域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
電子商務(wù)源于英文ELECTRONIC COMMERCE,指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式,買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。隨著電子商務(wù)的普及,人們已經(jīng)習(xí)慣于網(wǎng)上購(gòu)物,網(wǎng)上銀行和電子支付等新興事物,然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個(gè)主要瓶頸。
一、電子商務(wù)的身份認(rèn)證
在電子商務(wù)活動(dòng)中,由于所有的個(gè)人和交易信息要在一個(gè)開(kāi)放的網(wǎng)絡(luò)(如Internet)進(jìn)行傳輸和交換,故我們需要身份認(rèn)證技術(shù)去驗(yàn)證客戶的身份。身份認(rèn)證一般基于客戶擁有什么(如令牌,智能卡或者ID卡),客戶知道什么(如靜態(tài)密碼),客戶有什么特征(如指紋,虹膜和腦電波等)。國(guó)內(nèi)外常見(jiàn)身份認(rèn)證技術(shù)包括:用戶名/密碼方式 、IC卡認(rèn)證、USB Key認(rèn)證和生物特征認(rèn)證等。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展,用戶名/密碼方式認(rèn)證已經(jīng)被證明是不安全的。由于靜態(tài)的密碼方案不能抵御重放攻擊,字典攻擊且密碼容易忘記, 所以其安全性是很低的,不能滿足電子商務(wù)中身份認(rèn)證的要求。目前國(guó)內(nèi)外的一些較成熟的身份認(rèn)證技術(shù),基本上是用硬件來(lái)實(shí)現(xiàn)的(如IC卡和USB Key認(rèn)證技術(shù)等)。
二、各種身份認(rèn)證技術(shù)的比較
1. 靜態(tài)的用戶名和口令方案。在眾多的身份認(rèn)證方案中,靜態(tài)的用戶名和口令方案至今仍是使用最廣泛的方案,特別是針對(duì)那些安全性要求不強(qiáng)的應(yīng)用場(chǎng)合,如論壇,BBS和電子信箱。目前公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡(jiǎn)單的密碼。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。最近一次全國(guó)性安全事件發(fā)生在2011年12月。當(dāng)時(shí)CSDN的安全系統(tǒng)遭到黑客攻擊,600萬(wàn)用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼后,再用這個(gè)密碼嘗試登錄注冊(cè)郵箱,如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶的其他關(guān)聯(lián)網(wǎng)站的賬號(hào)和密碼??偠灾?,靜態(tài)密碼身份認(rèn)證方案的優(yōu)點(diǎn)是實(shí)施成本低,不需要購(gòu)置特殊的設(shè)備,用戶體驗(yàn)性好,但其安全性較低。
2. 客戶證書USBKey(U盾)方案。從技術(shù)角度看,客戶證書USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具,它內(nèi)置微型智能卡處理器,采用1024位非對(duì)稱密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名,確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。目前國(guó)內(nèi)幾大商業(yè)銀行,如工商銀行、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案。網(wǎng)絡(luò)黑客即使知道了客戶的登錄密碼和支付密碼,但如果沒(méi)有USBKey在手,黑客還是不能夠從你的帳戶轉(zhuǎn)出一分錢。故這種身份認(rèn)證方式可以很好地避免賬號(hào)、密碼被盜等可能出現(xiàn)的風(fēng)險(xiǎn)。USBKey方案的優(yōu)點(diǎn)是安全性很強(qiáng),但由于涉及到了硬件故其成本較高,且USBKey使用前需要先安裝驅(qū)動(dòng)。對(duì)于一些常常出差或者需要在不同機(jī)器上使用USBKey的客戶來(lái)說(shuō),由于計(jì)算機(jī)各種操作系統(tǒng)(如Windows和Linux)和硬件(各種不同品牌機(jī)器)的差異性,可能在安裝時(shí)會(huì)遇到一些兼容性問(wèn)題,這大大減低了用戶的體驗(yàn)滿意度。
