农资电子交易平台的身份认证研究与实现.pdfVIP

2010年6月 农机化研究 第6期 农资电子交易平台的身份认证研究与实现 张方田，王开义，刘忠强，喻 钢 (国家农业信息化工程技术研究中心，北京 100097) 摘要：通过分析比较网络安全中常用的身份认证方式，针对农资电子交易中的实际需求，结合常用认证方式的 优缺点提出了一种新的综合身份认证方式，并介绍了该认证方式的实现方法。该认证方式将静态口令、手机口 令和数字证书三者相结合，提高了身份认证的可靠性。分析结果表明，这种身份认证方式能够较好地保证电子 交易的安全。 关键词：农资电子交易；身份认证；静态口令；动态口令；数字证书 中图分类号：$126；TP311 文献标识码：A 文章编号：1003—188X(2010)06—0005—04 0 引言 由于缺乏有效的组织渠道和连接平台，单个农户 的农业生产需求与庞大的农资市场问的矛盾(如流通 渠道过长、分销层次过多和质量信息不对称等[1“3) 成为我国农资流通过程中突出存在的问题。随着计 算机技术和网络技术的发展，通过信息流引导农资物 流，推进有品牌、有标准的农资电子商务的条件已经 初步具备，构建基于电子商务的农资电子交易平台成 为解决农资物流过程中诸多矛盾的一种有效途径。 随着电子商务的快速发展，人们在感受其带来方便的 同时，也不得不对电子交易的信息安全问题担忧，如 银行账户信息泄露、交易信息被篡改等。信息安全是 一个系统性的问题，包括服务端系统的安全、通信信 道的安全和终端用户的安全J。从目前网络信息系 统使用出现的不安全情况来看，大部分是由于对终端 用户身份合法性与真实性确认不当造成的，如用户登 录系统账号与密码被盗情况等。身份认证需要识别， 并验证网络信息系统中用户身份的合法性和真实性， 按授权访问系统资源，并将非法访问者拒之门外∞]。 为确保农资电子交易平台系统安全，必须采取安全有 效的身份认证方式。为此，本文提出了一种新的综合 认证方式。 1 常用的系统身份认证方式 收稿日期：2009—09—22 基金项目：科技部科技支撑计划项目(2008BADAOB02) 作者简介：张方田(1977一，，男，安徽安庆人，硕士，(E—raail)z}Iall班 @nereita．org．cn。 通讯作者：王开义(1974一)，男，吉林辽源人，博士。 ·5· 在真实世界中，验证一个人的身份主要通过3种方式 判定【．卜81：一是根据所知道的信息来证明身份(what you know)，也就是需要使用者记忆身份认证的内容。 假设某些信息只有某个人知道(比如暗号等)，通过询 问这个信息就可以确认这个人的身份。这类认证方 式比较常见，一般是基于静态口令的认证方式。二是 根据所拥有的东西来证明身份(what you have)。假设 某一个东西只有某个人有(比如印章等)，通过出示这 个东西也可以确认这个人的身份，这类认证方式的例 子有动态口令、数字证书和磁卡等。三是直接根据独 一无二的身体特征来证明身份(who you are)，比如指 纹和面貌等。 1．1 口令方式认证 口令是用户和系统相互约定或者系统制定的一段 代码。只要用户能够正确输入密码，系统就认为他就 是这个用户。根据口令产生方式可以分为静态口令 的方式与动态口令的方式。 1．1．1静态口令 指在某一特定的时间段内没有变化，可以反复多 次使用的口令。这种认证方式是最简单，也是最常用 的身份认证方法，但实际上由于许多用户为了防止忘 记密码，经常会采用有意义的字符串作为密码，存在 着许多安全隐患，非常容易被他人猜到，极易造成密 码泄露。即使能保证用户密码不被泄漏，由于密码是 静态的数据，在验证过程中需要在计算机内存中和网 络中传输，而且每次验证过程使用的验证信息都是相 同的，很容易被驻留在计算机内存中的木马程序或网 络中的监听设备截获。因此，静态口令认证方式是一 种极不安全的身份认证方式，但由于实现起来特别简 单，一般用在安全级别要求不高的系统中。 万方数据 2010年6月 农机化．研究 第6期 1．1．2动态口令 它是指每次进行身份认证和交易确认时输入的口 令都是动态变化的，且不重复。动态口令由一种称为 动态令牌的专用硬件使用密码生成芯片运行专门的 密码算法。根据当前时间或者使用次数产生，且每个 密码只能使用一次。用户使用时只需要将动态令牌 上显示的当前密码输入客户端计算机，即可实现身份 的确认。由于每次使用的密码必须由动态令牌来产 生，只有合法用户才持有该硬件，所以只要通过密码 验证就可以认为该用户的身份是可靠的，而且动态口 令技术采用的是一次～密的方法，有效地保证了用户 身份的安全性。 另外，图片验证码也可以认为是一种口令技术， 它是将一串随机产生的数字或符号生成一幅图片。 图片里加上一些干扰像素(防止OCR)，但用户能肉眼 识别其中的