91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

  作者：張毅

  對于很多重要的支付系統(tǒng)而言，如果只有支付密碼作為唯一的認(rèn)證手段，從安全上看會略顯不足。因此為了增強(qiáng)網(wǎng)站的安全性，大多數(shù)網(wǎng)上支付平臺或者網(wǎng)上銀行都會采用雙因素認(rèn)證或多因素認(rèn)證。除了支付密碼外，第三方證書、數(shù)字簽名、寶令、手機(jī)動態(tài)口令、數(shù)字證書、支付盾等都可作為身份認(rèn)證手段。這些不同的認(rèn)證手段可以相互結(jié)合，使得認(rèn)證的過程更加安全。因此密碼不再是唯一的認(rèn)證手段，在用戶密碼丟失的情況下，也可以有效地保護(hù)用戶的賬戶安全�；�于以上問題的考慮，本文提出了一種“基于口令+指紋認(rèn)證+驗(yàn)證碼”的多因素認(rèn)證模式，從而使系統(tǒng)更加安全。

1背景知識

1.1傳統(tǒng)身份認(rèn)證

  身份認(rèn)證采用的傳統(tǒng)認(rèn)證模式是單因素認(rèn)證模式，普遍采用“用戶名+密碼”的方式，很容易被不法分子破解。密碼是確保其安全性的依據(jù)，單因素認(rèn)證模式存在許多弊端。例如：用戶為了便于記憶把密碼設(shè)置為生日、電話號碼等常用信息，黑客容易通過暴力、盜取數(shù)據(jù)庫、社會工程學(xué)等方式破解密碼。從理論上來說，可重復(fù)使用的靜態(tài)密碼比同屬于單因素認(rèn)證的一次性動態(tài)碼更加危險(xiǎn)，但是一次性動態(tài)密碼可通過競爭攻擊或者中間人攻擊等方式竊取。因此，單因素認(rèn)證屬于最弱、最不可靠的身份認(rèn)證模式。身份認(rèn)證因素越多，用戶真實(shí)身份能夠被核實(shí)的信息就越多，也就越安全。

1.2驗(yàn)證碼認(rèn)證

  目前各大網(wǎng)站均采用驗(yàn)證碼認(rèn)證方式，如純文本驗(yàn)證碼、圖片驗(yàn)證碼等類型。圖片驗(yàn)證碼內(nèi)容多為字母、數(shù)字、文字等。驗(yàn)證碼識別的基本原理為：服務(wù)器的驗(yàn)證碼生成器隨機(jī)生成一個驗(yàn)證碼同時(shí)將其存人數(shù)據(jù)庫，然后以短信或圖片的形式告知用戶，用戶對驗(yàn)證碼進(jìn)行輸入或者選擇，然后提交給服務(wù)器，服務(wù)器對比用戶提交的驗(yàn)證碼與服務(wù)器存儲的驗(yàn)證碼是否相同，從而完成驗(yàn)證。

  大多數(shù)的雙因素身份認(rèn)證模式為用戶在使用“用戶名+密碼”登錄時(shí)，在線服務(wù)器生成一次性驗(yàn)證碼發(fā)送給用戶。用戶使用注冊時(shí)綁定的移動設(shè)備接收含有驗(yàn)證碼的短信，在網(wǎng)站上輸入驗(yàn)證碼進(jìn)行登錄。盡管雙因素身份認(rèn)證在單因素靜態(tài)密碼驗(yàn)證基礎(chǔ)上進(jìn)行了改善，但是它并不是絕對可靠的。中間人攻擊可以通過欺騙用戶訪問一個偽造網(wǎng)站獲取用戶名和密碼，并將其在真正的合法網(wǎng)站上輸入，合法網(wǎng)站會給用戶發(fā)送一個驗(yàn)證碼。在此情況下，用戶并未意識到系統(tǒng)出現(xiàn)了漏洞，依然將驗(yàn)證碼在偽造網(wǎng)站上輸入，而攻擊者在合法網(wǎng)站上輸入驗(yàn)證碼，獲得用戶權(quán)限。

  即使驗(yàn)證碼中加入干擾因素，驗(yàn)證碼認(rèn)證也不是絕對安全的。目前圖像識別技術(shù)可以對驗(yàn)證碼圖像利用灰度化、二值化、抑噪（濾波）等技術(shù)進(jìn)行處理，去掉干擾因素，然后通過文字分割、標(biāo)準(zhǔn)化、文字識別等一系列步驟識別出驗(yàn)證碼的內(nèi)容，因此，僅僅進(jìn)行驗(yàn)證碼認(rèn)證并不能保證肯定是用戶本人。

