淺析電子商務網站的身份認證技術

[摘 要]本文指出了電子商務活動當前所面臨的身份認證問題，詳細描述了目前流行的幾種身份認證技術的實現原理和實施步驟，并對幾種方案的優缺點進行了分析和比較。

[關鍵詞] 電子商務 靜態密碼 網絡安全 客戶證書 動態密碼

電子商務源于英文ELECTRONIC COMMERCE，指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進行各種商貿活動。隨著電子商務的普及，人們已經習慣于網上購物，網上銀行和電子支付等新興事物，然而網絡安全始終是制約電子商務發展的一個主要瓶頸。

一、電子商務的身份認證

在電子商務活動中，由于所有的個人和交易信息要在一個開放的網絡（如Internet）進行傳輸和交換，故我們需要身份認證技術去驗證客戶的身份。身份認證一般基于客戶擁有什么（如令牌，智能卡或者ID卡），客戶知道什么（如靜態密碼），客戶有什么特征（如指紋，虹膜和腦電波等）。國內外常見身份認證技術包括：用戶名/密碼方式 、IC卡認證、USB Key認證和生物特征認證等。隨著網絡和黑客技術的發展，用戶名/密碼方式認證已經被證明是不安全的。由于靜態的密碼方案不能抵御重放攻擊，字典攻擊且密碼容易忘記， 所以其安全性是很低的，不能滿足電子商務中身份認證的要求。目前國內外的一些較成熟的身份認證技術，基本上是用硬件來實現的（如IC卡和USB Key認證技術等）。

二、各種身份認證技術的比較

1. 靜態的用戶名和口令方案。在眾多的身份認證方案中，靜態的用戶名和口令方案至今仍是使用最廣泛的方案，特別是針對那些安全性要求不強的應用場合，如論壇，BBS和電子信箱。目前公司和個人受到網絡攻擊的主要原因是靜態密碼政策管理不善。大多數用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡單的密碼。有86％的用戶在所有網站上使用的都是同一個密碼或者有限的幾個密碼。最近一次全國性安全事件發生在2011年12月。當時CSDN的安全系統遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼后，再用這個密碼嘗試登錄注冊郵箱，如果成功則利用很多網站常用的密碼取回功能得到了該用戶的其他關聯網站的賬號和密碼。總而言之，靜態密碼身份認證方案的優點是實施成本低，不需要購置特殊的設備，用戶體驗性好，但其安全性較低。

2. 客戶證書USBKey（U盾）方案。從技術角度看，客戶證書USBKey是用于網上銀行電子簽名和數字認證的工具，它內置微型智能卡處理器，采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名，確保網上交易的保密性、真實性、完整性和不可否認性。目前國內幾大商業銀行，如工商銀行、農業銀行和交通銀行等都采用了USBKey方案。網絡黑客即使知道了客戶的登錄密碼和支付密碼，但如果沒有USBKey在手，黑客還是不能夠從你的帳戶轉出一分錢。故這種身份認證方式可以很好地避免賬號、密碼被盜等可能出現的風險。USBKey方案的優點是安全性很強，但由于涉及到了硬件故其成本較高，且USBKey使用前需要先安裝驅動。對于一些常常出差或者需要在不同機器上使用USBKey的客戶來說，由于計算機各種操作系統（如Windows和Linux）和硬件（各種不同品牌機器）的差異性，可能在安裝時會遇到一些兼容性問題，這大大減低了用戶的體驗滿意度。

3.短信認證方案。目前一些大型電子商務網站往往采取“靜態密碼+短信認證”方案。該類系統使用數字物理噪聲源產生完全隨機變化的動態（驗證）密碼，并通過無線通信方式將該動態密碼發送到用戶的無線通信終端(尋呼機或移動電話等) 上。譬如支付寶網站在用戶支付小額金額時只需輸入支付密碼，但額度如果超過一定額度（如200元），則支付寶網站向用戶手機（注冊時登記的號碼）發一條驗證短信，然后用戶在網站上輸入6位的手機驗證碼和支付密碼后才能完成付款。采用這種身份認證方式的優點是既保證了小額支付的快捷性，又保證了大額支付的安全性。但由于該認證系統的實時性和穩定性在很大的程度上依賴于無線通信網的狀態，當網絡出現擁塞時將導致驗證密碼傳輸會有較大的時延，甚至將使系統無法正常完成身份認證過程，而且由于短信的發送會產生大量的短信費用，對中小型電子商務網站來說仍然是不小的開銷。

4.動態口令認證方案。動態口令又稱為一次性口令OTP(One-Time-Password)，其特點是用戶根據服務商提供的動態口令令牌的顯示數字來輸入動態口令，而且每個登錄服務器的口令只使用一次，竊聽者無法用竊聽到的登錄口令來做下一次登錄，同時利用單向散列函數（如 Sha-1算法等）的不可逆性，防止竊聽者從竊聽到的登錄口令推出下一次登錄口令。中國銀行就是采用了動態口令認證方案。該方案的特點使用簡單，用戶無須安裝任何驅動，操作時只需輸入當前顯示的6位動態口令即可。其不足之處是安全性沒有USBKey強，如在2011年上半年，全國各地出現了多起中國銀行動態口令泄露安全事件。黑客們首先設計了多個釣魚網站，然后引誘中銀用戶輸入登錄密碼和動態口令。動態口令雖然為一次性口令，但其在60秒之內是可反復使用的。故黑客得到了用戶的登錄密碼和動態口令之后，只要在1分鐘內登錄進真正的中銀系統后就可以完成轉賬等竊取用戶資金的操作了。

三、結束語

作為一種商務活動過程，電子商務將帶來一場史無前例的革命，而電子商務網站的安全性問題也越來越受到人們的重視，其身份認證也已從最初的邏輯認證發展到物理認證最終將達到生物認證，希望在不久的將來安全可靠的電子商務會將人類真正帶入信息社會。

參考文獻:

吳佩萱.基于時間同步機制的動態密碼認證系統[J].長江大學學報（自然版），2005，2(7):256-257