3.短信認(rèn)證方案。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認(rèn)證”方案。該類系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機(jī)變化的動(dòng)態(tài)(驗(yàn)證)密碼,并通過(guò)無(wú)線通信方式將該動(dòng)態(tài)密碼發(fā)送到用戶的無(wú)線通信終端(尋呼機(jī)或移動(dòng)電話等) 上。譬如支付寶網(wǎng)站在用戶支付小額金額時(shí)只需輸入支付密碼,但額度如果超過(guò)一定額度(如200元),則支付寶網(wǎng)站向用戶手機(jī)(注冊(cè)時(shí)登記的號(hào)碼)發(fā)一條驗(yàn)證短信,然后用戶在網(wǎng)站上輸入6位的手機(jī)驗(yàn)證碼和支付密碼后才能完成付款。采用這種身份認(rèn)證方式的優(yōu)點(diǎn)是既保證了小額支付的快捷性,又保證了大額支付的安全性。但由于該認(rèn)證系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性在很大的程度上依賴于無(wú)線通信網(wǎng)的狀態(tài),當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)將導(dǎo)致驗(yàn)證密碼傳輸會(huì)有較大的時(shí)延,甚至將使系統(tǒng)無(wú)法正常完成身份認(rèn)證過(guò)程,而且由于短信的發(fā)送會(huì)產(chǎn)生大量的短信費(fèi)用,對(duì)中小型電子商務(wù)網(wǎng)站來(lái)說(shuō)仍然是不小的開(kāi)銷。
4.動(dòng)態(tài)口令認(rèn)證方案。動(dòng)態(tài)口令又稱為一次性口令OTP(One-Time-Password),其特點(diǎn)是用戶根據(jù)服務(wù)商提供的動(dòng)態(tài)口令令牌的顯示數(shù)字來(lái)輸入動(dòng)態(tài)口令,而且每個(gè)登錄服務(wù)器的口令只使用一次,竊聽(tīng)者無(wú)法用竊聽(tīng)到的登錄口令來(lái)做下一次登錄,同時(shí)利用單向散列函數(shù)(如 Sha-1算法等)的不可逆性,防止竊聽(tīng)者從竊聽(tīng)到的登錄口令推出下一次登錄口令。中國(guó)銀行就是采用了動(dòng)態(tài)口令認(rèn)證方案。該方案的特點(diǎn)使用簡(jiǎn)單,用戶無(wú)須安裝任何驅(qū)動(dòng),操作時(shí)只需輸入當(dāng)前顯示的6位動(dòng)態(tài)口令即可。其不足之處是安全性沒(méi)有USBKey強(qiáng),如在2011年上半年,全國(guó)各地出現(xiàn)了多起中國(guó)銀行動(dòng)態(tài)口令泄露安全事件。黑客們首先設(shè)計(jì)了多個(gè)釣魚網(wǎng)站,然后引誘中銀用戶輸入登錄密碼和動(dòng)態(tài)口令。動(dòng)態(tài)口令雖然為一次性口令,但其在60秒之內(nèi)是可反復(fù)使用的。故黑客得到了用戶的登錄密碼和動(dòng)態(tài)口令之后,只要在1分鐘內(nèi)登錄進(jìn)真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶資金的操作了。
三、結(jié)束語(yǔ)
作為一種商務(wù)活動(dòng)過(guò)程,電子商務(wù)將帶來(lái)一場(chǎng)史無(wú)前例的革命,而電子商務(wù)網(wǎng)站的安全性問(wèn)題也越來(lái)越受到人們的重視,其身份認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證最終將達(dá)到生物認(rèn)證,希望在不久的將來(lái)安全可靠的電子商務(wù)會(huì)將人類真正帶入信息社會(huì)。
本文來(lái)源于江城論文范文網(wǎng): 轉(zhuǎn)載請(qǐng)注明出處,謝謝!
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!