|
目前,随着网络技术的迅猛发展,高科技犯罪的不断增加,电子支付的安全性越发显得重要。为此,我公司推出了用于保护“个人密码”的应用方案。
传统的电子支付系统的解决方案基本上对客户的“个人密码”都不做任何保护,这样很容易出现因“个人密码”被盗而产生的非法交易,而客户蒙受损失后,对电子支付的信任度将急速下降。
因此,采用更安全的“个人密码”保护方案迫在眉睫。
一般来说,盗取“个人密码”的主要方法是:
1.窃听,即在从键盘到POS机再到服务器的通讯链路上窃听
2.偷看,即通过肉眼、摄像机等方式在用户输入密码时偷看。
所以方案目标就是怎样防止窃听及偷看,故此,采用将输入密码加密的方法来防止窃听,密码键盘加护围的方法来防止偷看(更好的方法是采用旋转变位密码键盘)。
1.灵活性原则:适应各种通讯接口,适用各种操作系统。
2.可靠性原则:必须是成熟的技术,可靠的硬件设备。
3.安全性原则:必须保证密钥的绝对安全。
4.先进性原则:技术的高起点可适应更长久的应用。因为新的技术发展迅速,落后的技术将很快被淘汰。如果不采用最先进且成熟的技术,一旦有新应用新需求的产生,就很快面临着技术,设备的更新换代问题。
5.高效性原则:不要过大的增加系统负担。
四.方案原理
1、加密算法: 采用国际金融系统通用的DES加密算法。
2、实现方法: 具体来说就是预先约定1024组或更多组密钥装在密码键盘里,在加密时随机选择一组密钥来加密“用户所输入的密码”,到数据主机上再解密成明文存储。
3、有效周期:其有效周期是从客户密码输入“个人密码”开始,直至此段密文在数据主机上解密后为止。也就是说在从密码“生成”到“比对”或“存储”的整个传送过程中都是以密文的形式存在的,可以保证途中安全。
4、抗攻击性: 就目前计算机速度而言用‘穷举法+特殊算法’来攻击,需一年以上的时间才能破译,因此,只要在此期间更换密钥,就足以抵抗高强度的攻击。
5、随机选择密钥的方法: 有两种:1.上层系统(相对于密码键盘)主动选择,前提是在有发送能力的接口上。2.密码键盘自己随机选择,上送报文包含密钥组别信息。
|
