摘要
随着信息技术日新月异的发展,人类正在进入以网络为主的信息时代,基于Internet开展的电子商务已逐渐成为人们进行商务活动的新模式,越来越多的人通过Internet进行商务活动,电子商务的发展前景十分诱人。但电子商务的安全问题变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,保证整个商务活动中信息的安全性,使基于Internet的电子交易方式与传统交易方式一样安全可靠,已经成为大家十分关心的热门话题。
目前国内企业发展电子商务的最大顾虑是安全性问题,信息的安全性是当前发展电子商务最迫切需要解决的问题,研究和分析电子商务的安全性问题,特别是针对我国自己的国情,充分借鉴国外的先进技术和经验,开发和研究出具有独立知识产权的电子商务安全产品,已经成为目前我国发展电子商务的关键。
由于电子商务安全涉及的范围比较广,而身份认证是电子商务安全的第一道防线,本文主要对电子商务安全中的身份认证技术做深入地分析和探讨。
本文对电子商务系统中的主要安全技术进行了简单的介绍,并对其中的身份认证技术进行了深入的分析和探讨,找出了现存身份认证系统中的安全漏洞和不足,提出相应的解决方案。将改进的一次性口令认证技术和有限域上椭圆曲线密码技术分别应用于B2C和B2B电子商务身份认证系统中,提出一种新的电子商务身份认证系统结构模型,并实现了该电子商务身份认证系统,该身份认证系统可以有效地抵御重放攻击和小数攻击。在具体实现时,又将智能卡技术引入B2B电子商务系统中,进一步提高了B2B电子商务身份认证系统的安全性和实用性。
本文主要做了以下几个方面的工作:
(1)对一次性口令认证技术进行了深入的分析和探讨,针对现存一次性口令认证系统不能抵御小数攻击的安全漏洞,提出一种改进的一次性口令认证机制,这种认证机制能够有效地抵御小数攻击和重放攻击,而且使用时不需要客户端做任何设置和安装任何软件。
(2)对各种身份认证技术进行分析,找出基于对称密钥算法的身份认证技术的不足,并对基于不同难题的公开密钥算法的性能进行深入的分析和比较,找出综合性能比较好的公开密钥算法以应用于电子商务身份认证系统中。
山东师范大学硕士学位论文——电子商务系统中的安全机制研究
(3)将有限域上的椭圆曲线密码算法(ECC)应用于电子商务中的身份认证系统,
提出基于有限域上椭圆曲线点群中离散对数问题的身份认证机制,仅用短的密钥就可
以达到RSA/DSA算法很长密钥的安全强度(目前,大约224bits的ECC就可以达到2048
的RSA的强度)。
④ 将改进的一次性口令认证技术和有限域上椭圆曲线密码技术ECDSA分别应用
于BZC和 BZB电子商务身份认证系统中,提出一种新的电子商务身份认证系统结构模
型。
o)结合智能卡技术,设计并实现了基于改进的 OTP技术和 ECDSA算法的电子商
务身份认证系统。
本文介绍的电子商务身份认证系统,迎合普通用户方便、安全的需求,用改进的
一次性口令认证技术实现身份认证;迎合合作伙伴用户对安全性的特殊需求,用高安
全性、高可靠性的ECDSA签名技术结合智能卡来实现,具有较强的实用性和较高的安
全性。在我国叫 基础设施尚不完善的今天,结合了本身份认证系统的电子商务系统
更具实用性,更有利于电子商务的普及。
With the rapid development of Information and Technology, human race is coming into a new era of network and information. Electronic Commerce based on Internet has become a new mode for people to pursue commerce. With more and more people execute their commerce through Internet, the prospect of Electronic Commerce is becoming more and more attracting. But at the same time, the security problem of Electronic Commerce is becoming more and more obvious. How to establish a secure and convenient application environment of Electronic Commerce has become a current topic. In the secure application environment electronic transaction should have the same security and reliability as the conventional transaction through face-to-face exchange.
Now what enterprises in our country mind is the security problem, so the security of information is the most important problem to solve before developing Electronic Commerce. It has become the key of developing Electronic Commerce to study and analyze the security of Electronic Commerce and then to exploit Electronic Commerce security products of our own knowledge rights.
As Electronic Commerce security involves many aspects and status authentication is the first defence in Electronic Commerce security, so this thesis mainly analyzes and probes the technologies of status authentication.
