商品与质量 应用技术 移动支付中的身份认证技术分析 张夏然胡艳春韩培培 453000) (河南科技学院,河南新乡【摘要】身份认证技术作为一种能有效保护交易过程安全的方法,可以有效解决移动支付过程中存在的一些安全性问题,本文分析了 身份认证的概念,移动支付中安全问题现状,并介绍了几种常用的身份认证技术。 【关键词】移动支付;身份认证;信息安全 文章编号:lSSN1006--656X(2014)08-0114-01 一、前言 由于移动互联网的强劲发展,移动电子商务也逐渐凭借技术和 应用上的优越性,显示出了强大的生命力和发展潜力。而影响移动支 但是并不能从根本上解决安全问题,同时也造成用户使用的不方便。 但对于安全性要求不是很高的领域,静态口令认证仍然是一种可取 的方式。 付业务发展的关键问题是安全性。相对于有线网络的连接方式,无线 网络没有特定的界限,窃听者无需进行搭线就可以轻易获得无线网络 信号。因此相对于传统的电子商务模式,移动电子商务的安全性更加 薄弱。如何保护用户的个人信息不受侵犯,除了需要加密措施外,还 需要强有力的身份认证,使得窃听者无从盗用用户权限。 二、身份认证的概念 身份认证系统是认证、授权与访问控制三个系统相结合的产物。 认证是指检测用户或设备所声称身份是否有效的过程;授权是赋予用 户、用户组对于特定系统访问权限的过程;访问控制指把来自系统资 源的信息流到网络中被授权的人或系统。授权和访问大多数情况 下都是在成功的认证之后进行的。 因此,身份认证技术主要基于以下要素: (1)“What Y0U know”,如密码和身份证号码等; (2)“What Y0U have”,如一个动态口令卡、一个IC卡或 USBKey等; (3)“who are yoU”,根据被认证对象身上所具有的特征, 如指纹、瞳孔等; (4)“Where al'e Y0U”,根据被认证方所在的位置如地理位 置、IP地址等 三、移动支付中安全问题的现状 (一)信息的泄露。用户在使用手机进行支付时,加密等安 全措施保护力度不高,黑客们就可以通过钓鱼网站、木马程序等手段 窃取用户信息,将被移动支付功能进行非法复制,从而造成用户的损 失。 (二)商家和消费者合法身份的确认。移动支付将银行、商 家、消费者紧密地联系起来,并涉及大量的现金往来,如何解决合法 身份认证就显得尤为重要。 (三)用户信用体系的建设和完善。通常一些小额支付业务可 以通过扣除手机话费的方式进行付费交易,于是就可能产生手机话费 透支、恶意拖欠等现象。同时,由于我国手机号管理不够完善,许多 手机号购买时尚未采取实名制管理,由此可能造成恶意透支现象发 生。 (四)移动终端丢失给移动支付用户带来的损失。移动支付通 常是手机卡与银行卡、信用卡相关联,由此可能存在用户在丢失手机 后自己的移动支付帐户被他人冒用的风险。 四、常用身份认证技术 (一)静态口令认证技术 静态口令认证是指用户设置登录的用户名和密码,电子商务系 统通过验证用户名和密码来确认用户的身份。这种认证机制方法表 面看来比较简单,开销小,但实际上,由于许多用户为了防止忘 记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为 密码,或者把密码抄写在某个自认为安全的地方,这样很容易造成 密码泄漏。 为提高静态口令的安全性,通常会控制口令的内容。例如,对 口令长度和内容的(如要求口令长度达到一定长度,要多种符 号混合输人等)、要求定期更换口令、不同系统功能采用不同的口 令等。采用这些方法可以从口令的复杂程度上提高系统的安全性, 作者简介:张夏然(1 9 8 6.6一),女,河南安阳 人,河南科技学院,硕士研究生,讲师,研究方向:电子商 务。