| |
在Internet高速发展的今天,网上购物、电子交易、网上炒股等已经十分普及,它们给人们的生活带来了方便和快捷。但是同时,也存在着一些严重的安全隐患,传统身份认证机制很易导致用户的账户密码被窃取、口令被修改,以及在信息传输过程中的重要信息被窃取等问题。
虽然用户可以通过经常更换密码和增加密码长度来保证安全,但这同时也给用户带来很大麻烦。攻击者一旦获得用户的名字、资金账号、口令等信息,假冒用户的身份进入电子商务网沾进行交易,对用户的个人财产造成严重威胁,甚至影响到企业财产。
一套可以加强口令登录在传输中安全的动态口令身份认证系统,正在电子商务领域被广泛地使用。动态口令技术是用户登录时,利用本人持有的电子令牌显示的60秒一变化一次性有效口令代替原来的固定口令从而提升口令有效和安全,解决实际应用需求的同时,免除用户记忆口令和更换口令的烦琐。同时提供全面的动态口令认证、授权和审计服务。
国内电子商务网站基本基于WEB浏览器方式开发,输入相应的WEB服务器地址即可登录系统。采用ASP、JSP、数据库等后台服务器开发工具进行混合编程,按照“数据集中处理、信息有限授权”的原则开发,采用B to C方式进行查询访问,所有业务数据存放于WEB服务器上。在企业内部提供诸多网络服务的ISP、ICP上,配合电子商务应用,比如电子彩票 ,加载动态口令模块。向每位用户发放一个令牌卡片。当用户通过普通浏览器登陆电子商务网站后, 结合电子商务买卖流程,在需要确认有关用户支付和相关责任信息的确认栏内提供动态口令功能。
国内电子商务网站可以借鉴国外电子商务,适应用户支付安全需求,和电信、银行、商家构成更多赢应用的模式。 电子商务网站由电信托管,同时,由电信提供动态口令短信服务,通过动态口令确认和审计,保证用户交易的真实性。既确保交易安全。同时由动态口令短信网关提供的短信收入又是电信和电子商务网站斩获的新利润的来源。
电子商务大额支付的消费者往往只占了整个电子商务用户的一小部分,一般使用CA认证技术。而如果要让占百分比为数众多的小额支付群体在电子平台上交易,主要取决与安全和为安全所支付的成本两个因素。CA证书的烦琐和证书年费问题成为电子商务主体不可能壮大的瓶颈。利用软动态口令(动态口令的软件化技术)结合电子商务交易平台的单向证书,通过加密手段和动态口令方式建设一个真正统筹考虑认证、加密、同时兼顾成本、易用性的解决方案是一个真正切实可行的途径。
由于动态口令一分钟有效,又能很方便的和不同技术,如软件令牌技术结合,很快吸引了使用者的眼球。在世界范围内,用动态口令和虚拟专用网络(VPN)技术结合的应用已经逐渐成为电子商务应用的主流。在不久的明天国内类似的应用也会逐渐体现它实际应用的生命力。
|
