第4章电子商务中的认证技术
《第4章电子商务中的认证技术》由会员分享,可在线阅读,更多相关《第4章电子商务中的认证技术(50页珍藏版)》请在文档大全上搜索。
1、第第4章章 电子商务中的认证技术电子商务中的认证技术 认证和验证认证和验证n认证(certification) 资质的证明n验证(authentication) 真伪的证明,结果只有两个n识别(identification) 区分不同的东西4.1 电子商务认证技术概述电子商务认证技术概述 n实体身份认证:就是确认实体是它所声明的,以防止交易活动出现欺骗,抵赖等现象。 商家 客户 交易双方不会面对面交易双方传输报文的认证交易双方传输报文的认证 n报文认证:可用于验证报文的来源真实完整 。身份报文 重放 客户 攻击者 商家 商家 4.2 身份认证和报文认证身份认证和报文认证n使用身份的两个主要目的
2、:可追查性和访问控制。 n报文认证,也称为消息认证,包括两个方面:n验证报文的来源是真实可靠n验证报文的完整性:防止报文被篡改或交易过程中出现数据差错n身份认证是指对通信对象身份的认证,报文认证是指对通信内容的认证。4.2 .1 身份认证方法身份认证方法 n身份认证:通过验证被认证对象的属性来达到确认被认证对象是否真实有效的目的。n验证其身份与他所宣称的是一致的。n被认证对象的属性:n口令n数字签名n生理特征:指纹、声音、视网膜n身份认证:身份标识和验证 身份标识和验证身份标识和验证n身份标识:可区分不同的通信对象。n身份标识应该是被其他的通信对象所认可。n通信对象通过向对方发送自己的身份标识
3、以证明自己的身份。n通信对象确信与之打交道的实体正是所需要的实体。身份验证只是简单地鉴别实体本身的身份,不会和实体想要进行何种活动相联系。 认证和其他实体关系认证和其他实体关系n出示证件的人,又称声称者(Claimant),属于被验证对象,他们要向验证者实体证明自己的身份。n验证者,它负责验证被验证对象的身份,检验声称者提的证件的正确性和合法性,决定是否满足要求。n可信赖者TP (Trusted third party) ,参与调解纠纷。n第四方是攻击者,可以窃听或伪装声称者骗取验证者的信任。身份认证的方式身份认证的方式 用户可通过以下秘密来来证明自己的身份:n用户已知的事:仅个人所知道的或所
4、掌握的知识,如:口令或者密码等。n用户拥有的物品:个人所拥有的东西,如身份证、护照、信用卡等。n个人特征:个人所具有的某些生物学特征,如指纹、视网膜扫描等,这些特征必须是可识别的,即对每个人而言是唯一的。4.2.2 4.2.2 电子商务中的身份认证方案电子商务中的身份认证方案电子商务中的身份认证方案主要有三类:n基于口令的身份认证方案;n基于智能卡的身份认证方案;n基于生物特征的身份认证方案。基于口令的身份认证方案基于口令的身份认证方案n基于口令的身份认证方案是基于用户所知道的信息:用户提供一个口令,系统验证该口令。n认证中心通常保存用户自己设置的口令或者口令的变换值。 n口令通常为长度为58
5、的字符串。n选择原则:易记、难猜、抗分析能力强。口令的认证的安全问题口令的认证的安全问题n安全性仅依赖于口令,容易泄露。n容易遭受各种猜测口令程序的攻击。口令一旦泄露,用户可能被冒充。n口令的存储问题。如果口令文件被窃取,那么就可以进行离线的字典式攻击。n线路窃听n重放对付口令安全问题的措施对付口令安全问题的措施n口令定期改变;n每个口令只与一个人有关,但防止用户特征相关口令;n输入的口令不再现在终端上;n使用易记的口令,不要写在纸上n 严格限制非法登录的次数;n限制最小长度,至少68字节以上n及时更改预设口令;基于智能卡的身份认证方案基于智能卡的身份认证方案 n智能卡(Smart card)