1.3生物識別認(rèn)證

  隨著目前生物技術(shù)的發(fā)展，生物特征越來越多地應(yīng)用于密碼學(xué)當(dāng)中。人類的生物特征如指紋、人臉、虹膜等，由于具有普遍可得、唯一、不可復(fù)制、不會丟失等良好的特性，給依據(jù)可測量的生物和行為特征來設(shè)計(jì)可靠和自動的身份認(rèn)證協(xié)議提供了可能，并能為用戶提供更可靠、安全級別更高的保護(hù)。由于人臉識別率受多種因素如光線、發(fā)型、表情、姿勢等影響，虹膜識別設(shè)備造價(jià)較高，難以大規(guī)模推廣。相比之下指紋識別技術(shù)成熟、設(shè)備造價(jià)低，指紋信息易于獲得，因此本文將采用指紋識別認(rèn)證技術(shù)構(gòu)建網(wǎng)絡(luò)安全支付認(rèn)證模型。

  由于每個人的指紋都不一樣，所以指紋是識別個人身份的重要手段。近年來，指紋識別技術(shù)在金融、安檢等領(lǐng)域得到了廣泛應(yīng)用。若今后社�？�、銀行卡等重要卡證上都要求應(yīng)用指紋，那么指紋膜遺失后所產(chǎn)生的后果將不堪設(shè)想。此外，指紋信息是公安機(jī)關(guān)偵破案件的重要依據(jù)，若被不法分子利用可能給社會安全穩(wěn)定帶來危害。在指紋識別認(rèn)證技術(shù)應(yīng)用中，曾發(fā)生過制作指紋膜作弊打卡的事例。針對指紋識別的指紋膜仿冒問題，目前主要有兩種技術(shù)解決方案：1）在指紋機(jī)中集成溫度傳感器與濕度傳感器，從而指紋識別設(shè)備可分析是否為真實(shí)皮膚；2）采用3D活體指紋識別技術(shù)，它突破了指紋識別的表面局限，可以深入到真皮層采集三維立體指紋，對任何材質(zhì)的人造指紋都不予識別。本文的指紋識別模型將采用3D活體指紋識別技術(shù)。

系統(tǒng)在用戶注冊時(shí)提取用戶的3D指紋特征并將其存儲在系統(tǒng)特征庫中，當(dāng)用戶登錄系統(tǒng)時(shí)，將從掃描的3D指紋信息中抽取特征信息，與存儲在系統(tǒng)中的特征信息進(jìn)行比對認(rèn)證，掃描的3D指紋信息通過指紋區(qū)域檢測、圖像質(zhì)量判斷、方向圖和頻率估計(jì)、圖像增強(qiáng)、指紋圖像二值化和細(xì)化等一系列操作并與存儲的3D指紋模板進(jìn)行比對，若二者的相似度大于預(yù)定的門限值，則說明輸入的3D指紋信息與存儲的3D指紋模板相匹配，身份認(rèn)證成功；若反之則說明二者不匹配，身份認(rèn)證失敗。本文采用的3D指紋認(rèn)證過程如圖1所示。

2網(wǎng)絡(luò)安全支付認(rèn)證模式的設(shè)計(jì)與分析

2.1基于多因素的認(rèn)證系統(tǒng)結(jié)構(gòu)

本系統(tǒng)結(jié)構(gòu)主要包括注冊、登錄、身份認(rèn)證和支付認(rèn)證4個階段。認(rèn)證系統(tǒng)體系主要由識別設(shè)備USBKey、用戶終端、認(rèn)證服務(wù)器、Web服務(wù)器等部分構(gòu)成，如圖2所示，認(rèn)證系統(tǒng)各部分功能如下：

  1) USBKey，讀取3D指紋識別信息，生成基于時(shí)間的隨機(jī)數(shù)，存儲用戶的私鑰和證書；2）用戶終端，向認(rèn)證中心發(fā)送請求，對登錄命令、支付命令進(jìn)行加密，對接收的命令進(jìn)行解密，產(chǎn)生動態(tài)密碼，進(jìn)行圖像認(rèn)證；3）認(rèn)證服務(wù)器，負(fù)責(zé)證書的發(fā)放、更新、刪除、存儲等操作，負(fù)責(zé)密鑰的生成、更新、備份等操作，通過與數(shù)據(jù)庫的數(shù)據(jù)比對驗(yàn)證用戶與服務(wù)器的身份；4）Web服務(wù)器，向認(rèn)證服務(wù)器發(fā)送認(rèn)證請求，對用戶的支付請求進(jìn)行響應(yīng)，管理數(shù)據(jù)庫。

2.2符號描述和定義

表1對相關(guān)符號進(jìn)行了描述和定義

2.3注冊階段

  當(dāng)用戶希望得到某Web系統(tǒng)的服務(wù)時(shí)，必須首先注冊為該系統(tǒng)的合法用戶。我們假設(shè)Web服務(wù)系統(tǒng)已在認(rèn)證服務(wù)器注冊完畢，此時(shí)Web服務(wù)器上裝有認(rèn)證中心頒發(fā)的證書，認(rèn)證中心存有服務(wù)器的域名、Web服務(wù)器的數(shù)字簽名以及Web服務(wù)器端的公鑰等信息。用戶進(jìn)行注冊的步驟如下：

