀行等都采用了U盾方案。使用該方案時，黑客如果竊取了用戶的密碼，則黑客可登錄進用戶銀行帳號并瀏覽各種賬戶信息，但如要進行一些轉(zhuǎn)賬，外匯買賣等敏感操作時，則必須插入U盾進行身份的再驗證。U盾方案的優(yōu)點是安全性很強，但U盾使用前需要安裝驅(qū)動（或下載一些插件），由于計算機操作系統(tǒng)眾多（如目前流行的Windows XP、Windows 7、Windows 8以及各種Linux版本操作系統(tǒng)），故客戶在安裝時常常會因為一些兼容性問題而安裝失敗，這大大降低了客戶使用滿意度。此外U盾的發(fā)布涉及到了硬件實體，故其實施成本較高，某些商業(yè)銀行會因此向客戶收取一定的費用，這也進一步限制了U盾方案的推廣。

三、動態(tài)口令認證方案

動態(tài)口令又稱為一次性口令，其特點是每個登錄口令只使用一次，竊聽者即使竊聽成功，但也無法用竊聽到的口令來做下一次登錄?；谲浖诹钆频膭討B(tài)口令認證方案的實施步驟如下：

1.首先用戶在注冊時要選擇自己的動態(tài)口令生成類型為軟件口令牌用戶，并輸入需要輸入運行該軟件口令牌的計算機的網(wǎng)卡MAC地址，由于每張網(wǎng)卡的MAC地址是全球唯一的，這也體現(xiàn)了用戶信息的唯一性。系統(tǒng)服務(wù)器把用戶的MAC地址信息存放在用戶信息數(shù)據(jù)庫中，并按照一定的算法生成軟件口令牌并發(fā)放給用戶（可通過網(wǎng)頁直接下載或電子郵件附件形式發(fā)放）。由于軟件口令牌運行時會直接讀取本地網(wǎng)卡MAC地址信息并作為被加密因子之一，而網(wǎng)卡MAC地址是全球唯一的，故即使黑客竊取了該軟件口令牌也無法在非注冊機器上得到正確的動態(tài)口令。

2.用戶收到系統(tǒng)發(fā)來的軟件口令牌后，直接點擊運行就可以得到當時（精確到分鐘）的動態(tài)口令。當然如果用戶需要，也可為該軟件設(shè)置啟動密碼，這樣可防止同機操作的其他人員使用該軟件。

動態(tài)口令的安全性主要由單向散列函數(shù)在計算上的不可逆性來保證。常用的單向散列函數(shù)包括：MD4，MD5，SHA-1，SHA-256 和SHA-512等。由于MD4和MD5的安全性已經(jīng)受到人們的質(zhì)疑，而SHA-256和SHA-512的計算量偏大，故最終本項目選擇了SHA-1作為產(chǎn)生動態(tài)口令的單向散列函數(shù)。此外根據(jù)不確定因素的選擇方式，動態(tài)口令可以分為：時間同步機制、事件同步機制和挑戰(zhàn)/應(yīng)答機制。這幾種實現(xiàn)動態(tài)口令的技術(shù)各有優(yōu)缺點，最終我們選取了國際上較通用且實現(xiàn)相對簡單的基于時間同步的機制來產(chǎn)生動態(tài)口令。圖為軟件口令牌運行的效果圖。

軟件口令牌運行效果圖

為了驗證本方案的平臺兼容性和可移植性，我們分別用VB，C#，VB.net,C++,C和Java等編程語言實現(xiàn)了OTP生成算法，并在Windows和Linux操作系統(tǒng)環(huán)境下調(diào)試通過。這有效的保證本方案可兼容絕大部分主流設(shè)備和系統(tǒng)，但由于計算機軟件的多樣性，我們無法仍保證本方案可運行于所有軟件環(huán)境下。比如跟絕大多數(shù)認證技術(shù)一樣，本技術(shù)可兼容微軟IE瀏覽器，但無法在Firefox（火狐瀏覽器），chrome(谷歌瀏覽器)和Safari（蘋果公司瀏覽器）等非主流瀏覽器中運行。要兼容所有的瀏覽器需要大量人力和物力對各種瀏覽器的原理進行研究，即使是諸如中國銀行，工商銀行等大型企業(yè)的網(wǎng)上銀行業(yè)務(wù)目前也只能保證兼容IE瀏覽器。

四、結(jié)束語

作為一種全新的商務(wù)活動，電子商務(wù)很大程度上改變了人們的生活方式，然而電子商務(wù)的安全性問題卻始終是信息技術(shù)工作者揮之不去的夢魘。本文簡單闡述了基于軟件口令牌的動態(tài)口令技術(shù)的實現(xiàn)方案，該技術(shù)可以與目前流行的各種電子商務(wù)系統(tǒng)無縫融合，并可有效的解決靜態(tài)密碼易被攻破和易泄露問題，從而提高了電子商務(wù)活動的安全性。

李傳目.一次性口令技術(shù)的研究[J].集美大學(xué)學(xué)報(自然科學(xué)版),2003,8(2):160-163