6、是一种带有智能的集成电路卡,具有读写和存储数据的功能,以及加密数据、处理数据的能力。n智能卡能够存储用户的秘密信息或者数字证书,n智 能 卡 一 般 需 要 和 用 户 的 身 份 识 别 码PIN(Personal Identification Number)同时使用,即智能卡使用前必须要输入PIN码。n验证时还需要与身份认证等安全协议一起使用才能完成。基于生物特征的身份认证方案基于生物特征的身份认证方案 n基于生物特征的认证方案以人体唯一、稳定的生物特征(如指纹、虹膜等)为依据,并利用图像处理和模式识别技术来实现身份认证。n与传统的身份认证方式相比,该技术具有很好的安全性、可靠性和有效性。
7、n基于两个假设:n生物测定设备在它所运用的环境中是准确的。n从生物测定设备到计算机分析过程的传输是防篡改的。4.2.2 身份认证协议身份认证协议 n 身份认证协议是一种特殊的通信协议,它定义了在身份认证过程中,参与认证的所有通信方所交换报文的格式、报文发生的次序以及报文的语义。n大多数身份认证协议均基于密码学原理。n身份认证协议可分为:n单向认证协议:只认证通信一方的身份n双向认证协议,通信双方互相认证身份。4.2.3 报文认证报文认证 n报文认证是指当两个通信实体建立通信联系后,每个通信实体对收到的报文信息进行验证,以保证收到的信息是真实可靠的。n报文认证的内容:n报文来源的验证:报文的确是
8、由确认的所信任的另一方发送的;n报文内容在传输过程中的完整性,即报文在传递过程中,报文内容没有被攻击者破坏或篡改;报文认证(续)报文认证(续)n报文加密与报文认证的区别:n报文加密可用于防止被动窃听n报文认证可用于防止主动窃听,防止攻击者篡改信息内容、改变信息的源点和目标等。n身份验证与报文验证的差别:n身份验证只证实实体的身份n除了消息的合法和完整外,报文验证还需要知道消息的含义。 报文奇偶校验和报文奇偶校验和n传统的方法是计算报文奇偶校验和CRC报文报文CRCCRC计算奇偶校验和报文CRC发送比较计算奇偶校验和报文完整性验证报文完整性验证n采用奇偶校验和方法认证报文的完整性强度较低。n报文
9、摘要与散列函数是网络安全中重要技术之一。n报文摘要(Message Digest)是通信双方判定报文完整性的参数依据n散列函数就是计算报文摘要的函数,该函数的输入与输出能够反应报文的特征。报文来源验证报文来源验证 n报文来源验证用于判断报文发送者的真实身份。n验证技术通常都是检验一些参数是否满足某些事先预订的关系或者特征。n这些参数可以是通信双方彼此所共有的,比如共享密钥。n报文来源和报文完整性验证通常是同时进行的。n报文认证的方法:采用加密的报文验证方式、和报文验证码MAC的方式4.3 报文摘要报文摘要 报文摘要(Message Digest) 是指根据报文推导出来的能反应报文特征、且具有固
10、定长度的特定信息,经典散列算法包括:n报文摘要算法MD5 n安全散列算法SHA-1 MD5算法安全性分析算法安全性分析 nMD5算法描述简单、易于实现,被广泛用于各种数字签名以及报文认证。nRivest曾估计寻找具有相同摘要值的两个报文需要264数量级的时间,MD5一度曾被认为是比较安全的。nMD5的破译:在很短的时间内找出具有相同摘要的两个不同报文。n应用MD5的系统将不再具有安全性。SHA-1算法安全性分析算法安全性分析 nSHA-1与MD5都是基于MD4算法模型设计的,两者算法结构类似。nSHA-1的报文摘要比MD5多32比特,安全强度大大提高nSHA-1的设计者没有公开设计标准,其密码
