移动商务应用中的认证技术

刘忠

移动商务又称为下一代电子商务，是指使用移动设备进行电子交易和互动的一种行为。越来越多的商家开始通过用户的移动设备提供电子交易服务，而这一切如果没有智能手机的出现是不可能实现的。智能手机为移动商务提供了小型的浏览器和相关的安全服务（例如，证书、加密等），而且，手机一般和用户寸步不离且很少关机，这就使得移动商务对企业而言非常诱人。当今，移动商务已经成为一种商业模式，成为增加企业核心竞争力的手段之一。

近些年推出的很多产品和服务都在使用移动商务，包括从基本的移动营销到要求高度安全级别的支付类应用。现在很多金融交易都离不开移动支付作为中间环节。爱立信作为电信行业的巨头同时也是移动支付领域的佼佼者，估计截至2015年移动支付行业会创造20亿欧元的利润和600亿欧元的营业额。

移动商务依托智能手机为企业提供了新的机遇，并且为用户提供了随时随地在线交易的途径。但是，我们不能忽视随之而来的安全问题。例如，移动商务的认证问题，安全金融交易的实现问题等。

一、移动商务安全现状分析

移动设备上的病毒和传统计算机病毒在行为方式上是一致的，都具有传染性；不同之处是其适应性，移动设备上的病毒在往往专门为某一种运行环境设计的，例如塞班操作系统、IOS等，这些病毒一般通过蓝牙或者短信传播。在过去十年间，有超过200种有关移动设备的安全威胁被发现，这些威胁几乎都与特定的机器设备有关。例如，塞班操作系统被报道出来的病毒明显多于其他操作系统。可以肯定的是，安全威胁的数量和移动设备的复杂性成正比。

为了扩大消费群体和提供更大的便捷性，越来越多的商业交易都有了自己的移动平台，这些平台或者应用的推出除了吸引更多的用户外，同时也引起了黑客的注意；可以预见，在未来一段时间内，移动设备遭受攻击的案例会越来越多。当然，移动设备生产厂商也不会坐以待毙；例如，苹果公司在其IOS操作系统中通过实施某些安全策略，限制未经许可的程序安装在它们的平台上，从而在一定程度上保证用户系统的安全；但黑客们也已经开发出某些程序，这些程序可以绕过这些安全机制，让用户随心所欲的安装软件（这一行为称之为“越狱”），这些软件很有可能存在被黑客利用的漏洞。本文接下来将探讨移动商务中如何进行访问控制。

二、移动商务认证技术

1.双因素认证。简单来说，双因素身份认证是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。在移动商务领域，其中一个因素是智能手机，另一个因素是密码，只有两者结合才能认证。认证过程需要手机产生一个动态密码（OTP），或者使用短信获得一个远程服务器产生的OTP，然后配合已有密码同时输入到系统中，只有两者皆正确，才能完成认证。这样的话，即使用户已知的密码被泄露也不用担心系统被入侵了，这比传统的单因素认证要安全的多。

现如今，双因素认证系统被广泛使用。例如，使用中国银行网银系统付款时需要同时输入口令牌中的动态密码和由短信接收的密码，两者缺一不可。有的银行使用动态令牌卡和动态密码也可以实现安全交易。

2.单点登录认证。一般来说，用户对多个应用会建立若干个账号来访问，例如，邮箱账号、QQ账号、办公系统的账号等。用户需要记住不同的用户名和密码组合才能访问这些应用。单点登录机制（SSO）只需要通过用户的一次性鉴别登录，即可获得需访问系统和应用软件的授权，也就是说，用户不需要为每个应用逐一认证，只用认证一个应用即可。至于应用程序之间如何认证，用户不用介入。这种服务现在也被广泛的使用，例如现在可以使用QQ帐号登录很多论坛，用户只需要授权该论坛有验证QQ帐号密码的权限即可。

这种服务虽然方便了用户，但如果某个帐号被窃取了，单点登录机制会导致该用户的多个应用都有被盗用的危险。特别是有些应用程序安全级别较低，黑客可能会通过取得这些程序的权限来达到获取高安全级别应用权限的目的。

3.强认证。强认证引入了移动电话充当认证的令牌，取代了传统的硬件令牌。传统方式下，企业需要维护成百上千个硬件令牌用于认证，这样付出的代价是相当高的；而且，用户也需要随身携带一个硬件令牌随时进行认证，这样给用户造成了很大不便。强认证使用手机作为动态密码的发生器，解决了上述不便；而且，使用手机还可以实现上面描述的双因素认证。

4.社交认证。加拿大麦吉尔大学的两位研究员在一份研究报告中建议，在已有的双因素认证再添加一个社交认证因素可以增加系统的安全性，该因素来源于某个人所属的社交网络，比如他所认识的朋友或亲人。全球最大的社交网站Facebook实践了这一应用，当系统接收到从国外发送来的登录请求时，用户被要求回答本人相册中三张照片里某个人的姓名，一般情况下，陌生人是不认识用户的朋友的，从而系统抵御了这类人的攻击；但是，如果用户的系统遭到他朋友的攻击时，社交认证就难以抵御了，因为他们可能有共同的朋友。

5.基于椭圆曲线密码的无线本地支付方案。1985年，N.Koblitz和V.Miller分别提出了椭圆曲线密码体制（ECC），其依据是定义在椭圆曲线点群上的离散对数问题的难解性。这一应用同样可以使用在无线安全交易领域。例如，用户通过手机进行支付时，可以使用公钥基础设施（PKI）框架，在这一框架下，系统的安全性由一系列的安全密码原语和协议保证。

这个框架涵盖了支付方、收款方和他们各自的银行之间的安全通信。过程大致是这样的：支付方从发卡行提交支付请求，银行给他发送一份带有支付方签名的电子支票，然后支付方和收款方建立一个安全连接，他们互相交换公钥证书，并协商好会话密钥用作认证。支付方收到收款方发送给他的加密收据后，回复一封经过签名后的电子支票。收款方签名，然后将该支票发到收单行，由银行验证支票的有效性。整个过程基于蓝牙协议栈和椭圆曲线密码原语。

在线支付服务提供商。在线支付服务提供商的代表——贝宝，使用单因素认证，即只使用了密码验证用户的有效性。该系统强制用户使用强密码，例如，要求用户设置的密码是不同数据类型的組合，限制最小密码位数等。尽管强密码难于用具穷法破解，但这种单因素系统仍然较脆弱，尤其是现在密码破解技术越来越高明，从某种角度上讲，该系统仍不够安全。

Alan D.Smith对这个系统做了深刻的研究。这项研究采访了来自18个国家的190位工作人员，历时四个月之久。经过调查，作者指出了使用在线支付服务的某些缺点。

“贝宝不是一家银行，所以它没有内部审计，并且所有的资金没有保证。”

“贝宝在很大程度上依赖于安全性并且它的软件在过去曾出现漏洞。例如，在2000年，贝宝和其他在线支付系统遭到俄罗斯的黑客攻击。”但是，研究的最后结果也显示了，在线支付服务有较大的用户群体，并且在将来还有很大的发展潜力。

近些年来在认证和支付领域不断涌现新的研究成果。有些技术是针对某一平台（操作系统，如IOS、Android等）的认证技术，而有些认证技术与平台无关，例如，本文提到的多因素验证或第三方在线支付平台等，它们都能在一定程度上认证用户，达到访问控制、提高系统安全性的目的。但是，如果要保障移动商务的安全，除了应该采取严密的认证体系外，还应该加强移动支付系统本身的安全性。

（作者单位：陕西理工学院）