探讨电子商务中常见的身份鉴别机制
来源:商场现代化 更新时间:2012-04-14

电子商务是一种依托现代信息技术和网络技术,集金融电子化、管理信息化、商贸信息网络化为一体,旨在实现物流、资金流与信息流和谐统一的新型贸易方式。安全保证是电子商务开展的首要前提。身份鉴别技术在信息安全中处于非常重要的地位,是其他安全机制的基础。只有实现了有效的身份鉴别,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。随着电子商务建设的发展,黑客入侵电子商务体系的事件频频发生,账户被盗用的事件屡见不鲜,使得电子商务的进一步发展面临巨大的挑战,采用完善的身份鉴别技术是解决这些问题的关键。

  身份识别是指用户向系统出示自己身份证明的过程。身份鉴别是系统查核用户的身份证明的过程,实质上是查明用户是否具有他所请求资源的存储和使用权。人们通常把这两项工作统称为身份鉴别,它是判明和确认通信双方真实身份的两个重要环节。身份鉴别必须做到准确无误的将对方辨认出来,同时还应该提供双向的鉴别,即相互证明自己的身份。信息技术领域的身份鉴别是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至进程。证据与身份之间是一一对应的关系,双方通信过程中,一方实体向另一方提供这个证据证明自己的身份,另一方通过相应的机制来验证证据,以确定该实体是否与证据所宣称的身份一致。结合电子商务的实际情况,本文对常见的身份鉴别机制进行了探讨,并对它们的安全性进行分析研究。

  一、基于口令的鉴别技术

  这是目前在互联网和计算机领域中最常用的鉴别方法,当你登录计算机网络时需要输入口令。计算机系统把它的鉴别建立在用户名和口令的基础之上,如果你把用户名和口令告诉了其他人,则计算机也将给予那个人以访问权限,因为鉴别是建立在已知口令之上的,仅仅属于一种模式的鉴别。通过一些措施可以有效地改进口令鉴别的安全性。如通过增加口令的强度,提高抗穷举攻击和字典攻击的能力;将口令加密防止在传输中被窃听;采用动态的一次性口令系统防止口令的重放等。

  二、基于智能卡的鉴别技术

  这种方法较为先进一些,因为用户需要一些物理原件,例如楼宇通行卡的鉴别方式,是只有在扫描器上划卡并通过验证的人才能进入大楼。这里鉴别是建立在这张卡之上,如果你把这张卡借给了别人,那个人也能进入这幢大楼。因此如果你希望为进入大楼创建一个更加精密的鉴别系统,你可以要求不仅提供通行卡而且要有口令鉴别。在计算机领域中,一个典型例子是智能卡和数字鉴别的混合使用。所有的智能卡都含有一块芯片,芯片中包含了一些拥有持卡人的个人信息,如驾照信息及医疗信息等等,一块智能卡与标准信用卡大小相等甚至更大,尺寸大小主要取决于内嵌芯片的功能。有时内嵌芯片包含只读信息,芯片比起信用卡背面的磁条卡含有更多的信息,这种类型的智能卡通常只能开发一次,并且完全依赖于称为智能卡可读器来进行操作。还有一种智能卡可以不使用读卡器,它形状类似于普通的USB盘或者软件狗(dongle),这种智能卡也称作电子钥匙(e-key),可以直接插在电脑的USB接口上使用。这种智能卡具有内置的CPU,可以进行高强度的加密运算。并能保存秘密信息。使用时,用户需要首先输入PIN码(个人身份识别码),PIN认证成功后,即可读取智能卡上的秘密信息。

  三、基于DCE/Kerberos的鉴别机制

  Kerberos系统是美国麻省理工学院为Athena工程而设计的,为分布式计算环境提供一种对用户双方进行验证的鉴别方法。Kerberos是一种非常安全的双向身份鉴别技术,其身份鉴别强调了客户机对服务器的鉴别,而别的身份鉴别技术往往只解决了服务器对客户机的鉴别。Kerberos有效地防止了来自服务器端身份假冒的欺骗。它的安全机制在于首先对发出请求的用户进行身份鉴别,确认其是否是合法的用户,如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份鉴别是建立在对称加密的基础上的。鉴别过程如下:

