论文部分内容阅读
【摘 要】 国内的SaaS和PaaS服务商提供的在线会计信息系统服务,能帮助用户随时随地进行会计日常业务处理,充分发挥会计核算、分析和财务决策等职能。由于所有服务都是基于互联网的应用模式,网络安全变得越来越重要。为维护和保障用户的正当利益,在线会计信息系统用户身份认证体系采用双因素动态口令方式构建,能有效防止窃听、重放、伪造、服务器欺骗、暴力破解和猜测等攻击手段,相比传统方式构建的身份认证体系更安全。
【关键词】 OTP技术; 在线会计信息系统; 动态口令; 身份认证
随着互联网的不断发展及在线服务业务的需求日益增加,金碟、用友、阿里巴巴和八百客等SaaS服务商相继推出了在线会计、在线记账、钱掌柜和管理自动化等在线会计信息系统。如何保障在线业务开展的安全性是维护用户切身利益的关键问题。身份认证是系统安全的第一道防线,也是系统安全的关键所在。常用的传统身份认证方式是ID/PW静态口令模式,其广泛应用于Web应用服务。但静态口令是可以重复使用的,易受穷举、重放、网络数据包侦听和协议分析等多种形式的攻击。为解决上述问题,在线服务提供商可构建无须第三方认证的基于动态口令技术的双因素身份认证体系,是可行的、安全可靠的解决方案。
一、身份认证及OTP技术
在线会计信息系统中确认操作者身份的过程所应用的OTP技术,需要认识两个概念。
(一)身份认证
身份认证是主要用于阻止非授权用户对系统的访问或入侵,是网络安全的一个重要内容,也是计算机信息系统的重要的安全保护手段。传统常见的身份认证方式有用户口令核对法。即:系统为合法的用户建立ID/PW,通过登录时用户输入信息与系统内的信息是否匹配来验证用户身份。静态口令是简单有效的安全措施,应用也方便,用户端不需要安装软硬件认证设备,但由于用户名和口令都以明文方式在网络中传输,存在易攻击、易窃取和易破解等问题。身份认证大致分为以下四大类型:一是用户申请固定的秘密信息,如用户名和口令、PIN码等;二是用户持有某些物理介质,如IC卡、智能卡和加密U盘等;三是用户具有的生物学特征,如五官、指纹、DNA、掌纹、视网膜和声音等;四是用户和认证系统双向认证后提供动态口令令牌,如软件令牌、硬件令牌和短信令牌等。
(二)OTP技术
OTP(One-time Password)技术,即动态口令技术,是系统鉴别用户身份合法性的数字化凭证,是防止非法用户侵入而设计的一种身份认证技术。OTP技术根据专门的算法生成一个只能使用一次且有生命周期,不可预测的随机数字组合。OTP身份认证的实现方式包括S/KEY方式、挑战/应答方式、时间同步方式和事件同步方式。OTP技术是一种先进、安全和便捷的用户信息防盗技术,可有效地保护用户登录和交易的认证安全。动态口令认证的实现原理是:用户在登录系统、验证身份的过程中加入一些不确定的因素,传递给认证系统验证的数据是动态和变化的,从而提高信息系统的安全性。OTP技术下的身份认证系统采用自定的简单加密算法和身份认证协议,为每个用户分配一个用户名,并生成一组密钥。客户端根据用户的当前时间值和密钥生成用户当前登录口令。用户使用该登录口令和用户名提交身份认证请求,认证服务器通过用户名的索引找到该用户在认证服务器数据库中的密钥,再经过算法变换后得到校验口令,如校验口令和用户请求口令一致,则通过身份认证,否则,拒绝用户登录请求。
OTP身份认证系统有以下特点:1.动态口令具有不重复使用及较强的时效性;2.动态口令无需复杂的算法,减轻客户端的运算压力;3.动态口令的口令位数更长,具有8位的长度,具备较好地抗分析与抗暴力破解能力;4.动态口令无需另附加终端认证的硬件设备;5.动态口令无需缺乏权威的第三方认证机构的参与;6.动态口令的使用,可有效防范外网和内网的入侵攻击;7.动态口令认证过程中客户端和服务器间的通信次数少、信息量小。OTP身份认证系统能有效抵御猜测、重放和窃听等黑客攻击,表1为基于动态和静态口令身份认证系统的相关数据对比情况(见表1)。
