网站原创[摘 要]本文指出了电子商务活动当前所面临的身份认证问题,详细描述了目前流行的几种身份认证技术的实现原理和实施步骤,并对几种方案的优缺点进行了分析和比较.
[关 键 词]电子商务静态网络安全客户证书动态
电子商务源于英文ELECTRONICCOMMERCE,指的是利用简单、快捷、低成本的电子通讯方式,写卖双方不谋面地进行各种商贸活动.随着电子商务的普及,人们已经习惯于网上购物,网上银行和电子支付等新兴事物,然而网络安全始终是制约电子商务发展的一个主要瓶颈.
一、电子商务的身份认证
在电子商务活动中,由于所有的个人和交易信息要在一个开放的网络(如Inter)进行传输和交换,故我们需要身份认证技术去验证客户的身份.身份认证一般基于客户拥有什么(如令牌,智能卡或者ID卡),客户知道什么(如静态),客户有什么特征(如指纹,虹膜和脑电波等).国内外常见身份认证技术包括:用户名/方式、IC卡认证、USBKey认证和生物特征认证等.随着网络和技术的发展,用户名/方式认证已经被证明是不安全的.由于静态的方案不能抵御重放攻击,字典攻击且容易忘记,所以其安全性是很低的,不能满足电子商务中身份认证的要求.目前国内外的一些较成熟的身份认证技术,基本上是用硬件来实现的(如IC卡和USBKey认证技术等).
二、各种身份认证技术的比较
1.静态的用户名和口令方案.在众多的身份认证方案中,静态的用户名和口令方案至今仍是使用最广泛的方案,特别是针对那些安全性要求不强的应用场合,如论坛,BBS和电子信箱.目前公司和个人受到网络攻击的主要原因是静态政策管理不善.大多数用户使用的都是字典中可查到的普通单词、姓名或者其他简单的.有86%的用户在所有网站上使用的都是同一个或者有限的几个.最近一次全国性安全事件发生在2011年12月.当时CSDN的安全系统遭到攻击,600万用户的登录名、及遭到泄漏.在获取了CSDN的用户登录名和后,再用这个尝试登录注册,如果成功则利用很多网站常用的取回功能得到了该用户的其他关联网站的和.总而言之,静态身份认证方案的优点是实施成本低,不需要购置特殊的设备,用户体验性好,但其安全性较低.
2.客户证书USBKey(U盾)方案.从技术角度看,客户证书USBKey是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性.目前国内几大商业银行,如工商银行、农业银行和交通银行等都采用了USBKey方案.网络即使知道了客户的登录和支付,但如果没有USBKey在手,还是不能够从你的帐户转出一分钱.故这种身份认证方式可以很好地避免、被盗等可能出现的风险.USBKey方案的优点是安全性很强,但由于涉及到了硬件故其成本较高,且USBKey使用前需要先安装驱动.对于一些常常出差或者需要在不同机器上使用USBKey的客户来说,由于计算机各种操作系统(如Windows和Linux)和硬件(各种不同品牌机器)的差异性,可能在安装时会遇到一些兼容性问题,这大大减低了用户的体验满意度.
3.短信认证方案.目前一些大型电子商务网站往往采取“静态+短信认证”方案.该类系统使用数字物理噪声源产生完全随机变化的动态(验证),并通过无线通信方式将该动态发送到用户的无线通信终端(寻呼机或移动等)上.譬如支付宝网站在用户支付小额金额时只需输入支付,但额度如果超过一定额度(如200元),则支付宝网站向用户手机(注册时登记的)发一条验证短信,然后用户在网站上输入6位的手机验证码和支付后才能完成付款.采用这种身份认证方式的优点是既保证了小额支付的快捷性,又保证了大额支付的安全性.但由于该认证系统的实时性和稳定性在很大的程度上依赖于无线通信网的状态,当网络出现拥塞时将导致验证传输会有较大的时延,甚至将使系统无法正常完成身份认证过程,而且由于短信的发送会产生大量的短信费用,对中小型电子商务网站来说仍然是不小的开销.
4.动态口令认证方案.动态口令又称为一次性口令OTP(One-Time-Password),其特点是用户根据怎么写作商提供的动态口令令牌的显示数字来输入动态口令,而且每个登录怎么写作器的口令只使用一次,窃听者无法用窃听到的登录口令来做下一次登录,同时利用单向散列函数(如Sha-1算法等)的不可逆性,防止窃听者从窃听到的登录口令推出下一次登录口令.中国银行就是采用了动态口令认证方案.该方案的特点使用简单,用户无须安装任何驱动,操作时只需输入当前显示的6位动态口令即可.其不足之处是安全性没有USBKey强,如在2011年上半年,全国各地出现了多起中国银行动态口令泄露安全事件.们首先设计了多个钓鱼网站,然后引诱中银用户输入登录和动态口令.动态口令虽然为一次性口令,但其在60秒之内是可反复使用的.故得到了用户的登录和动态口令之后,只要在1分钟内登录进真正的中银系统后就可以完成转账等窃取用户资金的操作了.
三、结束语
作为一种商务活动过程,电子商务将带来一场史无前例的革命,而电子商务网站的安全性问题也越来越受到人们的重视,其身份认证也已从最初的逻辑认证发展到物理认证最终将达到生物认证,希望在不久的将来安全可靠的电子商务会将人类真正带入信息社会.