电子商务环境下数字认证技术的研究
电子商务环境下数字认证技术的研究是当前网络时代发展的“瓶颈”性课题。本文主要研究了电子商务环境下的信息安全技术,数字认证技术以及身份鉴别和数字证书的安全性等核心问题。
一、电子商务环境下网络通信的安全威胁
电子商务环境下网络通信的安全威胁,即信息传输安全,指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括泄漏或者窃取商业机密;伪造;消息篡改;行为抵赖等。
二、电子商务环境下的数字认证需求
电子商务环境下要保护数据的完整性以及防止信息的不可抵赖,数字认证可以解决这两类的安全问题。即数据在从发送者传递到接受者的推进过程中,前后是否一致;以及在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。
三、基于 PKI 体系的数字认证技术
数字认证(Authentication)是防止主动攻击的重要技术,对开发系统安全性有重要作用,认证的主要目的有两个,一是实体认证即防止信息的发送者的身份的冒充;二是消息认证即验证和鉴别信息的完整性,确保数据在发送的过程中没有被篡改。
基于 PKI 体系的数字认证技术,主要结合基于公钥密码理论的数字签名以及散列函数来实现身份认证和消息的认证。数字签名结合数字认证技术几乎可以解决电子商务对信息安全的所有需求,数字认证技术可以提供信息的完整性保护,实现数字认证的重要手段是数字签名和散列函数。
数字摘要与散列函数
数字摘要是指通过单向 Hash 函数,将需加密的明文“摘要”成一串固定长度的散列值,不同的明文摘要成的密文其结果总是不相同,同样的明文其摘要必定一致,并且由摘要不能反推明文。数字摘要将原本可变的很长的消息明文进行压缩变成与消息明文惟一映射的符号序列,使得在此基础上进行数字签名非常高效快捷。
数字签名与数字证书
数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。数字证书含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
四、身份鉴别及数字证书的安全性
安全服务的基础主要是基于用户鉴别和认证。只有合法的用户才能授予访问的权限。最常见的方法是通过提供用户名称或者标识 ID。通常可能有多种形式:用户姓名、序列号码、甚至 的全限定名称。而用户的身份认证方式则根据采取的不同认证方法而不同。
基于 PKI 的电子商务环境下,有很多的措施保护数字证书的传输及分发安全,如Https/SSL 协议、VPN/IPSec 协议等;然而这些安全机制却不能保证数字证书在用户终端上的存储和使用安全。数字证书的存储方式有:
1. 无安全措施的直接存储
用户把数字证书直接存储在硬盘、软盘、移动设备上,无任何的安全措施,其信息很容易病毒、黑客获取,只能针对低级别安全的用户。
2. 采用口令以及密码的方式保存
数字证书在存取和使用的过程中采用直接的口令机制保护私钥的安全,简单的方式采用常规口令字符串,也可以使用一次性口令,即在数字证书的存取和使用过程中加入随机因素,使每次验证的过程中传送的信息都不相同,以提高口令的安全性;还有基于硬件技术的动态密码锁采用一种称之为动态令牌的专用硬件,内置电源、密码生成芯片和显示屏,使用该硬件可以产生动态的一次性口令,该密码锁的使用前必须输入静态的 PIN 码才能进入产生密码,只有密码锁的持有者且知道 PIN 码的用户才能产生动态口令,采用硬件的不可复制特性,使得口令的产生与终端分离,安全性高于软件方式。
基于硬件的令牌
直接把数字证书进行加密然后放入相应的移动存储设备或者智能卡中进行存储而产生令牌;如智能卡令牌,将数字证书和私钥存储在智能卡上进行认证,但是需要读卡器设备,其成本相对较高;USBKEY 令牌采用双钥加密的认证模式,USB Key 是一种 USB接口的硬件设备,内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用 USB Key 内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性,用户在使用 USBKEY 前也必须由静态的 PIN 码进行确认,优点是具有很高的安全性以及携带方便,缺点是 PIN 码是在客户的终端上输入容易被黑客获取,因此使用后应立即拔除,目前国内的网银系统普遍采用这种方式。
漫游证书
漫游证书通过第三方软件实现认证的方式,用户在不同的终端上可以使用不同的身份进行认证,如同一个用户在不同的电脑上使用不同的身份等。
