敏感数据的安全传输是网络安全技术的一个重要的组成部分。目前电子交易中经常使用两种安全在线支付协议即安全套接层SSL协议和安全电子交易SET协议。它们能够提供安全性较高的数据传输服务,但是由于系统庞大而复杂或需要建立自己的证书服务器等原因,这两种协议均不适用于只有很少的一部分关键性的数据需要在网络中安全传输的小型电子商务网站。 针对这种情况,西安交通大学计算机系新型机研究所提出了基于敏感数据自身的数据DES加密安全传输的技术。该技术存在DES加密强度还不够高,对于DES密钥的分发和管理难,没有实现客户端和服务器端双向认证的问题。 无需第三方公证的一次性口令(One-Time Password OTP)认证技术是一种易于实现且安全度较高的认证方案,它是理论上较安全的身份认证机制,非常适合国内企业和小型商务网站。 因此,本文分析了一次性口令认证技术的原理和实现过程,指出它其中存在的小数攻击的安全漏洞。并将其与基于敏感数据自身的数据DES加密安全传输的技术结合起来进行了一些改进:将用户的秘密通行短语由服务器公钥经RSA加密算法加密后保存在用户认证数据库中,不再保存上一次的一次性口令;客户端和服务器端分别将秘密通行短语,变化的迭代值和种子进行一系列的变换生成中间结果即一次性口令,然后,双方在此基础上分别独立产生两个一次性会话密钥;运用动态信息,即在挑战中加入随机数和服务器的时间戳;针对DES加密算法强度不够,我们将加密算法改为AES算法。这些改进提高了系统的安全性能,形成了一种可实现服务器端和客户端相互认证并且敏感数据可进行AES加密安全传输的方案,并且文中给出了利用JAVAAPPLET技术实现该系统过程中的一些关键技术。 具有双向认证功能的敏感数据AES安全传输系统安全性较高,成本低,维护简单,为在企业内部网或基于WEB的小型电子商务网站构建时在客户与服务器之间安全传输少量的敏感数据实现了一种新的解决方案。