二、国内在线会计信息系统身份认证体系现状
我国在线会计服务模式是基于B/S架构的软件模式,企业不用花费巨资购买财务软件,不需要进行软件的安装、维护和升级等一系列工作,只需借助互联网按年或月支付费用即可租用软件进行会计业务处理的一种模式。目前推出在线会计信息系统服务的开发商有金蝶、用友、阿里巴巴和八百客等,笔者对表2中几款在线会计信息系统的身份认证系统进行对比分析发现:国内在线系统身份认证体系中暂无服务商提供动态口令身份认证服务,这严重影响在线服务系统的安全性和用户的切身利益,也将影响SaaS服务商提出的在线会计信息系统实现“未来五年的复合增长率达到43%”的目标(见表2)。
三、基于OTP技术的在线会计信息系统身份认证体系构建
按照系统论观点,会计信息系统是指由会计的确认、计量、记录、分析、预测、决策、控制等一系列元素有机构成的集合体。现重点阐述OTP技术的在线会计信息系统身份认证体系构建。
(一)常用OTP认证的基本原理
1.挑战/应答(Challenge/Response)认证技术
基于挑战/应答认证技术的基本原理:选择自定函数或加密算法作为口令生成算法。用户在请求登录时,认证服务器产生一个挑战码(随机码),包括种子Seed和迭代次数Seq。用户端将口令(密钥)和挑战码作为自定单向函数的参数进行运算。由于每个用户的密钥不同,不同用户对同样的挑战码算出不同的应答数,这个应答数作为动态口令发送给认证服务器且这个应答数只能使用一次。该方式具有较好的安全性(见图1)。
2.时间同步(Time Synchrono-us)认证技术
时间同步认证技术的基本原理是以用户登录时间作为随机因素,流逝的时间作为变动因子,一般以60S为变化单位。同时选择自定单向函数作为认证数据的口令生成算法。将用户端的口令(密钥)和时间值作为自定单向函数的参数。因为运算所得的认证数据因时间值的不确定也在不断变化,从而保证了每次产生的动态口令值都不相同(见图2)。
【关键词】 OTP技术; 在线会计信息系统; 动态口令; 身份认证
随着互联网的不断发展及在线服务业务的需求日益增加,金碟、用友、阿里巴巴和八百客等SaaS服务商相继推出了在线会计、在线记账、钱掌柜和管理自动化等在线会计信息系统。如何保障在线业务开展的安全性是维护用户切身利益的关键问题。身份认证是系统安全的第一道防线,也是系统安全的关键所在。常用的传统身份认证方式是ID/PW静态口令模式,其广泛应用于Web应用服务。但静态口令是可以重复使用的,易受穷举、重放、网络数据包侦听和协议分析等多种形式的攻击。为解决上述问题,在线服务提供商可构建无须第三方认证的基于动态口令技术的双因素身份认证体系,是可行的、安全可靠的解决方案。
一、身份认证及OTP技术
在线会计信息系统中确认操作者身份的过程所应用的OTP技术,需要认识两个概念。
(一)身份认证
身份认证是主要用于阻止非授权用户对系统的访问或入侵,是网络安全的一个重要内容,也是计算机信息系统的重要的安全保护手段。传统常见的身份认证方式有用户口令核对法。即:系统为合法的用户建立ID/PW,通过登录时用户输入信息与系统内的信息是否匹配来验证用户身份。静态口令是简单有效的安全措施,应用也方便,用户端不需要安装软硬件认证设备,但由于用户名和口令都以明文方式在网络中传输,存在易攻击、易窃取和易破解等问题。身份认证大致分为以下四大类型:一是用户申请固定的秘密信息,如用户名和口令、PIN码等;二是用户持有某些物理介质,如IC卡、智能卡和加密U盘等;三是用户具有的生物学特征,如五官、指纹、DNA、掌纹、视网膜和声音等;四是用户和认证系统双向认证后提供动态口令令牌,如软件令牌、硬件令牌和短信令牌等。
