论电子支付中的身份认证技术.docx

??

?

??

论电子支付中的身份认证技术

?

?

?

?

?

??

?

?

?

关振胜

（中国金融电子支付发展研究中心，北京100054）

摘要：身份认证是属于信息安全服务中的识别与鉴别服务范畴，它主要由加密、口令、身份识别与鉴别、数字证书和数字签名等安全机制所组成。身份认证在信息安全中极为重要，它是保护一个信息系统的安全大门，是把好信息系统安全的第一道关。所以，很多系统特别是军事、金融、保险、电子商务、电子交易支付和电子政务系统中已广泛应用身份认证机制。本文论述了电子支付中的各种方法和作用，以及防止信息系统被侵入的各种机制。

关键字：电子支付；身份识别；识别与鉴别；数字证书；数字签名；USBKey

TP393.08：A：1671-1122(2011)03-0009-03

ConcerningtheElectronicPaymentIdentityAuthentication

Technology

GUANZhen-sheng

(ChinasFinancialElectronicPaymentDevelopmentResearchCente:Berjing100054,China1

Abstract:Theidentityauthenticationinformationsecurityserviceistobelongtotherecogpitionanddifferentialservicecategory,itmainlyconsistsofencryption,passwords,identificationanddifferential,digitalcertificateanddigi忸lsignamresandothersecuritymecbanismcomposed.Theidentityauthenticationininformationsecurityisimportant,itistoprotectaninfonnationsystemsecuritydoors,givegoodinformationsystemsecurityisthefirst鼬印thatshutSo,manysystemsparticularlymilitary,finance,insurance,commerce,electronictradingpaymentande-Govemmentsystemshavebeenappliedidentityauthenticationmechanism,Thispaperdiscussesthevariouselectronicpaymentmethodandrole,andtopreventtheinfonnationsystemisinvadingvariousmechanisms.Keywords:electronicpaymen;dentifcation;identifyanddifferential;digitalcertificates;digitalsignature;USBKey

引言

近些年来，我国的电子政务、电子商务以及重点行业的信息系统广泛采用了身份认证技术，在保障信息系统的安全方面发挥了十分重要的作用。在电子支付领域，身份认证技术已经成为安全保障的核心手段之．。以下就电子支付中身份认证的有关技术机制加以论述。

2动态一次性口令

动态一次性口令分两种方式，一是采用动态一次性口令‘刮刮卡”；二是OTP动态令牌(Token)口令。

一2.1一次性动态口令“刮刮卡”

网上银行采用的静态口令是在网上银行开通上线的初期，在市场孕育阶段，为了“跑马圈地”，多争取客户，采取哪种办法只是一时权宜之吼经过这次经验和教训，人们开始设计开发另外的口令形式。于是工行和建行几乎同时推出了一次性口令‘刮刮卡”（俗称“刮刮乐”），它是一次一密。这种方法远在二战时期，某国军队为秘密通讯就用过这种坐标式的口令卡。

它的基本原理就是利用在二维坐标的交叉点处产生一个三位随机数，纵坐标为1—8列；横坐标采用英文字母随机产生十位，不能按英文字母的顺序排列。印刷在“刮刮卡”上的数据存在后台的一个管理数据库，卡上印有19位的序列号，该号与你的ID绑定。当你上网支付时，系统给出你两个坐标值，比如：Wl、P5，你对应坐标用手刮开坐标值，键人计算机即可。此时即使黑客窃取了你的口令，也无济于事，因为下次你口令又变了。

这种认证方式有两个弊端，一是作为经常