论文部分内容阅读
近日李克强总理在2015年政府报告工作报告中提出了“互联网+”行动计划,“互联网+”引起了广泛的关注,O2O模式作为“互联网+”的主要代表,更是进入了蓬勃发展的时期,国内涌现了大量O2O平台。作为互联网中最流行的商业模式,O2O成功将日常生活消费同互联网联系起来。社区O2O解决了物流最后一公里问题,成为蕴含巨大潜力的新模式。在快速发展的同时,它也面临着越来越多的问题,包括流量转换问题,资源整合问题以及安全问题等,特别是在安全性方面给用户以及平台带来了巨大的经济损失,解决电子商务O2O平台的安全性问题迫在眉睫。国内O2O平台普遍采用基于口令的身份认证协议,其在通信过程中仅使用简单加密甚至不加密,用户信息在通信过程中易被偷听或者篡改;另一方面,由于常见O2O平台框架的健壮性问题,用户口令等隐私极易被拖库后用于撞库攻击。O2O面临的问题主要还有身份凭证安全,交易中用户信息及个人账户等信息的暴露等。针对以上问题,本文对如何保证信息不被截取,抵抗常见攻击尤其是撞库攻击进行研究。针对O2O安全性问题,本文通过对常见攻击的研究,对系统平台进行了相关的安全增强。从认证协议入手,本文对业务流的各个环节进行分析,从整体技术框架角度对微社区体系进行安全性加固,增加安全增强模块。本文首先介绍了O2O平台常见的安全问题、目前O2O平台采用的用户认证协议的相关知识和一些密码学以及撞库相关的攻击理论和技术背景。随后介绍了微社区O2O平台的总体设计,接着对其技术架构,功能架构进行具体详细的设计说明,然后对安全增强模块做了详细的阐述,介绍了主要的安全风险以及针对其设计的增强体系方案,并设计了基于微社区环境下的身份认证协议,最后通过测试验证本文实现功能的有效性。