[摘 要]本文指出了電子商務(wù)活動(dòng)當(dāng)前所面臨的身份認(rèn)證問(wèn)題，詳細(xì)描述了目前流行的幾種身份認(rèn)證技術(shù)的實(shí)現(xiàn)原理和實(shí)施步驟，并對(duì)幾種方案的優(yōu)缺點(diǎn)進(jìn)行了分析和比較。

[關(guān)鍵詞] 電子商務(wù) 靜態(tài)密碼 網(wǎng)絡(luò)安全 客戶(hù)證書(shū) 動(dòng)態(tài)密碼

電子商務(wù)源于英文ELECTRONIC COMMERCE，指的是利用簡(jiǎn)單、快捷、低成本的電子通訊方式，買(mǎi)賣(mài)雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng)。隨著電子商務(wù)的普及，人們已經(jīng)習(xí)慣于網(wǎng)上購(gòu)物，網(wǎng)上銀行和電子支付等新興事物，然而網(wǎng)絡(luò)安全始終是制約電子商務(wù)發(fā)展的一個(gè)主要瓶頸。

一、電子商務(wù)的身份認(rèn)證

在電子商務(wù)活動(dòng)中，由于所有的個(gè)人和交易信息要在一個(gè)開(kāi)放的網(wǎng)絡(luò)（如Internet）進(jìn)行傳輸和交換，故我們需要身份認(rèn)證技術(shù)去驗(yàn)證客戶(hù)的身份。身份認(rèn)證一般基于客戶(hù)擁有什么（如令牌，智能卡或者ID卡），客戶(hù)知道什么（如靜態(tài)密碼），客戶(hù)有什么特征（如指紋，虹膜和腦電波等）。國(guó)內(nèi)外常見(jiàn)身份認(rèn)證技術(shù)包括：用戶(hù)名/密碼方式 、IC卡認(rèn)證、USB Key認(rèn)證和生物特征認(rèn)證等。隨著網(wǎng)絡(luò)和黑客技術(shù)的發(fā)展，用戶(hù)名/密碼方式認(rèn)證已經(jīng)被證明是不安全的。由于靜態(tài)的密碼方案不能抵御重放攻擊，字典攻擊且密碼容易忘記， 所以其安全性是很低的，不能滿(mǎn)足電子商務(wù)中身份認(rèn)證的要求。目前國(guó)內(nèi)外的一些較成熟的身份認(rèn)證技術(shù)，基本上是用硬件來(lái)實(shí)現(xiàn)的（如IC卡和USB Key認(rèn)證技術(shù)等）。

二、各種身份認(rèn)證技術(shù)的比較

1. 靜態(tài)的用戶(hù)名和口令方案。在眾多的身份認(rèn)證方案中，靜態(tài)的用戶(hù)名和口令方案至今仍是使用最廣泛的方案，特別是針對(duì)那些安全性要求不強(qiáng)的應(yīng)用場(chǎng)合，如論壇，BBS和電子信箱。目前公司和個(gè)人受到網(wǎng)絡(luò)攻擊的主要原因是靜態(tài)密碼政策管理不善。大多數(shù)用戶(hù)使用的密碼都是字典中可查到的普通單詞、姓名或者其他簡(jiǎn)單的密碼。有86％的用戶(hù)在所有網(wǎng)站上使用的都是同一個(gè)密碼或者有限的幾個(gè)密碼。最近一次全國(guó)性安全事件發(fā)生在2011年12月。當(dāng)時(shí)CSDN的安全系統(tǒng)遭到黑客攻擊，600萬(wàn)用戶(hù)的登錄名、密碼及郵箱遭到泄漏。黑客在獲取了CSDN的用戶(hù)登錄名和密碼后，再用這個(gè)密碼嘗試登錄注冊(cè)郵箱，如果成功則利用很多網(wǎng)站常用的密碼取回功能得到了該用戶(hù)的其他關(guān)聯(lián)網(wǎng)站的賬號(hào)和密碼?？偠灾o態(tài)密碼身份認(rèn)證方案的優(yōu)點(diǎn)是實(shí)施成本低，不需要購(gòu)置特殊的設(shè)備，用戶(hù)體驗(yàn)性好，但其安全性較低。

2. 客戶(hù)證書(shū)USBKey（U盾）方案。從技術(shù)角度看，客戶(hù)證書(shū)USBKey是用于網(wǎng)上銀行電子簽名和數(shù)字認(rèn)證的工具，它內(nèi)置微型智能卡處理器，采用1024位非對(duì)稱(chēng)密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名，確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。目前國(guó)內(nèi)幾大商業(yè)銀行，如工商銀行、農(nóng)業(yè)銀行和交通銀行等都采用了USBKey方案。網(wǎng)絡(luò)黑客即使知道了客戶(hù)的登錄密碼和支付密碼，但如果沒(méi)有USBKey在手，黑客還是不能夠從你的帳戶(hù)轉(zhuǎn)出一分錢(qián)。故這種身份認(rèn)證方式可以很好地避免賬號(hào)、密碼被盜等可能出現(xiàn)的風(fēng)險(xiǎn)。USBKey方案的優(yōu)點(diǎn)是安全性很強(qiáng)，但由于涉及到了硬件故其成本較高，且USBKey使用前需要先安裝驅(qū)動(dòng)。對(duì)于一些常常出差或者需要在不同機(jī)器上使用USBKey的客戶(hù)來(lái)說(shuō)，由于計(jì)算機(jī)各種操作系統(tǒng)（如Windows和Linux）和硬件（各種不同品牌機(jī)器）的差異性，可能在安裝時(shí)會(huì)遇到一些兼容性問(wèn)題，這大大減低了用戶(hù)的體驗(yàn)滿(mǎn)意度。

