電子商務中的身份識別技術

[摘要] 電子商務是指企業(yè)利用信息技術手段實現(xiàn)商務及運作管理的整個過程。信息安全是電子商務開展的首要前提。建立強有力的身份鑒別體系成為保障電子商務系統(tǒng)安全的關鍵。 本文對電子商務中常見的身份鑒別機制進行探討，并對它們的安全性進行分析研究。

[關鍵詞] 身份識別電子商務安全

電子商務是一種依托現(xiàn)代信息技術和網(wǎng)絡技術，集金融電子化、管理信息化、商貿(mào)信息網(wǎng)絡化為一體，旨在實現(xiàn)物流、資金流與信息流和諧統(tǒng)一的新型貿(mào)易方式。安全保證是電子商務開展的首要前提。身份鑒別技術在信息安全中處于非常重要的地位，是其他安全機制的基礎。只有實現(xiàn)了有效的身份鑒別，才能保證訪問控制、安全審計、入侵防范等安全機制的有效實施。隨著電子商務建設的發(fā)展，黑客入侵電子商務體系的事件頻頻發(fā)生，賬戶被盜用的事件屢見不鮮，使得電子商務的進一步發(fā)展面臨巨大的挑戰(zhàn)，采用完善的身份鑒別技術是解決這些問題的關鍵。

身份識別是指用戶向系統(tǒng)出示自己身份證明的過程。身份鑒別是系統(tǒng)查核用戶的身份證明的過程，實質(zhì)上是查明用戶是否具有他所請求資源的存儲和使用權(quán)。人們通常把這兩項工作統(tǒng)稱為身份鑒別，它是判明和確認通信雙方真實身份的兩個重要環(huán)節(jié)。身份鑒別必須做到準確無誤的將對方辨認出來，同時還應該提供雙向的鑒別，即相互證明自己的身份。信息技術領域的身份鑒別是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體可能是用戶、主機、應用程序甚至進程。證據(jù)與身份之間是一一對應的關系，雙方通信過程中，一方實體向另一方提供這個證據(jù)證明自己的身份，另一方通過相應的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所宣稱的身份一致。結(jié)合電子商務的實際情況，本文對常見的身份鑒別機制進行了探討，并對它們的安全性進行分析研究。

一、基于口令的鑒別技術

這是目前在互聯(lián)網(wǎng)和計算機領域中最常用的鑒別方法，當你登錄計算機網(wǎng)絡時需要輸入口令。計算機系統(tǒng)把它的鑒別建立在用戶名和口令的基礎之上，如果你把用戶名和口令告訴了其他人，則計算機也將給予那個人以訪問權(quán)限，因為鑒別是建立在已知口令之上的，僅僅屬于一種模式的鑒別。通過一些措施可以有效地改進口令鑒別的安全性。如通過增加口令的強度，提高抗窮舉攻擊和字典攻擊的能力；將口令加密防止在傳輸中被竊聽；采用動態(tài)的一次性口令系統(tǒng)防止口令的重放等。

二、 基于智能卡的鑒別技術

這種方法較為先進一些，因為用戶需要一些物理原件，例如樓宇通行卡的鑒別方式，是只有在掃描器上劃卡并通過驗證的人才能進入大樓。這里鑒別是建立在這張卡之上，如果你把這張卡借給了別人，那個人也能進入這幢大樓。因此如果你希望為進入大樓創(chuàng)建一個更加精密的鑒別系統(tǒng)，你可以要求不僅提供通行卡而且要有口令鑒別。在計算機領域中，一個典型例子是智能卡和數(shù)字鑒別的混合使用。所有的智能卡都含有一塊芯片，芯片中包含了一些擁有持卡人的個人信息，如駕照信息及醫(yī)療信息等等，一塊智能卡與標準信用卡大小相等甚至更大，尺寸大小主要取決于內(nèi)嵌芯片的功能。有時內(nèi)嵌芯片包含只讀信息，芯片比起信用卡背面的磁條卡含有更多的信息，這種類型的智能卡通常只能開發(fā)一次，并且完全依賴于稱為智能卡可讀器來進行操作。還有一種智能卡可以不使用讀卡器，它形狀類似于普通的USB盤或者軟件狗(dongle)，這種智能卡也稱作電子鑰匙(e-key），可以直接插在電腦的 USB接口上使用。這種智能卡具有內(nèi)置的CPU，可以進行高強度的加密運算。并能保存秘密信息。使用時，用戶需要首先輸入 PIN 碼(個人身份識別碼），PIN認證成功后，即可讀取智能卡上的秘密信息。

三、基于 DCE/Kerberos 的鑒別機制

Kerberos 系統(tǒng)是美國麻省理工學院為 Athena 工程而設計的，為分布式計算環(huán)境提供一種對用戶雙方進行驗證的鑒別方法。Kerberos 是一種非常安全的雙向身份鑒別技術，其身份鑒別強調(diào)了客戶機對服務器的鑒別，而別的身份鑒別技術往往只解決了服務器對客戶機的鑒別。Kerberos 有效地防止了來自服務器端身份假冒的欺騙。它的安全機制在于首先對發(fā)出請求的用戶進行身份鑒別，確認其是否是合法的用戶，如是合法的用戶，再審核該用戶是否有權(quán)對他所請求的服務或主機進行訪問。從加密算法上來講，其身份鑒別是建立在對稱加密的基礎上的。鑒別過程如下：

1.用戶C以明文的形式向身份鑒別服務器A發(fā)送自己的名字；服務器A從安全數(shù)據(jù)庫中查找到用戶C的加密密鑰Kc，隨機生成下一階段使用的加密密鑰K1，然后將K1和用于以后向服務器 A 證實用戶身份的通信憑據(jù){K1，C}Ka用Kc 一起加密為{K1，{K1，C}Ka}Kc傳給用戶C。