  1)在用戶終端C首先設(shè)定身份標(biāo)識IDc和口令P，并在特有的可采集指紋信息的設(shè)備USBKey（下文中簡稱為設(shè)備∽上獲取自己的3D指紋信息F并將其存儲入設(shè)備U。設(shè)備U調(diào)用Fc(Tc，Hc)生成隨機(jī)數(shù)Ⅳ，調(diào)用Hc(N1 lP)計(jì)算Hc()，然后將IDc、F及Hc.(NIIP)經(jīng)由安全信道發(fā)送給Web服務(wù)器A。表述為C一A:{/Dc.IIHc(NIIP)IIF。

  2) Web服務(wù)器首先查找用戶數(shù)據(jù)庫驗(yàn)證用戶是否為新注冊用戶，若為新注冊用戶則將用戶信息

Dc、P.F等存儲人數(shù)據(jù)庫，并對用戶的信息進(jìn)行數(shù)字簽名后向認(rèn)證中心提交注冊新用戶的請求，表述為：A一S:KA’{IDcIIHc(NIIP)IIF。

  3)認(rèn)證服務(wù)器驗(yàn)證用戶為新用戶后，頒發(fā)給用戶終端CA證書，在用戶證書內(nèi)標(biāo)識了CA對證書相關(guān)域內(nèi)容的數(shù)字簽名、用戶的身份信息ID。以及用戶的公鑰Kc等。同時(shí)認(rèn)證中心創(chuàng)建此用戶的相關(guān)信息并將其存人數(shù)據(jù)庫。用戶終端將加密后的IDc、加密后的3D指紋信息F’和用戶的私鑰Kc’存入設(shè)備U中。

2.4登錄及身份認(rèn)證階段

登錄及身份認(rèn)證的過程如圖3所示。

2.5支付認(rèn)證階段

支付認(rèn)證階段的過程如圖4所示，圖4中數(shù)字代表如下步驟。

  5) Web服務(wù)器爿在接收到用戶終端的支付命令之后首先解密用戶信息并驗(yàn)證用戶信息ID。、F、P等是否與數(shù)據(jù)庫中存儲的信息相匹配，而后進(jìn)行交易。

3有效性與安全性分析

3.1有效性分析

  在設(shè)計(jì)身份認(rèn)證協(xié)議時(shí)，我們首先考慮有效性，然后在兼顧協(xié)議安全性的情況下考慮協(xié)議的計(jì)算和通信效率，使得身份認(rèn)證協(xié)議也能夠在存儲和計(jì)算能力受限的環(huán)境中使用。本文設(shè)計(jì)的協(xié)議能提供正確的相互認(rèn)證，當(dāng)用戶終端C請求登錄時(shí)，首先認(rèn)證服務(wù)器S檢查用戶身份標(biāo)識IDc的有效性，若為注冊用戶再驗(yàn)證數(shù)據(jù)庫存儲信息，從而檢測用戶是否合法。同樣用戶終端C也可檢測服務(wù)器的身份是否合法。

  認(rèn)證服務(wù)器S對用戶終端C的認(rèn)證中，認(rèn)證服務(wù)器S首先在數(shù)據(jù)庫中驗(yàn)證ID。是否存在，以判斷用戶是否為合法用戶，然后再驗(yàn)證用戶終端C發(fā)來的Hc(Tcl IAcl IIDcl IP(DNc，①F)是否在數(shù)據(jù)庫中，以認(rèn)證C的身份。進(jìn)一步在用戶終端C對認(rèn)證服務(wù)器S的認(rèn)證中，用戶終端C通過驗(yàn)證認(rèn)證服務(wù)器S發(fā)來的P①Ⅳ。．F就能確認(rèn)S的身份從而完成了用戶終端C與認(rèn)證服務(wù)器S的雙向身份認(rèn)證過程。

表2對本文認(rèn)證模式與傳統(tǒng)雙因素認(rèn)證模式進(jìn)行了性能方面的比較。傳統(tǒng)雙因素認(rèn)證在注冊階段、登錄及身份認(rèn)證階段和支付認(rèn)證階段的計(jì)算量分別為3T，2T，5T。在本文中，注冊階段、登錄及身份認(rèn)證階段和支付認(rèn)證階段的計(jì)算量分別為4T，4T，7T。

3.2安全性分析

  本文認(rèn)證模式雖然在計(jì)算量方面較流行的雙因素認(rèn)證稍高，但該模式能有效對抗USBKey丟失攻擊、重放攻擊、仿冒攻擊等攻擊行為，這也是雙因素認(rèn)證所不可比擬的。

