【文章內(nèi)容簡介】 何確定要進(jìn)行交易的貿(mào)易方正是所期望的貿(mào)易伙伴這一問題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。 ? 主要認(rèn)證技術(shù)： ? 身份認(rèn)證； ? 數(shù)字簽名； ? 數(shù)字信封與數(shù)字時(shí)間戳； ? 數(shù)字證書； ? 認(rèn)證中心。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? 概念： ? 身份認(rèn)證是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。 ? 誕生原因： ? 如何保證操作者的物理身份和數(shù)字身份相對(duì)應(yīng)。 ? 驗(yàn)證方式： ? （ 1）根據(jù)你所知道的信息來證明身份； ? （ 2）根據(jù)你所擁有的物品來證明身份； ? （ 3）直接根據(jù)你獨(dú)一無二的身體特征來證明身份。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? 從認(rèn)證需要驗(yàn)證的條件來看，身份認(rèn)證技術(shù)還可以分為單因子認(rèn)證和雙因子認(rèn)證。 ? 單因子認(rèn)證：如密碼認(rèn)證、指紋認(rèn)證。 ? 雙因子認(rèn)證：通過組合兩種不同條件來證明一個(gè)人的身份，如通過密碼和芯片組合，用戶可以通過 IC紀(jì)錄驗(yàn)證身份信息，成功以后才通過服務(wù)器驗(yàn)證密碼。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? 身份認(rèn)證技術(shù)的類型： ? （ 1）密碼方式：是最簡單也是最常用的身份認(rèn)證方式，但是安全性不高； ? （ 2）生物學(xué)特征：指采用每個(gè)人獨(dú)一無二的生物特征來驗(yàn)證用戶身份的技術(shù)。如：指紋識(shí)別、虹膜識(shí)別等，但具有一定的局限性，如準(zhǔn)確性和穩(wěn)定性不夠，其次成本非常高，無法做到大面積推廣。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? （ 3）動(dòng)態(tài)口令：是一種讓用戶密碼按照時(shí)間或使用次數(shù)不斷變化，每個(gè)密碼只能使用一次的技術(shù)；該技術(shù)采用一次一密的方法，有效保證用戶身份的安全性，但是使用起來非常不方便。 ? （ 4） IC卡認(rèn)證：是一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)， IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件；由于該卡的數(shù)據(jù)是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? （ 5） USB Key認(rèn)證 ? 它采用軟硬件相組合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。 ? 應(yīng)用模式：一是基于沖擊一響應(yīng)的認(rèn)證模式，二是基于 PKI體系的認(rèn)證模式。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? USB Key內(nèi)置單向散列算法（ MD5），預(yù)先在 USB Key和服務(wù)器中存儲(chǔ)一個(gè)證明用戶身份的密鑰，當(dāng)需要在網(wǎng)絡(luò)上驗(yàn)證用戶身份時(shí)，先由客戶端向服務(wù)器發(fā)出一個(gè)驗(yàn)證請(qǐng)求。服務(wù)器接到此請(qǐng)求后生成一個(gè)隨機(jī)數(shù)回傳給客戶端 PC上插著的 USB Key，此為“ 沖擊 ” 。 USB Key使用該隨機(jī)數(shù)與存儲(chǔ)在 USB Key中的密鑰進(jìn)行 MD5運(yùn)算得到一個(gè)運(yùn)算結(jié)果作為認(rèn)證證據(jù)傳送給服務(wù)器，此為 “ 響應(yīng) ” 。與此同時(shí)，服務(wù)器使用該隨機(jī)數(shù)與存儲(chǔ)在服務(wù)器數(shù)據(jù)庫中的該客戶密鑰進(jìn)行 MD5運(yùn)算，如果服務(wù)器的運(yùn)算結(jié)果與客戶端傳回的響應(yīng)結(jié)果相同，則認(rèn)為客戶端是一個(gè)合法用戶。