COMMERCE,指的是利用簡單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進行各種商貿活動。隨著電子商務的普及,人們已經習慣於網上購物,網上
銀行和電子支付等新興事物,然而網絡安全始終是制約電子商務發展的壹個主要瓶頸。
壹、電子商務的身份認證
在
電子商務活動中,由於所有的個人和交易信息要在壹個開放的網絡(如Internet)進行傳輸和交換,故我們需要身份認證技術去驗證客戶的身份。身份認證
壹般基於客戶擁有什麽(如令牌,智能卡或者ID卡),客戶知道什麽(如靜態密碼),客戶有什麽特征(如指紋,虹膜和腦電波等)。國內外常見身份認證技術包
括:用戶名/密碼方式 、IC卡認證、USB
Key認證和生物特征認證等。隨著網絡和黑客技術的發展,用戶名/密碼方式認證已經被證明是不安全的。由於靜態的密碼方案不能抵禦重放攻擊,字典攻擊且密
碼容易忘記,
所以其安全性是很低的,不能滿足電子商務中身份認證的要求。目前國內外的壹些較成熟的身份認證技術,基本上是用硬件來實現的(如IC卡和USB
Key認證技術等)。
二、各種身份認證技術的比較
1.
靜態的用戶名和口令方案。在眾多的身份認證方案中,靜態的用戶名和口令方案至今仍是使用最廣泛的方案,特別是針對那些安全性要求不強的應用場合,如論
壇,BBS和電子信箱。目前公司和個人受到網絡攻擊的主要原因是靜態密碼政策管理不善。大多數用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡
單的密碼。有86%的用戶在所有網站上使用的都是同壹個密碼或者有限的幾個密碼。最近壹次全國性安全事件發生在2011年12月。當時CSDN的安全系統
遭到黑客攻擊,600萬用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼後,再用這個密碼嘗試登錄註冊郵箱,如果成功則利用很
多網站常用的密碼取回功能得到了該用戶的其他關聯網站的賬號和密碼。總而言之,靜態密碼身份認證方案的優點是實施成本低,不需要購置特殊的設備,用戶體驗
性好,但其安全性較低。
2.
客戶證書USBKey(U盾)方案。從技術角度看,客戶證書USBKey是用於網上銀行電子簽名和數字認證的工具,它內置微型智能卡處理器,采用1024
位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保網上交易的保密性、真實性、完整性和不可否認性。目前國內幾大商業銀行,如工商銀行、農業銀行
和交通銀行等都采用了USBKey方案。網絡黑客即使知道了客戶的登錄密碼和支付密碼,但如果沒有USBKey在手,黑客還是不能夠從妳的帳戶轉出壹分
錢。故這種身份認證方式可以很好地避免賬號、密碼被盜等可能出現的風險。USBKey方案的優點是安全性很強,但由於涉及到了硬件故其成本較高,且
USBKey使用前需要先安裝驅動。對於壹些常常出差或者需要在不同機器上使用USBKey的客戶來說,由於計算機各種操作系統(如Windows和
Linux)和硬件(各種不同品牌機器)的差異性,可能在安裝時會遇到壹些兼容性問題,這大大減低了用戶的體驗滿意度。
3.
短信認證方案。目前壹些大型電子商務網站往往采取“靜態密碼+短信認證”方案。該類系統使用數字物理噪聲源產生完全隨機變化的動態(驗證)密碼,並通過無
線通信方式將該動態密碼發送到用戶的無線通信終端(尋呼機或移動電話等)
上。譬如支付寶網站在用戶支付小額金額時只需輸入支付密碼,但額度如果超過壹定額度(如200元),則支付寶網站向用戶手機(註冊時登記的號碼)發壹條驗
證短信,然後用戶在網站上輸入6位的手機驗證碼和支付密碼後才能完成付款。采用這種身份認證方式的優點是既保證了小額支付的快捷性,又保證了大額支付的安
全性。但由於該認證系統的實時性和穩定性在很大的程度上依賴於無線通信網的狀態,當網絡出現擁塞時將導致驗證密碼傳輸會有較大的時延,甚至將使系統無法正
常完成身份認證過程,而且由於短信的發送會產生大量的短信費用,對中小型電子商務網站來說仍然是不小的開銷。
4.
動態口令認證方案。動態口令又稱為壹次性口令OTP(One-Time-Password),其特點是用戶根據服務商提供的動態口令令牌的顯示數字來輸入
動態口令,而且每個登錄服務器的口令只使用壹次,竊聽者無法用竊聽到的登錄口令來做下壹次登錄,同時利用單向散列函數(如
Sha-1算法等)的不可逆性,防止竊聽者從竊聽到的登錄口令推出下壹次登錄口令。中國銀行就是采用了動態口令認證方案。該方案的特點使用簡單,用戶無須
安裝任何驅動,操作時只需輸入當前顯示的6位動態口令即可。其不足之處是安全性沒有USBKey強,如在2011年上半年,全國各地出現了多起中國銀行動
態口令泄露安全事件。黑客們首先設計了多個釣魚網站,然後引誘中銀用戶輸入登錄密碼和動態口令。動態口令雖然為壹次性口令,但其在60秒之內是可反復使用
的。故黑客得到了用戶的登錄密碼和動態口令之後,只要在1分鐘內登錄進真正的中銀系統後就可以完成轉賬等竊取用戶資金的操作了。
再參考/view/6f54036925c52cc58bd6be2f.html 妳就完全知道了
現在最多使用的是CA和數字證書兩種技術