数字签名:网络电子商务新模式
来源:人民邮电报 更新时间:2012-04-13
当前,电子商务在全球进入快速发展阶段,但是网络安全问题一直困扰着电子商务的发展。认证,或者说确定试图访问网上资源的某个人身份的过程,是有效管理资源访问的第一步。因特网现在已成为许多领域开展业务的支配性方式。
而具备易用性、可扩展到大规模的身份认证解决方案是很重要的,有了它才能确保B2B(企业间电子商务)和B2C(企业到消费者电子商务)门户成为业务发展安全、有效的渠道。

  数字签名越来越成为传统手写签名的合法替代物。作为电子文档、表格、邮件和其他电子内容的一部分,数字签名引领着网络电子商务模式的新潮流。用户对数字签名的接受程度取决于签名和认证时身份凭证使用的简易度。Arcot提供了安全数字身份凭证—ArcotID,以及一套支持这些凭证的发行、使用和持续管理的产品,它同时支持数字签名和身份认证。

  ArcotID是一款软件凭证,其形式为用户桌面上的一个小文件。该凭证与PIN(或说密码)一起使用。它是建立在开放PKI标准上的x509.v3证书,并且有了显著改进。这主要体现在:密钥与PIN一起伪装公钥,与三层DES域钥一起加密。这些改变保留了PKI方法的内在优点,同时极大地改善了可用性,并提供了硬件智能卡所特有的密钥强度和保护。

  典型的PKI认证过程如下:用户试图访问某受保护的网络资源,服务器发送质询到用户的浏览器上(客户端),浏览器(客户端)对质询进行数字签名,并将结果与公钥一起返回给服务器;服务器用公钥验证签名质询。密钥用Arcot专利密码伪装技术进行保护时,PIN将会显示可用于签名质询的正确密钥。如果PIN码不正确,密码伪装技术就会生成一个似是而非的密钥,我们无法辨识它与真正的密钥。唯一可辨识密钥真伪的方法就是对质询进行签名,并返回给服务器进行确认。服务器记录失败企图的次数,并根据ArcotID预先设定好的业务规则,让企图无效或失去能力。

  ArcotID是强有力的认证凭证,理由如下。首先,它并不惧怕字典攻击。长达6个字符的PIN码有100万种可能的数字组合和20亿种可能的数字字母组合,用来确认任何似是而非私钥的公钥,与三层DES域钥一起加密,安全地存于服务器内。其次,PIN从不储存于任何地方。ArcotID生成的时候,PIN被用来对私钥进行密码伪装。私钥的生成和伪装过程可以完全在用户的桌面上完成,因此PIN不必离开桌面电脑。再者,每一个对ArcotID进行确认的尝试都在服务器上进行,因此可预先设置根据失败尝试的次数挂起ArcotID甚至宣布其无效。