After simple introduction of security technologies in Electronic Commerce, this thesis analyzes and probes deeply the technologies of status authentication, and then finds out the deficiency of the extant systems of status authentication and gives the corresponding solution schenism. This thesis applies respectively the improved One-Time Password authentication mechanism and the Elliptic Curve Digital Signature Algorithm status authentication mechanism to Business-to-Client (B2C) and Business-to-Business (B2B) Electronic Commerce systems, and provides a new framework model of Electronic
Commerce status authentication systems. At last, This thesis gives an implementation of the status authentication system, which can resist the small-number attack and replay attack. During the implementation, Intelligent Card technology is introduced into the Business-to-Business Electronic Commerce system, and then improves the security and utility of the status authentication system in the Business-to-Business Electronic Commerce.
The main work of this thesis include the following aspects:
(1) After deeply analyzing and probing the One-Time Password authentication technology, aiming for the deficiency of the extant systems of One-Time Password authentication, this thesis proposes an Improved One-Time Password authentication schenism, which can efficiently resist the small-number attack and replay attack. What's more, during implementation the improved authentication mechanism does not require the user in the client end to install any software or to modify any configuration.
(2) This thesis analyzes the deficiency of status authentication based on symmetric cryptography, analyzes the technologies of status authentication based on public-key cryptography, and especially analyzes the algorithms based on different difficult problems.
(3) This thesis applies the elliptic curve cryptography over finite fields to the status authentication systems in the Electronic Commerce and proposes a new status authentication mechanism based on the discrete logarithm problem in the points on elliptic curves over finite fields. This new status authentication mechanism can provide increased speed and decreased key size for a given level of security.
(4) This thesis applies respectively the improved One-Time Password authentication mechanism and the status authentication mechanism based on the discrete logarithm problem in the points on elliptic curves over finite fields to Business-to-Client(B2C) and Business-to-Business(B2B) Electronic Commerce systems, and proposes a new framework model of Electronic Commerce status authentication systems.
(5) Combining the Intelligent Card technology, this t
引文
[1] 李凤银,刘培玉,鞠宏伟.OTP技术的一种改进方案与应用.计算机系统应用,2003,4:34-36
[2] 鞠宏伟,李凤银,刘培玉.数字签名技术在现代远程教育管理系统中的应用.计算机系统应用,2002,11:19-21
[3] 李凤银,刘培玉,鞠宏伟.双方不可否认的数字签名技术在现代远程教育管理系统中的应用.电化教育研究,2002专辑:70-73