  1.用户C以明文的形式向身份鉴别服务器A发送自己的名字;服务器A从安全数据库中查找到用户C的加密密钥Kc,随机生成下一阶段使用的加密密钥K1,然后将K1和用于以后向服务器A证实用户身份的通信凭据{K1,C}Ka用Kc一起加密为{K1,{K1,C}Ka}Kc传给用户C。

  2.用户C得到服务器A发回的{K1,{K1,C}Ka}Kc后,使用自己的密钥Kc进行解密得到通信凭据{K1,C}Ka。由于用户C知道只有服务器A知道Kc,因此用户C可以确认服务器A的身份。用户C将得到的送给服务器A,申请访问授权服务器P的通信凭据{K2,C}Kp。当身份鉴别服务器A收到用户的请求后,它用自己的私钥Ka来解密。由于服务器A知道只有C知道Kc,所以身份鉴别服务器可以确定这个请求必定是来自C的。这样双方就进行了身份鉴别。

  四、基于质询/应答的鉴别机制

  基于质询/应答方式的身份鉴别机制就是每次鉴别时鉴别服务器端都给客户端发送一个不同的“质询”字串,客户端程序收到这个“质询”字串后,做出相应的“应答”。鉴别过程为:

  1.客户向鉴别服务器发出请求,要求进行身份鉴别;

  2.鉴别服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理;

  3.鉴别服务器内部产生一个随机数,作为“提问”,发送给客户

  4.客户将用户名字和随机数合并,使用单向Hash函数生成一个字节串作为应答;

  5.鉴别服务器将应答字串与本机单向HASH函数的计算结果比较,若二者相同,则通过一次鉴别,否则鉴别失败;

  6.鉴别服务器通知客户鉴别结果。并在时间允许范围内不断重复上述操作。

  五、基于人的生理特征的鉴别技术

  这种过程通常需要一些物理因素,如基因或其他一些不能复制的个人特征。到目前为止,高级生物学鉴别已经很有经验,并且在一些高安全环境中得到了实施。这种方法包括指纹,面部扫描器,视网膜扫描器和语音分析。

  面像识别技术:身份鉴别机器的摄像头会自动采集来人的照片,并与电脑里的资料进行自动对比确认。这种方法比人工认识更准确,而且速度也更快,与指纹识别、虹膜识别等相比,面像识别技术靠摄像头采集资料,隐蔽性最强,目前美国机场的安检已开始使用这项技术。

  人的指纹或者掌纹的身份鉴别技术。人体某些生物特征具有客观性和惟一性,人各有异,终生不变,绝不遗失,具有无法仿制的特点。特别是采用活体指纹读取技术,使伪造指纹更加不可能发生,基于人的视网膜的身份鉴别技术。该类鉴别技术也是利用人体特有的生物特征来进行身份鉴别的技术,通过每个人视网膜的特有特征来进行身份鉴别,目前美国FBI即采用了基于指纹和视网膜的双重鉴别。

  基于声音的语音识别和语音验证。这种身份鉴别技术通过一次简短的语音注册过程对用户进行登记,在此过程中捕获和存储他们的声波纹,声波纹是一个数据矩阵,描绘了说话者的语音特征。声波纹被加密存储在标准数据库中。在访问该系统的来电者说话时,系统将他们的语音与数据库中的声波纹作比较来进行鉴别。

  六、基于公共密钥的鉴别机制

  PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。PKI让电子商务用户或企业用户安全地从事其涉及敏感信息的行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点,只对其信任的客户发送信息。在电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是交易双方能完成的,而需要由一个具有权威性和公正性的第三方来完成。鉴别中心就是承担网上安全电子交易鉴别服务、能签发数字证书、并能确认用户身份的服务机构。鉴别中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。鉴别中心依据鉴别操作规定来实施服务操作。

  身份鉴别技术是网络安全中的一个重要环节,建立强有力的身份鉴别体系已成为保障电子商务系统安全的关键技术之一。身份鉴别技术必将在电子商务活动中发挥着越来越重要的作用。