(二)OTP技术
OTP(One-time Password)技术,即动态口令技术,是系统鉴别用户身份合法性的数字化凭证,是防止非法用户侵入而设计的一种身份认证技术。OTP技术根据专门的算法生成一个只能使用一次且有生命周期,不可预测的随机数字组合。OTP身份认证的实现方式包括S/KEY方式、挑战/应答方式、时间同步方式和事件同步方式。OTP技术是一种先进、安全和便捷的用户信息防盗技术,可有效地保护用户登录和交易的认证安全。动态口令认证的实现原理是:用户在登录系统、验证身份的过程中加入一些不确定的因素,传递给认证系统验证的数据是动态和变化的,从而提高信息系统的安全性。OTP技术下的身份认证系统采用自定的简单加密算法和身份认证协议,为每个用户分配一个用户名,并生成一组密钥。客户端根据用户的当前时间值和密钥生成用户当前登录口令。用户使用该登录口令和用户名提交身份认证请求,认证服务器通过用户名的索引找到该用户在认证服务器数据库中的密钥,再经过算法变换后得到校验口令,如校验口令和用户请求口令一致,则通过身份认证,否则,拒绝用户登录请求。
OTP身份认证系统有以下特点:1.动态口令具有不重复使用及较强的时效性;2.动态口令无需复杂的算法,减轻客户端的运算压力;3.动态口令的口令位数更长,具有8位的长度,具备较好地抗分析与抗暴力破解能力;4.动态口令无需另附加终端认证的硬件设备;5.动态口令无需缺乏权威的第三方认证机构的参与;6.动态口令的使用,可有效防范外网和内网的入侵攻击;7.动态口令认证过程中客户端和服务器间的通信次数少、信息量小。OTP身份认证系统能有效抵御猜测、重放和窃听等黑客攻击,表1为基于动态和静态口令身份认证系统的相关数据对比情况(见表1)。
二、国内在线会计信息系统身份认证体系现状
我国在线会计服务模式是基于B/S架构的软件模式,企业不用花费巨资购买财务软件,不需要进行软件的安装、维护和升级等一系列工作,只需借助互联网按年或月支付费用即可租用软件进行会计业务处理的一种模式。目前推出在线会计信息系统服务的开发商有金蝶、用友、阿里巴巴和八百客等,笔者对表2中几款在线会计信息系统的身份认证系统进行对比分析发现:国内在线系统身份认证体系中暂无服务商提供动态口令身份认证服务,这严重影响在线服务系统的安全性和用户的切身利益,也将影响SaaS服务商提出的在线会计信息系统实现“未来五年的复合增长率达到43%”的目标(见表2)。
三、基于OTP技术的在线会计信息系统身份认证体系构建
按照系统论观点,会计信息系统是指由会计的确认、计量、记录、分析、预测、决策、控制等一系列元素有机构成的集合体。现重点阐述OTP技术的在线会计信息系统身份认证体系构建。
(一)常用OTP认证的基本原理
1.挑战/应答(Challenge/Response)认证技术
基于挑战/应答认证技术的基本原理:选择自定函数或加密算法作为口令生成算法。用户在请求登录时,认证服务器产生一个挑战码(随机码),包括种子Seed和迭代次数Seq。用户端将口令(密钥)和挑战码作为自定单向函数的参数进行运算。由于每个用户的密钥不同,不同用户对同样的挑战码算出不同的应答数,这个应答数作为动态口令发送给认证服务器且这个应答数只能使用一次。该方式具有较好的安全性(见图1)。
2.时间同步(Time Synchrono-us)认证技术
时间同步认证技术的基本原理是以用户登录时间作为随机因素,流逝的时间作为变动因子,一般以60S为变化单位。同时选择自定单向函数作为认证数据的口令生成算法。将用户端的口令(密钥)和时间值作为自定单向函数的参数。因为运算所得的认证数据因时间值的不确定也在不断变化,从而保证了每次产生的动态口令值都不相同(见图2)。