[4] 李凤银,鞠宏伟,刘培玉.基于XML的数字签名技术研究.山东师范大学学报(自然科学版),2003,18(1):21-23
[5] R L Rivest, A Shamir, L M Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems[J].Communications of the ACM, 1978,21(2): 120-126
[6] 冷德辉.一种新的公钥密钥密码技术—椭圆密码术.多媒体技术论坛,2000:225-230
[7] 王锁萍,吕毅.一个基于OTP的FTP代理服务器模型的设计和实现.计算机应用研究,2000,9:45-47
[8] 常晓林,冯登国,卿斯汉.一次身份认证可访问多个应用服务器.软件学报,2002,13(6):1111-1116
[9] 黄发文,徐济仁,陈家松.计算机网络安全技术初探.计算机应用研究,2002,5:46-48
[10] 蒋艳凰,白晓敏,杨学军.数字签名技术及其发展动态.计算机应用研究,2000,9:1-3
[11] 朱树人,李伟琴.安全信道的建立及应用研究.计算机科学,2001,28(3):50-52
[12] 李常青,唐世渭,李红燕.一个电子商务系统的设计.计算机科学,2001,28(6):14-16
[13] 张大陆,时慧.电子公文中数字签名的设计和实现.计算机应用研究,2001,6:78-79
[14] 牛健伟,胡建平.基于IC卡的数字签名技术研究与实现.计算机应用研究,2001,4:16-18
[15] 李娟,左春.一个新的电子商务的安全方案:HTML表单签名.计算机科学,2001,28(11):88-91
[16] 谭凯军,诸鸿文,顾尚杰.基于数字签名方案DSS/DSA的几种应用方案.计算机研究与发展,1999,36(5):632-637
[17] 孟宪福,陈沛.基于数字签名的数据自动上载的研究与实现.计算机应用研究,2002,5:76-78
[18] 朱树人,李伟琴,一种基于RSA加密的身份认证系统.小型微型计算机系统,2001,22(8):954-956
[19] 李强,牛凌宇.一个数字签名系统的设计与实现.小型微型计算机系统,2001,22(11):1345-1348
[20] 李子臣,杨义先,吴伟陵.一类基于数字签名的密钥认证方案.电子学报,2000,28(4):115-116
[21] 曾孜.网络安全中的数字签名技术分析与应用.计算机系统应用,2001,8:33-35
[22] 叶锡君,吴国新,许勇,束坤.一次性口令认证技术的分析与改进.计算机工程,2000,26(9):27-29
[23] Haller N, Metz C, Nesser P, etc. A One-Time Password System. RFC 2289,1995-02
[24] Haller N. The S/KEY One-Time Password System(OTP).RFC 1760,1995-02
[25] Franks J. Hallem-Baker P, Hostetler J, etc. HTTP Authentication: Basic and Digest Access Authentication, RFC 2617, 1999-06
[26] 任艳,李九龄.使用Java实现数字签名.计算机应用,2001,21(8):46-47
[27] 薛丽敏,增劲松.一种通过智能卡实现的入侵监测系统.计算机系统应用,2001,10:28-30
[28] 辛丽虹,罗家斌.智能卡系统Java软件设计与应用.计算机应用,2001,21(4):69-71
[29] 刁兴春.电子商务平台的安全体系研究.计算机工程与应用,2002,16:127-131
[30] 张润彤编著.电子商务概论.电子工业出版社,2003,1
[31] 朱稼兴编著.电子商务大全.北京航空航天大学出版社,2003,1
[32] 关振胜编著.公钥基础设施PKI与认证机构CA.电子工业出版社,2002,1
[33] 陈勇,刘焕淋.基于电子商务的信息密码技术.计算机系统应用,2002,2:40-43
[34] 帅青红.电子商务安全性分析.信息安全与通信保密,2002,2:50-53
[35] 夏智灵,武彩霞,周伟.基于PKI的安全代理软件的设计.计算机应用研究,2002,3:71-72
[36] 李云峰,程代杰.WebSphere安全策略概述及在B2B电子商务应用中的实现.计算机应用研究,2002,4:80-82
[37] 陈勇,许鹃,仲卫涛,梁军.电子商务Web数据库技术相关方法的应用研究.计算机工程与应用,2002,5:175-178
[38] 陈兵,王立松.网络安全体系结构研究.计算机工程与应用,2002,7:138-140
[39] 万常选,刘云生.电子商务的技术及其应用.计算机工程与应用,2002,7:247-249
[40] 张小亮,郭宝安.对基于不同难题的公钥加密体制的分析及安全性比较.计算机工程与应用,2002,13:60-61
[41] 杨南海,王秀坤.一种安全的IC卡数据加密算法及其应用.计算机工程与应用,2002,13:249-250
[42] 沈炜,陈纯.智能卡应用体系安全方案.计算机工程,2002,28(1):47-49
[43] 郭瑞颖,毛明,吴明玉,詹榜华.一种基于Web的B2B安全电子支付模型的探讨.小型微型计算机系统,2001,22(10):1274-1276
[44] 陈勤,丁宏.一种基于大数分解问题的随机密钥认证方案及其应用.小型微型计算机系统,2001,23(8):944-945
[45] 蔡瀛捷,陈家训.基于Web的数据安全交互模式研究.计算机应用研究,2003,2:111-112
[46] 王金伦,张玉龙,顾明.基于四层结构的电子商务数据管理模型的研究.计算机科学,2003,30(2):60-62
[47] 马小军,沈辉,季全芝著.网络程序设计与Java语言.北京希望电子出版社,2002,9
[48] 王迪华,刘臣勇,刘立鹏等著.JSP/Servlet—基于Java的最新网站建设工具.清华大学出版社,2001,6
[49] 冯矢勇编著.电子商务安全.电子工业出版社,2002,4
[50] 吴世忠,祝世雄,张文政等译.应用密码学.机械工业出版社,2003,1
[51] 马尚才等编著.电子商务安全技术.国防工业出版社,2003,1
[52] 雷信生,万兆泽,刘玲等编著.电子商务安全技术.国防工业出版社,2002,10
[53] 林枫等编著.电子商务安全技术及应用.北京航空航天大学出版社,2001,3
[54] 许榕生,蒋文保编著.电子商务安全与保密.中国电力出版社,2001,6