移動(dòng)網(wǎng)絡(luò)中電子商務(wù)動(dòng)態(tài)口令認(rèn)證系統(tǒng)研究與實(shí)現(xiàn)

摘要：本文介紹了兩種常用的動(dòng)態(tài)口令實(shí)現(xiàn)方案，并對(duì)這兩種方案進(jìn)行了簡(jiǎn)要分析，在此基礎(chǔ)上，針對(duì)基于W A P網(wǎng)絡(luò)的移動(dòng)電子商務(wù)系統(tǒng)，提出了一種以手機(jī)S T K卡作為電子令牌動(dòng)態(tài)口令認(rèn)證服務(wù)系統(tǒng)的實(shí)現(xiàn)方案。最后對(duì)此系統(tǒng)的安全性和主要優(yōu)點(diǎn)進(jìn)行了分析，說(shuō)明系統(tǒng)具有一定實(shí)用價(jià)值。

關(guān)鍵詞：動(dòng)態(tài)口令；WAP

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1005-6432(2008)36-0070-02

One-Time Password Authentication System Designedfor Mobile E-commerce Based on Mobile Network

He Tonghui Sun Jian Miao Bin

(Hebei Software Technology and Vocational College;Huabei Power University)

Abstract: The paper analyzes two kinds of one-timepassword schema in brief and then introduces a one-timepassword authentication system， which can be applied in thedomain of mobile e-commerce based on WAP network. At lastthe security and main advantage of this system are analyzedto illustrate the system is of practical value.

Key Words: one-time password; WAP

一、引言

近年來(lái)，隨著移動(dòng)通信與計(jì)算機(jī)、互聯(lián)網(wǎng)等技術(shù)的結(jié)合，移動(dòng)電子商務(wù)應(yīng)運(yùn)而生，如手機(jī)銀行、股票交易等。WA P(無(wú)線(xiàn)應(yīng)用協(xié)議)是開(kāi)展移動(dòng)電子商務(wù)的核心技術(shù)之一。通過(guò)WA P網(wǎng)絡(luò)，手機(jī)可以隨時(shí)隨地、方便快捷地接入因特網(wǎng)，真正實(shí)現(xiàn)不受時(shí)間和地域約束的移動(dòng)電子商務(wù)。

傳統(tǒng)的身份驗(yàn)證模式是用戶(hù)提供用戶(hù)名和密碼給服務(wù)器驗(yàn)證，即靜態(tài)口令驗(yàn)證。但這種方式存在著易竊取，易暴力破解等固有的缺陷。為解決靜態(tài)口令的不足之處，安全專(zhuān)家提出了動(dòng)態(tài)口令方案，即一次性口令（O T P）方案，用戶(hù)每次登錄系統(tǒng)的口令都是不同的。

針對(duì)基于WA P網(wǎng)絡(luò)的移動(dòng)電子商務(wù)系統(tǒng)的安全登錄問(wèn)題，本文提出了一種動(dòng)態(tài)口令身份認(rèn)證的實(shí)現(xiàn)方案。

二、常用OTP方案分析

動(dòng)態(tài)口令的產(chǎn)生因子一般都為雙運(yùn)算因子：一是代表用戶(hù)身份的識(shí)別碼，這是確定的。二是不確定因子。根據(jù)不確定因子的不同，有幾種常用實(shí)現(xiàn)方案，這里簡(jiǎn)要介紹如下兩種。

1.時(shí)間同步方案

以用戶(hù)登錄的時(shí)間作為不確定因子，根據(jù)當(dāng)前時(shí)間和用戶(hù)的識(shí)別碼可以動(dòng)態(tài)生成一個(gè)O T P。用戶(hù)需要訪問(wèn)系統(tǒng)時(shí)，將此動(dòng)態(tài)口令傳送到認(rèn)證服務(wù)器。服務(wù)器根據(jù)用戶(hù)的識(shí)別碼和當(dāng)前時(shí)間計(jì)算出當(dāng)前口令值，對(duì)用戶(hù)進(jìn)行驗(yàn)證。

2.挑戰(zhàn)/應(yīng)答方案

以服務(wù)器隨機(jī)產(chǎn)生的數(shù)字序列(即挑戰(zhàn)碼)作為不確定因子，根據(jù)此數(shù)字序列及用戶(hù)識(shí)別碼動(dòng)態(tài)生成一個(gè)OTP。

三、一種基于STK卡的動(dòng)態(tài)口令認(rèn)證系統(tǒng)設(shè)計(jì)

為解決以上問(wèn)題，本文提出了一種以手機(jī)S T K卡代替電子令牌，進(jìn)行口令驗(yàn)證的OTP實(shí)現(xiàn)方案。

1.注冊(cè)過(guò)程

服務(wù)商提供給注冊(cè)用戶(hù)一張手機(jī)STK卡，此卡內(nèi)置了一次性口令的生成算法、功能菜單、用戶(hù)的身份識(shí)別碼以及服務(wù)商的RSA公鑰。服務(wù)商將用戶(hù)基本信息存儲(chǔ)在認(rèn)證服務(wù)器的數(shù)據(jù)庫(kù)中，包括用戶(hù)ID、手機(jī)號(hào)。

用戶(hù)首先需要完成注冊(cè)過(guò)程，S T K卡隨機(jī)生成一個(gè)3DES密鑰，將ICCID和3DES密鑰用服務(wù)商的公鑰進(jìn)行加密，然后將加密后的數(shù)據(jù)通過(guò)WAP網(wǎng)絡(luò)上傳至認(rèn)證服務(wù)器。