2.用戶C得到服務器A發(fā)回的{K1，{K1，C}Ka}Kc后，使用自己的密鑰Kc進行解密得到通信憑據(jù){K1，C}Ka。由于用戶C知道只有服務器A知道Kc，因此用戶C可以確認服務器A的身份。用戶C將得到的送給服務器A，申請訪問授權(quán)服務器P的通信憑據(jù){K2，C}Kp。當身份鑒別服務器A收到用戶的請求后，它用自己的私鑰Ka來解密。由于服務器A知道只有C知道Kc，所以身份鑒別服務器可以確定這個請求必定是來自C的。這樣雙方就進行了身份鑒別。

四、基于質(zhì)詢/應答的鑒別機制

基于質(zhì)詢/應答方式的身份鑒別機制就是每次鑒別時鑒別服務器端都給客戶端發(fā)送一個不同的“質(zhì)詢”字串，客戶端程序收到這個“質(zhì)詢”字串后，做出相應的“應答”。鑒別過程為:

1.客戶向鑒別服務器發(fā)出請求，要求進行身份鑒別;

2.鑒別服務器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進一步處理;

3.鑒別服務器內(nèi)部產(chǎn)生一個隨機數(shù)，作為“提問”，發(fā)送給客戶

4.客戶將用戶名字和隨機數(shù)合并，使用單向 Hash 函數(shù) 生成一個字節(jié)串作為應答;

5.鑒別服務器將應答字串與本機單向 HASH 函數(shù)的計算結(jié)果比較，若二者相同，則通過一次鑒別，否則鑒別失敗;

6.鑒別服務器通知客戶鑒別結(jié)果。并在時間允許范圍內(nèi)不斷重復上述操作。

五、基于人的生理特征的鑒別技術

這種過程通常需要一些物理因素，如基因或其他一些不能復制的個人特征。到目前為止，高級生物學鑒別已經(jīng)很有經(jīng)驗，并且在一些高安全環(huán)境中得到了實施。這種方法包括指紋，面部掃描器，視網(wǎng)膜掃描器和語音分析。

面像識別技術:身份鑒別機器的攝像頭會自動采集來人的照片，并與電腦里的資料進行自動對比確認。這種方法比人工認識更準確，而且速度也更快，與指紋識別、虹膜識別等相比，面像識別技術靠攝像頭采集資料，隱蔽性最強，目前美國機場的安檢已開始使用這項技術。

人的指紋或者掌紋的身份鑒別技術。人體某些生物特征具有客觀性和惟一性，人各有異，終生不變，絕不遺失，具有無法仿制的特點。特別是采用活體指紋讀取技術，使偽造指紋更加不可能發(fā)生，基于人的視網(wǎng)膜的身份鑒別技術。該類鑒別技術也是利用人體特有的生物特征來進行身份鑒別的技術，通過每個人視網(wǎng)膜的特有特征來進行身份鑒別，目前美國 FBI 即采用了基于指紋和視網(wǎng)膜的雙重鑒別。

基于聲音的語音識別和語音驗證。這種身份鑒別技術通過一次簡短的語音注冊過程對用戶進行登記，在此過程中捕獲和存儲他們的聲波紋，聲波紋是一個數(shù)據(jù)矩陣，描繪了說話者的語音特征。聲波紋被加密存儲在標準數(shù)據(jù)庫中。在訪問該系統(tǒng)的來電者說話時，系統(tǒng)將他們的語音與數(shù)據(jù)庫中的聲波紋作比較來進行鑒別。

六、基于公共密鑰的鑒別機制

PKI 是通過使用公開密鑰技術和數(shù)字證書來確保系統(tǒng)信息安全并負責驗證數(shù)字證書持有者身份的一種體系。例如，某企業(yè)可以建立公鑰基礎設施（PKI)體系來控制對其計算機網(wǎng)絡的訪問。在將來，企業(yè)還可以通過公鑰基礎設施（PKI）系統(tǒng)來完成對進入企業(yè)大門和建筑物的提貨系統(tǒng)的訪問控制。PKI 讓電子商務用戶或企業(yè)用戶安全地從事其涉及敏感信息的行為。企業(yè)員工可以在互聯(lián)網(wǎng)上安全地發(fā)送電子郵件而不必擔心其發(fā)送的信息被非法的第三方(競爭對手等)截獲。企業(yè)可以建立其內(nèi)部 Web 站點，只對其信任的客戶發(fā)送信息。在電子交易中，無論是數(shù)字時間戳服務還是數(shù)字證書的發(fā)放，都不是交易雙方能完成的，而需要由一個具有權(quán)威性和公正性的第三方來完成。鑒別中心就是承擔網(wǎng)上安全電子交易鑒別服務、能簽發(fā)數(shù)字證書、并能確認用戶身份的服務機構(gòu)。鑒別中心通常是企業(yè)性的服務機構(gòu)，主要任務是受理數(shù)字憑證的申請、簽發(fā)及對數(shù)字憑證的管理。鑒別中心依據(jù)鑒別操作規(guī)定來實施服務操作。

身份鑒別技術是網(wǎng)絡安全中的一個重要環(huán)節(jié)，建立強有力的身份鑒別體系已成為保障電子商務系統(tǒng)安全的關鍵技術之一。身份鑒別技術必將在電子商務活動中發(fā)揮著越來越重要的作用。

參考文獻:

[1]王長勝:中國電子商務發(fā)展報告[R].北京:社會科學文獻出版社，2004

[2]石燕:聲紋識別技術研究.南京航空航天大學碩士學位論文，2004.2

[3]孫兆林:軟件加密解密與計算機安全技術.中國水利水電出版社，2001

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。