  1)抗USBKey丟失攻擊。假定用戶的USBKey丟失或被盜，并恰好被攻擊者所獲。攻擊者能抽取出存儲在智能卡中的信息IDc、F及H。(Nl J P)。因?yàn)楣�擊者不具有密鑰，所以攻擊者無法獲得用戶的口令。而且攻擊者很難通過指紋認(rèn)證。綜上可知攻擊者不能更換用戶的密碼，也不能通過用戶USBKey的3D指紋信息模仿用戶登錄到服務(wù)器。此外，即使是注冊中心也無法獲得用戶的真實(shí)口令，所以本文認(rèn)證模式也能抵抗內(nèi)部攻擊。

  2)重放攻擊。當(dāng)用戶終端C向認(rèn)證服務(wù)器S或W。b服務(wù)器A發(fā)送請求時(shí)也將Tc同時(shí)發(fā)送給S或A，而它們的數(shù)據(jù)庫也會保存Tc。如果攻擊者進(jìn)行重放攻擊，假冒C對認(rèn)證服務(wù)器S或Web服務(wù)器A發(fā)送請求，S或A就可以讀取數(shù)據(jù)庫中的Te進(jìn)行對比。如果提取的Tc與本地?cái)?shù)據(jù)庫中保存的T，相同，就證明本次請求為重放攻擊，S或A應(yīng)立即拒絕服務(wù)。與以上情況相似，攻擊者也不存在冒充S或4對用戶終端C進(jìn)行重放攻擊的可能性。

  3)仿冒攻擊。本文認(rèn)證模式通過引入驗(yàn)證碼認(rèn)證與指紋認(rèn)證，可以有效防止仿冒攻擊。在支付認(rèn)證階段中對設(shè)備U操作時(shí)，設(shè)備U提示用戶進(jìn)行了3D指紋檢測并產(chǎn)生驗(yàn)證碼B要求用戶輸入。由于用戶指紋難以偽造獲取，且在短時(shí)間內(nèi)通過圖片識別技術(shù)獲取驗(yàn)證碼B也存在一定難度，因此攻擊者幾乎不能對設(shè)備U進(jìn)行仿冒操作。

4結(jié)束語

本文研究了基于口令、驗(yàn)證碼、指紋和USBKey等的身份認(rèn)證模式，首先分析了傳統(tǒng)雙因素認(rèn)證可能存在的安全危險(xiǎn)及指紋認(rèn)證與驗(yàn)證碼認(rèn)證的優(yōu)缺點(diǎn)，然后提出了種多因素的認(rèn)證模式。雖然多因素認(rèn)證模式會給用戶的操作帶來一定的復(fù)雜性，但是能帶來更高的安全防護(hù)水平。隨著硬件水平的發(fā)展，可識別3D指紋的USBKey造價(jià)也會越來越低廉。本文提出的認(rèn)證模式能應(yīng)對目前金融支付系統(tǒng)暫無法防范的重放攻擊、仿冒攻擊等攻擊行為，極大地提高了支付系統(tǒng)的安全性。當(dāng)然本文認(rèn)證模式無論在理論方面還是實(shí)踐方面還有待完善，如系統(tǒng)不能正確認(rèn)證攻擊者盜取并偽造的用戶信息等。身份認(rèn)證是網(wǎng)絡(luò)安全的第一道重要屏障，隨著技術(shù)的發(fā)展，各種認(rèn)證因素也將越來越多，相信本文認(rèn)證模式的提出會改進(jìn)現(xiàn)有的網(wǎng)絡(luò)安全環(huán)境，促進(jìn)網(wǎng)絡(luò)支付行業(yè)的健康規(guī)范發(fā)展。

5摘要：基于單因素的身份認(rèn)證方式是不安全的，因此需要多因素的身份認(rèn)證方式來保護(hù)用戶的數(shù)據(jù)安全。隨著在線支付體系的發(fā)展，文章設(shè)計(jì)了一種能有效提高現(xiàn)有網(wǎng)絡(luò)支付體系安全性的模式，并且提出了一種基于多因素認(rèn)證的安全高效的支付模式。即在傳統(tǒng)的登錄名和密碼系統(tǒng)的基礎(chǔ)上，采用基于驗(yàn)證碼和指紋識別的多因素認(rèn)證方式。文章采用的網(wǎng)絡(luò)支付協(xié)議為雙向認(rèn)證體系，不僅能夠滿足市場對于多因素認(rèn)證的需求，而且還支持B2C的安全通信。文章給出了認(rèn)證模式的具體實(shí)現(xiàn)過程，并對其進(jìn)行了安全性分析，結(jié)果表明該認(rèn)證模式可以提高網(wǎng)絡(luò)支付的安全性。