浅析电子商务网站的身份认证技术

wyhuang

　　电子商务源于英文ELECTRONIC COMMERCE，指的是应用复杂、快捷、低本钱的电子通讯方式，买卖单方不谋面地停止各种商贸活动。随着电子商务的普及，人们曾经习气于网上购物，网上银行和电子领取等新兴事物，但是网络平安一直是制约电子商务开展的一个次要瓶颈。　　一、电子商务的身份认证

　　在电子商务活动中，由于一切的团体和买卖信息要在一个开放的网络(如Internet)停止传输和交流，故我们需求身份认证技术去验证客户的身份。身份认证普通基于客户拥有什么(如令牌，智能卡或许ID卡)，客户晓得什么(如静态密码)，客户有什么特征(如指纹，虹膜和脑电波等)。国际外罕见身份认证技术包括：用户名/密码方式 、IC卡认证、USB Key认证和生物特征认证等。随着网络和黑客技术的开展，用户名/密码方式认证曾经被证明是不平安的。由于静态的密码方案不能抵挡重放攻击，字典攻击且密码容易遗忘， 所以其平安性是很低的，不能满足电子商务中身份认证的要求。目前国际外的一些较成熟的身份认证技术，根本上是用硬件来完成的(如IC卡和USB Key认证技术等)。　　二、各种身份认证技术的比拟

　　1. 静态的用户名和口令方案。在众多的身份认证方案中，静态的用户名和口令方案至今仍是运用最普遍的方案，特别是针对那些平安性要求不强的使用场所，如论坛，BBS和电子信箱。目前公司和团体遭到网络攻击的次要缘由是静态密码政策管理不善。大少数用户运用的密码都是字典中可查到的普通单词、姓名或许其他复杂的密码。有86%的用户在一切网站上运用的都是同一个密码或许无限的几个密码。最近一次全国性平安事情发作在2011年12月。事先CSDN的平安零碎遭到黑客攻击，600万用户的登录名、密码及邮箱遭到走漏。黑客在获取了CSDN的用户登录名和密码后，再用这个密码尝试登录注册邮箱，假如成功则应用很多网站常用的密码取回功用失掉了该用户的其他关联网站的账号和密码。总而言之，静态密码身份认证方案的优点是施行本钱低，不需求置办特殊的设备，用户体验性好，但其平安性较低。　　2. 客户证书USBKey(U盾)方案。从技术角度看，客户证书USBKey是用于网上银行电子签名和数字认证的工具，它内置微型智能卡处置器，采用1024位非对称密钥算法对网上数据停止加密、开源和数字签名，确保网上买卖的失密性、真实性、完好性和不可否认性。目前国际几大商业银行，如工商银行、农业银行和交通银行等都采用了USBKey方案。网络黑客即便晓得了客户的登录密码和领取密码，但假如没有USBKey在手，黑客还是不可以从你的帐户转出一分钱。故这种身份认证方式可以很好地防止账号、密码被盗等能够呈现的风险。USBKey方案的优点是平安性很强，但由于触及到了硬件故其本钱较高，且USBKey运用前需求先装置驱动。关于一些经常出差或许需求在不同机器上运用USBKey的客户来说，由于计算机各种操作零碎(如Windows和Linux)和硬件(各种不同品牌机器)的差别性，能够在装置时会遇到一些兼容性成绩，这大大减低了用户的体验称心度。

　　3.短信认证方案。目前一些大型电子商务网站往往采取“静态密码 短信认证”方案。该类零碎运用数字物理噪声源发生完全随机变化的静态(验证)密码,并经过无线通讯方式将该静态密码发送到用户的无线通讯终端(寻呼机或挪动电话等) 上。譬如领取宝网站在用户领取小额金额时只需输出领取密码，但额度假如超越一定额度(如200元)，则领取宝网站向用户手机(注册时注销的号码)发一条验证短信，然后用户在网站上输出6位的手机验证码和领取密码后才干完成付款。采用这种身份认证方式的优点是既保证了小额领取的快捷性，又保证了大额领取的平安性。但由于该认证零碎的实时性和波动性在很大的水平上依赖于无线通讯网的形态，当网络呈现拥塞时将招致验证密码传输会有较大的时延,甚至将使零碎无法正常完成身份认证进程，而且由于短信的发送会发生少量的短信费用，对中小型电子商务网站来说依然是不小的开支。　　4.静态口令认证方案。静态口令又称为一次性口令OTP(One-Time-Password)，其特点是用户依据效劳商提供的静态口令令牌的显示数字来输出静态口令，而且每个登录效劳器的口令只运用一次，窃听者无法用窃听到的登录口令来做下一次登录，同时应用单向散列函数(如 Sha-1算法等)的不可逆性，避免窃听者从窃听到的登录口令推出下一次登录口令。中国银行就是采用了静态口令认证方案。该方案的特点运用复杂，用户无须装置任何驱动，操作时只需输出以后显示的6位静态口令即可。其缺乏之处是平安性没有USBKey强，如在2011年上半年，全国各地呈现了多起中国银举动态口令泄露平安事情。黑客们首先设计了多个钓鱼网站，然后诱惑中银用户输出登录密码和静态口令。静态口令虽然为一次性口令，但其在60秒之内是可重复运用的。故黑客失掉了用户的登录密码和静态口令之后，只需在1分钟内登录进真正的中银零碎后就可以完成转账等窃取用户资金的操作了。

　　三、完毕语　　作为一种商务活动进程，电子商务将带来一场史无前例的反动，而电子商务网站的平安性成绩也越来越遭到人们的注重，其身份认证也已从最后的逻辑认证开展到物理认证最终将到达生物认证，希望在不久的未来平安牢靠的电子商务会将人类真正带入信息社会。

　　本文转自花荣新浪博客http://www.niulaile.com/stockblog/huarong/,转载请保留链接。