3.短信認(rèn)證方案。目前一些大型電子商務(wù)網(wǎng)站往往采取“靜態(tài)密碼+短信認(rèn)證”方案。該類(lèi)系統(tǒng)使用數(shù)字物理噪聲源產(chǎn)生完全隨機(jī)變化的動(dòng)態(tài)（驗(yàn)證）密碼，并通過(guò)無(wú)線(xiàn)通信方式將該動(dòng)態(tài)密碼發(fā)送到用戶(hù)的無(wú)線(xiàn)通信終端(尋呼機(jī)或移動(dòng)電話(huà)等) 上。譬如支付寶網(wǎng)站在用戶(hù)支付小額金額時(shí)只需輸入支付密碼，但額度如果超過(guò)一定額度（如200元），則支付寶網(wǎng)站向用戶(hù)手機(jī)（注冊(cè)時(shí)登記的號(hào)碼）發(fā)一條驗(yàn)證短信，然后用戶(hù)在網(wǎng)站上輸入6位的手機(jī)驗(yàn)證碼和支付密碼后才能完成付款。采用這種身份認(rèn)證方式的優(yōu)點(diǎn)是既保證了小額支付的快捷性，又保證了大額支付的安全性。但由于該認(rèn)證系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性在很大的程度上依賴(lài)于無(wú)線(xiàn)通信網(wǎng)的狀態(tài)，當(dāng)網(wǎng)絡(luò)出現(xiàn)擁塞時(shí)將導(dǎo)致驗(yàn)證密碼傳輸會(huì)有較大的時(shí)延，甚至將使系統(tǒng)無(wú)法正常完成身份認(rèn)證過(guò)程，而且由于短信的發(fā)送會(huì)產(chǎn)生大量的短信費(fèi)用，對(duì)中小型電子商務(wù)網(wǎng)站來(lái)說(shuō)仍然是不小的開(kāi)銷(xiāo)。

4.動(dòng)態(tài)口令認(rèn)證方案。動(dòng)態(tài)口令又稱(chēng)為一次性口令OTP(One-Time-Password)，其特點(diǎn)是用戶(hù)根據(jù)服務(wù)商提供的動(dòng)態(tài)口令令牌的顯示數(shù)字來(lái)輸入動(dòng)態(tài)口令，而且每個(gè)登錄服務(wù)器的口令只使用一次，竊聽(tīng)者無(wú)法用竊聽(tīng)到的登錄口令來(lái)做下一次登錄，同時(shí)利用單向散列函數(shù)（如 Sha-1算法等）的不可逆性，防止竊聽(tīng)者從竊聽(tīng)到的登錄口令推出下一次登錄口令。中國(guó)銀行就是采用了動(dòng)態(tài)口令認(rèn)證方案。該方案的特點(diǎn)使用簡(jiǎn)單，用戶(hù)無(wú)須安裝任何驅(qū)動(dòng)，操作時(shí)只需輸入當(dāng)前顯示的6位動(dòng)態(tài)口令即可。其不足之處是安全性沒(méi)有USBKey強(qiáng)，如在2011年上半年，全國(guó)各地出現(xiàn)了多起中國(guó)銀行動(dòng)態(tài)口令泄露安全事件。黑客們首先設(shè)計(jì)了多個(gè)釣魚(yú)網(wǎng)站，然后引誘中銀用戶(hù)輸入登錄密碼和動(dòng)態(tài)口令。動(dòng)態(tài)口令雖然為一次性口令，但其在60秒之內(nèi)是可反復(fù)使用的。故黑客得到了用戶(hù)的登錄密碼和動(dòng)態(tài)口令之后，只要在1分鐘內(nèi)登錄進(jìn)真正的中銀系統(tǒng)后就可以完成轉(zhuǎn)賬等竊取用戶(hù)資金的操作了。

三、結(jié)束語(yǔ)

作為一種商務(wù)活動(dòng)過(guò)程，電子商務(wù)將帶來(lái)一場(chǎng)史無(wú)前例的革命，而電子商務(wù)網(wǎng)站的安全性問(wèn)題也越來(lái)越受到人們的重視，其身份認(rèn)證也已從最初的邏輯認(rèn)證發(fā)展到物理認(rèn)證最終將達(dá)到生物認(rèn)證，希望在不久的將來(lái)安全可靠的電子商務(wù)會(huì)將人類(lèi)真正帶入信息社會(huì)。

參考文獻(xiàn):

吳佩萱.基于時(shí)間同步機(jī)制的動(dòng)態(tài)密碼認(rèn)證系統(tǒng)[J].長(zhǎng)江大學(xué)學(xué)報(bào)（自然版），2005，2(7):256-257