21世纪,随着网络技术的发展和社会的进步,通过网络进行的电子商务活动在当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。现代密码的两个最重要的分支就是加密和认证。加密的目的是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程中被篡改、删除、插入、伪造、延迟及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证作为网络安全中的一种重要技术手段,其作用是一方面能够保护网络中的数据和服务不会被未授权的用户所访问;另一方面是能够保障有足够的信息进行双方身份的确认。只有这样,商家才能放心地开展电子商务业务。
8.1.1身份认证的概念
电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证,从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是唯一对应的。比如银行的自动取款机(ATM)可将现款发放给经它正确识别的账号持卡人。常用的参数有口令、标识符、随机数、密钥或人的生理特征参数如指纹、声纹、视网膜纹等,身份认证是许多应用系统的第一道防线,可以鉴别出和排除非法访问。
身份认证又称为身份识别,它是数字签名技术和身份鉴别技术的一个重要的应用领域。在当今网络应用环境中,网络资源的安全性保障通常采用基于用户身份的资源访问控制策略。身份认证的作用就是对资源使用者即用户的身份进行鉴别。它是网络安全管理的重要基础之一。身份识别技术使得被识别人让对方能够识别出自己的真正身份,以使其合法权益得到保障。
因此,身份认证是安全系统中的第一道关卡,用户在访问安全系统之前,首先经过身份认证系统进行身份识别,然后访问监控器根据用户的身份和授权数据库决定用户能否对某个资源进行访问。授权数据库由安全管理员按照需要进行配置。审计系统根据审计设置记录用户的请求和行为,同时入侵检测系统检测是否有入侵行为。访问控制和审计系统都要依赖于身份认证系统提供的“信息”——用户的身份。可见,身份认证在安全系统中的地位是极其重要的,是最基本的安全服务,其他的安全服务都依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将会受到严峻挑战。
目前,身份认证的内容包括:认证、授权和审计。
(1)认证(Authentication):在进行任何操作之前必须有有效的方法来识别操作执行者的真实身份。认证又称为鉴别、确认。身份认证主要是通过表示和鉴别用户的身份,防止攻击者假冒合法用户获取访问权限。
(2)授权(Authorization):授权是指当用户身份被确认合法后(即通过认证),赋予该用户操作文件和数据等的权限。赋予的权限包括读、写、执行及从属权。
(3)审计(Auditing):每一个人都应该为自己所作的操作负责,所以在事情完成后都应该有记录,以便核查责任。
日常生活中,人们的身份主要是通过各种证件来确认的,比如身份证、户口簿、军官证、驾驶证等。在计算机网络系统中,各种资源(如文件、数据等)也要求有一定的保证机制来确保这些资源被应该使用的人使用。身份认证通常是许多应用系统中安全保护的第一道防线,它的失败可能导致整个系统的失败。
通常,身份认证被分为单向认证和双向认证。如果通信的双方只需要一方被另一方鉴别身份,这样的认证过程就称为单向认证。而在双向认证过程中,通信双方需要互相认证对方的身份。
8.1.2身份认证的分类
被认证方根据不同的凭证信息来证明自己的身份,根据个人信息的不同我们可以将身份认证分为以下三大类:
(1)基于个人生物特征的身份认证:个人特征可以是指纹、掌纹、面孔、声音、视网膜血管图、虹膜、基因、手写签名等。生物特征是指通过自动化技术利用人体的生理特征或行为特征进行身份鉴定。目前利用生理特征进行生物识别的主要方法有指纹、掌纹、面孔、视网膜血管图、虹膜、基因等,利用行为特征进行识别的主要方法有声音识别、手写签名字迹识别等。
(2)基于个人拥有物的身份认证:个人拥有物可以是身份证、护照、军官证、驾驶证、图章、IC卡或其他有效证件。身份证是目前我国应用最广泛的身份识别证件,每个人唯一对应一个数字。当然其他的证件也在不同行业和部门起着身份识别的作用。
(3)基于个人身份标识码的身份认证:个人身份标识码可以是注册的口令、账号、身份证号码或移动电话号码等。一般来说,某人的身份可以用用户账号加上口令进行识别。用户账号代表计算机网络信息系统中某人的身份,口令则是用来验证是否真的是计算机网络系统所允许的用户。
8.1.3身份认证体系
人们通常都采用最有效的安全技术来建立电子商务安全体系结构。国际上提出了基于公钥基础设施(PKI)的数字证书解决方案,现已被普遍采用。电子商务中安全措施的实现主要围绕数字证书展开。
1.数字证书
电子商务涉及加、解密,而加、解密必然用到密钥。
密钥的管理对策是采用数字证书。所谓数字证书就是在互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Internet上验证用户身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
数字证书与传输密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书,私钥用最安全的方式交给用户或用户自己生产密钥对。数字证书的内容包括用户的公钥、用户姓名、发证机构的数字签名及用户的其他一些身份认证的有用信息。公钥的拥有者是身份的象征,对方可以据此验证身份。对于密钥的丢失情况、则采用恢复密钥、密钥托管等方法。另外对于证书的有效期在政策上加以规定、已过期的证书应重新签发,对于私钥丢失或被非法使用应废止。
2.电子商务认证中心CA
认证中心是交易双方都信任的第三方机构,由它来证明参加交易各方的身份。在交易过程中认证中心将自己的数字签名附在所有的传送消息和公共密钥上。数字认证指的是附有认证中心签名的消息。参加交易方都必须信任认证中心,认证中心在交易前确认所有各方的身份,可见认证中心的主要任务在于管理而不是技术。认证中心在电子商务中,起着法律仲裁的作用,其工作相当于确定用户的数字签名能否得到法律的认可。但是只有在认证中心拥有了仲裁权以后,这种认证才有法律效应。在电子商务的发展过程中,认证中心的重要作用正在日益显现。