（圖 2） 基于沖擊 響應(yīng)認(rèn)證模式 2022/2/5 第 4章 電子商務(wù)安全技術(shù) 圖中“ x”代表服務(wù)器提供的隨機(jī)數(shù)，“ Key”代表密鑰，“ y”代表隨機(jī)數(shù)和密鑰經(jīng)過 MD5運(yùn)算后的結(jié)果。通過網(wǎng)絡(luò)傳輸?shù)闹挥须S機(jī)數(shù)“ x”和運(yùn)算結(jié)果“ y”，用戶密鑰“ Key”既不在網(wǎng)絡(luò)上傳輸也不在客戶端電腦內(nèi)存中出現(xiàn)，網(wǎng)絡(luò)上的黑客和客戶端電腦中的木馬程序都無法得到用戶的密鑰。由于每次認(rèn)證過程使用的隨機(jī)數(shù)“ x”和運(yùn)算結(jié)果“ y”都不一樣，即使在網(wǎng)絡(luò)傳輸?shù)倪^程中認(rèn)證數(shù)據(jù)被黑客截獲，也無法逆推獲得密鑰。因此從根本上保證了用戶身份無法被仿冒。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? PKI（ Public Key Infrastructure） 即公共密鑰體系，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。一個(gè)公共密鑰（公鑰， public key）和一個(gè)私有密鑰（私鑰，private key）。 ? 其基本原理是 ：由一個(gè)密鑰進(jìn)行加密的信息內(nèi)容，只能由與之配對(duì)的另一個(gè)密鑰才能進(jìn)行解密。公鑰可以廣泛地發(fā)給與自己有關(guān)的通信者，私鑰則需要十分安全地存放起來。每個(gè)用戶擁有一個(gè)僅為本人所掌握的私鑰，用它進(jìn)行解密和簽名；同時(shí)擁有一個(gè)公鑰用于文件發(fā)送時(shí)加密。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達(dá)目的地了，即使被第三方截獲，由于沒有相應(yīng)的私鑰，也無法進(jìn)行解密。 基于 PKI的數(shù)字證書的認(rèn)證模式 2022/2/5 第 4章 電子商務(wù)安全技術(shù) 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? 沖擊響應(yīng)模式可以保證用戶身份不被仿冒，但無法保證認(rèn)證過程中數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中的安全。 而基于 PKI的 “ 數(shù)字證書認(rèn)證方式 ” 可以有效保證用戶的身份安全和數(shù)據(jù)傳輸安全。 ? 數(shù)字證書是由可信任的第三方認(rèn)證機(jī)構(gòu) —— 數(shù)字證書認(rèn)證中心（ Certificate Authority, A）頒發(fā)的一組包含用戶身份信息（密鑰）的數(shù)據(jù)結(jié)構(gòu)， PKI體系通過采用加密算法構(gòu)建了一套完善的流程，保證數(shù)字證書持有人的身份安全。 ? 而使用 USB Key可以保障數(shù)字證書無法被復(fù)制，所有密鑰運(yùn)算在 USB Key中實(shí)現(xiàn)，用戶密鑰不在計(jì)算機(jī)內(nèi)存出現(xiàn)也不在網(wǎng)絡(luò)中傳播，只有 USB Key的持有人才能夠?qū)?shù)字證書進(jìn)行操作，安全性有了保障。由于 USB Key具有安全可靠，便于攜帶、使用方便、成本低廉的優(yōu)點(diǎn)，加上 PKI體系完善的數(shù)據(jù)保護(hù)機(jī)制，使用 USB Key存儲(chǔ)數(shù)字證書的認(rèn)證方式已經(jīng)成為目前主要的認(rèn)證模式。 兩種模式的區(qū)別： 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? 總結(jié)：從目前 USB KEY網(wǎng)絡(luò)身份認(rèn)證的應(yīng)用情況來看正在顯現(xiàn)出越來越大的優(yōu)越性，最大規(guī)模的應(yīng)用是在國內(nèi)各家商業(yè)銀行的網(wǎng)上銀行業(yè)務(wù)。這也是我們喜歡網(wǎng)上購物的網(wǎng)友們應(yīng)高度注意的，若你的銀行卡開有網(wǎng)上銀行業(yè)務(wù)，最好選擇 USB KEY身份認(rèn)證方式。 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? *幾種身份認(rèn)證技術(shù)的比較如下表： 2022/2/5 第 4章 電子商務(wù)安全技術(shù) ? ? （相關(guān)認(rèn)證技術(shù)） ? （ SET、 SSL） ? ? 2022/2/5 第 4章 電子商務(wù)安全技術(shù) 如何保證交易的完整性？？