客户认证是基于用户的客户端主机IP地址的一种认证机制,它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。 CA与IP地址相关,对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。
客户认证技术的内容
客户认证技术是保证网上交易安全的一项重要技术。客户认证主要包括身份认证和信息认证。前者用于鉴别用户身份、后者用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下,信息认证显得比信息保密更为重要。例如,买卖双方发生日用品业务或交易时,可能交易的具体内容并不需要保密,但是交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,信息在通信过程中没有被修改或替换。因此,在这些情况下,信息认证将处于首要的地位。
- 1.身份认证
身份认证就是在交易过程中判明和确认贸易双方的真实身份,这是目前网上交易过程中最薄弱的环节。某些非法用户常采用窃取口令、修改或伪造、阻断服务等方式对网上交易系统进行攻击,阻止系统资源的合法管理和使用。因此,要求认证机构或信息服务商应当提供如下认证的功能:①可信性。信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者所发出的。②完整性。要求信息在传输过程中保证其完整性,即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换。③不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样,信息的接收方不能否认已收到了信息。④访问控制。拒绝非法用户访问系统资源,合法用户只能访问系统授权和指定的资源。
一般来说,用户身份认证可通过三种基本方式或其组合方式来实现:①用户所知道的某个秘密信息,例如用户知道自己的口令。②用户所持有的某个秘密信息,即用户必须持有合法的随身携带的物理介质,例如智能卡中存储用户的个人化参数,以及访问系统资源时必须要有的智能卡。③用户所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜扫描等等,这种认证方案一般造价较高,多半适用于保密程度很高的场合。
- 2.信息认证
随着网络技术的发展,通过网络进行购物交易等商业活动日益增多。这些商业活动往往通过公开网络如Internet进行数据传输,这对网络传输过程中信息的保密性提出了更高的要求,①对敏感的文件进行加密,这样即使别人截获文件也无法得到其内容。②保证数据的完整性,防止截获人在文件中加入其他信息。③对数据和信息的来源进行验证,以确保发信人的身份。
通常采用秘密密钥加密系统、公开密钥加密系统或者两者相结合的方式,以保证信息的安全认证。对于加密后的文件,即使他人截取信息,由于得到的是加密后信息,因此无法知道信息原始涵义;同时加密后,他人也无法加入或删除信息,因为加密后信息被改变后就无法得到原始信息。为保证信息来源的确定性,可以采用加密的数字签名方式来实现,因为数字签名是唯一的而且是安全的。
- 3.通过认证机构认证
买卖双方在网上交易时,必须鉴别对方是否是可信的。因此,必须设立有专门机构从事认证服务,通过认证机构来认证买卖双方的身份,既可以保证网上交易的安全性,又可以保证高效性和专业性。
通过认证机构提供认证服务的基本原理和流程是,在做交易时,应向对方提交一个由 CA签发的包含个人身份的证书,以使对方相信自己的身份。顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书,证书包含了顾客的名字和他的公钥,以此作为网上证明自己身份的依据。在SET交易协议中,最主要的证书是持卡人证书和商家证书。持卡人证书实际上是支付卡的一种电子化的表示。由于它是由金融机构以数字化形式签发的,因此不能随意改变。持卡人证书并不包括帐号和终止日期信息,取而代之的是用一计算算法根据帐号、截止日期生成的一个码。如果知道帐号、截止日期、密码值,即可导出这个码值,反之不行。商家证书就用来记录商家可以结算卡类型,也是由金融机构签发的,不能被第三方改变。在SET环境中,一个商家至少应有一对证书。与一个银行打交道,一个商家也可以有多对证书,表示它与多个银行有合作关系,可以接受多种付款方法。除了持卡人证书和商家证书以外,还有支付网关证书、银行证书和发卡机构证书。
CA作为提供身份验证的第三方机构,它是由一个或多个用户信任的组织实体组成。CA的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。在实际运作中,CA也可由大家都信任的一方担当。例如,在客户、商家、银行三角关系中,客户使用的是由某个银行发的卡,而商家又与此银行有业务关系。在此情况下,客户和商家都信任该银行,可由该银行担当CA角色。又例如,对商家自己发行的购物卡,则可由商家自己担当CA角色。
