用户识别和安全认证
仅仅加密是不够的,全面的保护还要求认证和识别。它确保参与加密对话的人确实是其本人。厂家依靠许多机制来实现认证,从安全卡到身份鉴别。前一个安全保护能确保只有经过授权的用户才能通过个人
计算机进行Internet网上的交互式交易;后者则提供一种方法,用它生成某种形式的口令或数字签名,交易的另一方据此来认证他的
交易伙伴。用户管理的口令通常是前一种安全措施;硬件/软件解决方案则不仅正逐步成为数字身份认证的手段,同时它也可以被可信第三方用来完成用户数字身份(ID)的相关确认。
一、认证和识别的基本原理
认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票
交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到
计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。
智能卡技术将成为用户接入和用户身份认证等安全要求的首选技术。用户将从持有认证执照的可信发行者手里取得智能卡安全设备,也可从其他公共密钥密码安全方案发行者那里获得。这样智能卡的读取器必将成为用户接入和认证安全解决方案的一个关键部分。越来越多的业内人士在积极提供智能卡安全性的解决方案。尽管这一领域的情形还不明朗,但我们没有理由排除这样一种可能:在数字ID和相关执照的可信发行者方面,某些经济组织或由某些银行拥有的信用卡公司将可能成为这一领域的领导者。
二、认证的主要方法
为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证
问题,主要有以下几种认证办法。
1.双重认证。如波斯顿的Beth Isreal Hospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。
2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。
3.智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。
4.安全电子
交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议,我们将在第六节做较详细的讨论。