由于在此注冊(cè)過(guò)程中在網(wǎng)絡(luò)中的傳輸?shù)挠脩?hù)信息經(jīng)過(guò)了 RSA加密，因此是安全的。

2.驗(yàn)證過(guò)程

(1）用戶(hù)向服務(wù)器發(fā)出登錄請(qǐng)求；

(2）服務(wù)器查詢(xún)用戶(hù)數(shù)據(jù)庫(kù)，若為注冊(cè)用戶(hù)，服務(wù)器隨機(jī)生成一個(gè)數(shù)字序列，傳送給用戶(hù)；否則返回錯(cuò)誤信息，終止此次認(rèn)證過(guò)程；

(3）用戶(hù)打開(kāi)手機(jī)操作菜單，輸入此隨機(jī)數(shù)字序列，計(jì)算出本次登錄的口令，用戶(hù)將此口令傳送給服務(wù)器；

(4）服務(wù)器在數(shù)據(jù)庫(kù)中查詢(xún)出用戶(hù)信息，再根據(jù)本次登錄的隨機(jī)數(shù)字序列，用服務(wù)器與用戶(hù)共享的算法計(jì)算出一個(gè)口令，與用戶(hù)傳送來(lái)的口令進(jìn)行比較，如果相同，則允許用戶(hù)登錄，否則拒絕登錄，從而完成身份驗(yàn)證過(guò)程。

3.算法的選擇

單向散列函數(shù)在OTP的計(jì)算中起著非常重要的作用，它以不定長(zhǎng)的信息為輸入，將其變換成一個(gè)定長(zhǎng)的值輸出（即摘要），輸入信息的微小改變，也能使摘要值發(fā)生很大的變化。由于輸入的長(zhǎng)度大于輸出的長(zhǎng)度，因此會(huì)有不同的輸入產(chǎn)生相同輸出的可能。但是給定摘要值去尋找對(duì)應(yīng)的輸入信息在計(jì)算上是不可行的。因此，在網(wǎng)絡(luò)中傳輸Hash值，即摘要信息是安全的。

本系統(tǒng)可以采用OAT H在R FC4226中提出的算法作為動(dòng)態(tài)口令的生成算法，此算法的H a s h摘要計(jì)算部分采用了SHA-1算法。動(dòng)態(tài)口令計(jì)算過(guò)程介紹如下：

(1)由用戶(hù)身份識(shí)別碼（I C C I D）和挑戰(zhàn)碼組成SHA-1 的輸入信息：

TEXT=ICCID+Challenge //用+表示連接

(2)計(jì)算Hash摘要值（此摘要值的長(zhǎng)度為20byte）：Hash=SHA-1（TEXT）

(3）采用動(dòng)態(tài)截取(Dynamic Truncation)的方法由Hash 生成一個(gè)長(zhǎng)度為 4byte 的字符串：

Sbits = DT(Hash) //DT 的返回值為31bit 的字符串

//下面將給出DT 的詳細(xì)說(shuō)明

(4）計(jì)算 OTP：

Snum = StToNum(Sbits) //將字符串轉(zhuǎn)為 0～2^{31}-1 范圍內(nèi)的一個(gè)數(shù)字

OTP=Snum mod 10^8 //OTP為0～10^8-1 范圍內(nèi)的數(shù)字

DT 方法說(shuō)明：

DT(String) { // String = String[0]+String[1]+...+String[19]

取 OffsetBits為 String[19]的低四位 bitsOffset = StToNum(OffsetBits) // 0 <=OffSet <= 15

P=String[OffSet]+String[OffSet+1]+ String[OffSet+2]+String[OffSet+3]

返回P的低 31 bits }

4.系統(tǒng)安全性能分析

防止對(duì)口令的暴力破解和竊取：雖然本系統(tǒng)的口令比較簡(jiǎn)單（8位數(shù)字序列），但由于采用動(dòng)態(tài)口令的認(rèn)證技術(shù)，每次登錄的正確口令都是不同的，所以不能采用暴力破解的方式來(lái)獲得正確口令。

四、總結(jié)

本文簡(jiǎn)要分析了一次性口令認(rèn)證系統(tǒng)的原理及目前比較流行的兩種實(shí)現(xiàn)方案，并在此基礎(chǔ)上設(shè)計(jì)了一種以手機(jī)S T K卡代替電子令牌，采用挑戰(zhàn)/應(yīng)答方案的O T P認(rèn)證系統(tǒng)。此方案主要具有如下優(yōu)點(diǎn)：手機(jī)既是瀏覽WAP網(wǎng)絡(luò)的終端設(shè)備，又是動(dòng)態(tài)口令令牌，用戶(hù)無(wú)須攜帶其他的額外設(shè)備，給用戶(hù)帶來(lái)極大方便，用戶(hù)可以真正做到隨時(shí)隨地安全地使用移動(dòng)電子商務(wù)服務(wù)。本文說(shuō)明采用該方案能獲得較強(qiáng)的安全保證，具有一定的實(shí)用價(jià)值。

作者單位：河北軟件職業(yè)技術(shù)學(xué)院 華北電力大學(xué)

參考文獻(xiàn):

[1]郭曉靈.移動(dòng)電子商務(wù)的發(fā)展與應(yīng)用[J].電信快報(bào)，2007，(12):10-13.

[2]孫克強(qiáng)，劉嘉勇，丁光華.基于Hash函數(shù)和對(duì)稱(chēng)加密算法的一次性口令方案[J].信息與電子工程，2007，5(6):449-451.

[3]葉錫君，吳國(guó)新，許勇，束坤.一次性口令認(rèn)證技術(shù)的分析與改進(jìn)[J].計(jì)算機(jī)工程，2000，26(9):27-29.

[4]辛運(yùn)幃，廖大春，盧桂章.單向散列函數(shù)的原理、實(shí)現(xiàn)和在密碼學(xué)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用研究，2002，(2):25-27.