胡艳春(1975-),男,河南新乡人,河南科技学院,硕 士研究生,副教授,研究方向:电子商务。韩培培(1992-), 女,河南新乡人,河南科技学院,学生。 (二)动态口令认证技术 以一次性动态口令登录,每次登录的认证信息都不相同。由于 每个正确的动态口令只能使用一次,即使非法用户截获了已经通过 验证的正确口令,再次提交到认证服务器也不能通过验证,因此不 必担心口令在传输认证期间被第三方监听到,从而提高登录过程的 安全性。 (三)基于数字证书的认证技术 数字证书包含用户身份信息、用户公钥以及证书发行机构对该 证书的数字签名信息。证书发行机构的数字签名可以确保证书信息 的真实性,用户公钥信息可以保证数字信息的完整性,用户的数字 签名可以保证数字信息的不可抵赖性。 基于X.509证书的认证技术适用于开放式网络环境下的身份认证, 该技术已被广泛接受,许多网络安全程序都可以使用X.509证书,如 IPsec、SSL、SET、S/MIME等)。但它不可避免地存在着某些缺 陷,如:在发布最初的证书时,cA如何验证一个远程用户提供的 信息的真实性问题;用户私有密钥保存的安全问题;用户用于取出 私钥的通行字的质量问题等等。此类问题在理论上虽不难解决,但 在具体实施中却很困难。 (四)基于智能卡认证技术 智能卡(Smart Card)是一种集成的带有智能的电路卡,它不 仅具有读写和存储数据的功能,而且能对数据进行处理。智能卡由 于其硬件软件的多种措施的保护,保证了卡内的个人信息不会轻易 的被第三方窃取,且其内部自带的数据处理功能可以使得对于关键 信息的操作在卡内完成,而不必读取卡中的内容,从而防止了信息 在读取过程中泄露的可能性。此外,智能卡可以提供唯一的ID号, 系统通过此ID号可以识别使用系统的用户身份。 因此,智能卡认证技术被认为是最安全可靠的认证技术之一。 智能卡一般是形状与信用卡类似的矩形塑料片,但也有许多其它的 形式。近年来出现了许多将智能卡与身份认证相结合的技术,其 中,基于USBKey的身份认证是目前比较流行的智能卡身份认证方 式。USBKey结合了现代密码学技术、智能卡技术和usB技术,是 新一代身份认证技术。 (五)基于生物识别的认证技术 生物识别这种认证方式是将人体固有的生理或行为特征收集并用 电脑进行处理,由此用于个人身份鉴定的技术。基于生物特征的身 份认证技术具有以下优点:①没有复杂的密码口令,不易遗忘或丢 失;②利用了个人特征的独特性,不易伪造或被盗;③利用了人 体本身,无需增加复杂的装置,方便实用。 目前,己有的生物特征识别技术主要有指纹识别、掌纹识别、 手形识别、人脸识别、虹膜识别、视网膜识别、声音识别和签名识别 等。其中,指纹识别是最早研究并利用的,由于人类指纹的唯一性,指 纹识别是最方便、最可靠的生物识别技术之一。此外,声音、虹膜、视 网膜、脸部特征识别,都是非接触方式进行,易于被用户接受。但目 前多数识别技术仍处于研究实验或小范围应用阶段,由于识别设备成 本高、对识别正确率没有确切结论、采取的特征会由于某些因素呈现 不稳定性等原因,目前还很难真正推广到应用中。 参考文献: 『1 l王秦、, 务和.彤恸封务身份认证评骱哼旨标体系研究l N l技术管理与经济嘲 宽2012.04 I 2 I崔媛l媛.手湖擞字签名移动支付业务的安鲫 障[N l电 信网埘 皇.2010.02(2 J I3I赵艳.动态口令身份认^正,系瑚--的铀洲NI 2012.08(8) 『41冯韵.移氡歧付中身份 正分析与习 屯(.对于一自,份认证 的方法改进】J 1.信患通信2012.03
