域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

電子商務(wù)源于英文ELECTRONIC COMMERCE，指的是利用簡單、快捷、低成本的電子通訊方式，買賣雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。隨著電子商務(wù)的普及，人們已經(jīng)習(xí)慣于網(wǎng)上購物，網(wǎng)上銀行和電子支付等新興事物，然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個(gè)主要瓶頸。

一、電子商務(wù)的身份認(rèn)證

在電子商務(wù)活動(dòng)中，由于所有的個(gè)人和交易信息要在一個(gè)開放的網(wǎng)絡(luò)(如Internet)進(jìn)行傳輸和交換，故我們需要身份認(rèn)證技術(shù)去驗(yàn)證客戶的身份。身份認(rèn)證一般基于客戶擁有什么(如令牌，智能卡或者ID卡)，客戶知道什么(如靜態(tài)密碼)，客戶有什么特征(如指紋，虹膜和腦電波等)。國內(nèi)外常見身份認(rèn)證技術(shù)包括：用戶名/密碼方式 、IC卡認(rèn)證、USB Key認(rèn)證和生物特征認(rèn)證等。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展，用戶名/密碼方式認(rèn)證已經(jīng)被證明是不安全的。由于靜態(tài)的密碼方案不能抵御重放攻擊，字典攻擊且密碼容易忘記， 所以其安全性是很低的，不能滿足電子商務(wù)中身份認(rèn)證的要求。目前國內(nèi)外的一些較成熟的身份認(rèn)證技術(shù)，基本上是用硬件來實(shí)現(xiàn)的(如IC卡和USB Key認(rèn)證技術(shù)等)。

二、各種身份認(rèn)證技術(shù)的比較

1. 靜態(tài)的用戶名和口令方案。在眾多的身份認(rèn)證方案中，靜態(tài)的用戶名和口令方案至今仍是使用最廣泛的方案，特別是針對那些安全性要求不強(qiáng)的應(yīng)用場合，如論壇，BBS和電子信箱。目前公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善。大多數(shù)用戶使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡單的密碼。有86%的用戶在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。最近一次全國性安全事件發(fā)生在2011年12月。當(dāng)時(shí)CSDN的安全系統(tǒng)遭到黑客攻擊，600萬用戶的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶登錄名和密碼后，再用這個(gè)密碼嘗試登錄注冊郵箱，如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶的其他關(guān)聯(lián)網(wǎng)站的賬號和密碼?？偠灾o態(tài)密碼身份認(rèn)證方案的優(yōu)點(diǎn)是實(shí)施成本低，不需要購置特殊的設(shè)備，用戶體驗(yàn)性好，但其安全性較低。

2. 客戶證書USBKey(U盾)方案。從技術(shù)角度看，客戶證書USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具，它內(nèi)置微型智能卡處理器，采用1024位非對稱密鑰算法對網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名，確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。目前國內(nèi)幾大商業(yè)銀行，如工商銀行、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案。網(wǎng)絡(luò)黑客即使知道了客戶的登錄密碼和支付密碼，但如果沒有USBKey在手，黑客還是不能夠從你的帳戶轉(zhuǎn)出一分錢。故這種身份認(rèn)證方式可以很好地避免賬號、密碼被盜等可能出現(xiàn)的風(fēng)險(xiǎn)。USBKey方案的優(yōu)點(diǎn)是安全性很強(qiáng)，但由于涉及到了硬件故其成本較高，且USBKey使用前需要先安裝驅(qū)動(dòng)。對于一些常常出差或者需要在不同機(jī)器上使用USBKey的客戶來說，由于計(jì)算機(jī)各種操作系統(tǒng)(如Windows和Linux)和硬件(各種不同品牌機(jī)器)的差異性，可能在安裝時(shí)會遇到一些兼容性問題，這大大減低了用戶的體驗(yàn)滿意度。

3.短信認(rèn)證方案。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認(rèn)證”方案。該類系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機(jī)變化的動(dòng)態(tài)(驗(yàn)證)密碼,并通過無線通信方式將該動(dòng)態(tài)密碼發(fā)送到用戶的無線通信終端(尋呼機(jī)或移動(dòng)電話等) 上。譬如支付寶網(wǎng)站在用戶支付小額金額時(shí)只需輸入支付密碼，但額度如果超過一定額度(如200元)，則支付寶網(wǎng)站向用戶手機(jī)(注冊時(shí)登記的號碼)發(fā)一條驗(yàn)證短信，然后用戶在網(wǎng)站上輸入6位的手機(jī)驗(yàn)證碼和支付密碼后才能完成付款。采用這種身份認(rèn)證方式的優(yōu)點(diǎn)是既保證了小額支付的快捷性，又保證了大額支付的安全性。但由于該認(rèn)證系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性在很大的程度上依賴于無線通信網(wǎng)的狀態(tài)，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)將導(dǎo)致驗(yàn)證密碼傳輸會有較大的時(shí)延,甚至將使系統(tǒng)無法正常完成身份認(rèn)證過程，而且由于短信的發(fā)送會產(chǎn)生大量的短信費(fèi)用，對中小型電子商務(wù)網(wǎng)站來說仍然是不小的開銷。

4.動(dòng)態(tài)口令認(rèn)證方案。動(dòng)態(tài)口令又稱為一次性口令OTP(One-Time-Password)，其特點(diǎn)是用戶根據(jù)服務(wù)商提供的動(dòng)態(tài)口令令牌的顯示數(shù)字來輸入動(dòng)態(tài)口令，而且每個(gè)登錄服務(wù)器的口令只使用一次，竊聽者無法用竊聽到的登錄口令來做下一次登錄，同時(shí)利用單向散列函數(shù)(如 Sha-1算法等)的不可逆性，防止竊聽者從竊聽到的登錄口令推出下一次登錄口令。中國銀行就是采用了動(dòng)態(tài)口令認(rèn)證方案。該方案的特點(diǎn)使用簡單，用戶無須安裝任何驅(qū)動(dòng)，操作時(shí)只需輸入當(dāng)前顯示的6位動(dòng)態(tài)口令即可。其不足之處是安全性沒有USBKey強(qiáng)，如在2011年上半年，全國各地出現(xiàn)了多起中國銀行動(dòng)態(tài)口令泄露安全事件。黑客們首先設(shè)計(jì)了多個(gè)釣魚網(wǎng)站，然后引誘中銀用戶輸入登錄密碼和動(dòng)態(tài)口令。動(dòng)態(tài)口令雖然為一次性口令，但其在60秒之內(nèi)是可反復(fù)使用的。故黑客得到了用戶的登錄密碼和動(dòng)態(tài)口令之后，只要在1分鐘內(nèi)登錄進(jìn)真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶資金的操作了。

三、結(jié)束語

作為一種商務(wù)活動(dòng)過程，電子商務(wù)將帶來一場史無前例的革命，而電子商務(wù)網(wǎng)站的安全性問題也越來越受到人們的重視，其身份認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證最終將達(dá)到生物認(rèn)證，希望在不久的將來安全可靠的電子商務(wù)會將人類真正帶入信息社會。

本文來源于江城論文范文網(wǎng)： 轉(zhuǎn)載請注明出處，謝謝!

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！