第 6 章电子商务的身份认证技术

第6章电子商务的身份认证技术 电子商务安全本章主要内容：）学习目标 1.了解和掌握基本认证技术 2.熟悉各种身份认证方式和认证协议 3.了解Kerberos认证系统 4.了解电子商务的CA认证体系的组成 5.了解生物识别认证技术原理和常用的生物识别技术

电子商务安全 6.1 认证技术 6.1.1基本认证技术基本认证技术 1.报文摘要 2.数字签名 3.数字信封 4.数字时间戳 5.数字证书

电子商务安全 6.1.2身份认证方式身份认证方式 1.单向认证（one way authentication） 2.双向认证（two way authentication） 3.基于可信赖的第三方的认证（trusted third party authentication）

电子商务安全 6.1.3 认证协议目前常用的两种认证体制为：对称认证和非对称认证。零知识技术零知识技术已成为密码技术的一个新的基础，在认证方面有着潜在的应用，零知识技术是一种方法，它可以使信息的拥有者无需泄漏任何信息便能够向验证者或任何第三方证明它确实拥有该信息。任一用户，设为A，秘密选择一正整数α，计算yA=αα，并将A以用户的身份用（A,yA）形式存放在通信录上，每一用户都持有一本该通信录。若A向B证明自己的身份，步骤如下：（1）A向B送去一正整数α。（2）B收到α后随机选择一正整数R，计算αR，并将y2=αR送给A。（3）A计算y3=αα R,并送y3给B。（4）B计算（yA）R=αα R ，并计算检查（yA）R是否等于y3，若相等则A的身份便得到了证明。则此协议就不是零知识协议。因为若B送去y2=R,则将获得y3=Rα。这个结果就不是他所能得到的。身份认证协议举例

电子商务安全 6.1.4 Kerberos认证系统 Kerberos即是由MIT开发的网络环境下的认证系统，是为TCP/IP网络设计的可信第三方认证协议。Kerberos需要解决的问题是：在一个公开的分布式网络中，工作站上的用户需要访问分布在网络中的服务器上的服务，所以希望服务器能够限制授权用户的访问，并能鉴别服务请求。Kerberos的解决方案是调用每项服务时都需要用户证明自己的身份，同时也需要服务器向用户证明自己的身份。Kerberos基于对称密码学，它与网络上的每个实体分别共享一个不同的密钥，是否知道该密钥则是身份的证明。在Kerberos协议里，包含客户机C、身份认证服务器AS、凭证发放服务器TGS和应用服务器V等四方，其中身份认证服务器和凭证发放服务器必须是安全的。 Kerberos的认证过程中，需要使用两种凭证：票据（ticket）和鉴别码（authenticator）。

电子商务安全 6.2 安全CA认证机构在电子商务中必须解决两个问题：一个是身份验证，另一个是交易的不可抵赖。由于交易双方互不见面，并且是一些不带有本人任何特征的数据在交换，因此有可能造成一些交易的抵赖。为解决这两个问题，就必须引入一个交易双方均信任的第三方，对买卖双方进行身份验证，以使交易的参与者确信自己确实是在与对方所说的人交易。同时，在公开密钥体系中，公开密钥的真实性鉴别也是一个重要问题，而这个权威的第三方为用户发放的证书是一个有该用户的公开密钥及个人信息并经证书授权中心数字签名的文件。由于第三方的数字签名使得攻击者不能伪造和篡改证书，因此，证书便向接收者证实了某人或某机构对公开密钥的拥有。与其进行交易身份不必怀疑，对方传来的数据是带有其身份特征而且是不可否认的。 CA（certificate authority）就是这样一个各方均信任的第三方安全认证机构。上述理由构成CA产生的根本原因。

电子商务安全 6.2.1认证中心 CA层次结构

电子商务安全 6.2.2认证中心主要功能认证中心主要功能 1.证书的颁发 2.证书的更新 3.证书的查询 4.证书的作废 5.证书的归档

电子商务安全 6.2.3 电子商务的CA认证体系 1）SET CA 1997年2月19日，由MasterCard和Visa发起成立SET Co公司，被授权作为SET根认证中心（Root CA）。从SET协议中可以看出，由于采用公开密钥加密算法，认证中心（CA）就成为整个系统的安全核心。在SET中，CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。在证书中，利用X.500识别名来确定SET交易中所涉及的各参与方。SET CA是一套严密的认证体系，可保证B to C类型的电子商务安全顺利地进行。但SET认证结构适应于卡支付，对其他支付方式是有所限制的。在网上购物过程中，持卡人的证书与发卡机构的证书关联，发卡机构证书通过不同品牌卡的证书连接到Root CA，而Root CA的公共签字密钥对所有的SET软件都是已知的，可以校验每一个证书。

电子商务安全 6.2.3 电子商务的CA认证体系 2）PKI CA PKI（public key infrastructure，公钥基础设施）是提供公钥加密和数字签字服务的安全基础平台，目的是管理密钥和证书。PKI是创建、颁发、管理、撤销公钥证书所涉及的所有软件、硬件的集合体，它将公开密钥技术、数字证书、证书发放机构（CA）和安全策略等安全措施整合起来，成为目前公认的在大型开放网络环境下解决信息安全问题最可行、最有效的方法。 PKI是电子商务安全保障的重要基础设施之一。它具有多种功能，能够提供全方位的电子商务安全服务。一个典型的PKI应用系统包括五个部分：密钥管理系统、证书受理系统、证书签发系统、证书发布系统、目录服务（证书查询验证）系统。

电子商务安全 6.2.3 电子商务的CA认证体系 3）用户自己认定的CA 在实际运作中，CA也可由大家都信任的一方担当。例如，在客户、商家、银行三角关系中，客户使用的是由某个银行发行的卡，而商家又与此银行有业务关系（有账号）。在此情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理它的客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则可由商家自己担当CA角色。

电子商务安全 6.3 生物识别认证技术 6.3.1生物识别认证技术概述利用生物识别技术进行身份识别，过程方便、快捷，而且大大提高了安全系数。生物识别技术认定的是人本身，首先通过采集系统对个人的生物特征进行取样，提取其唯一的特征并且转化成数字代码，再将这些代码组成特征模板，存储在数据库中。当人们与识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定接受或拒绝。

电子商务安全 6.3.2常用的生物识别技术常用的生物识别技术 1.指纹识别 2.人脸识别 3.虹膜识别 4.生物遗传DNA

电子商务安全 6.3.3生物识别技术的应用前景生物识别技术的应用前景 1.公安刑侦 2.门禁管理 3.电子支付 4.身份识别 5.虹膜通关生物识别技术的发展前景不可限量。随着数字化、信息化社会的迈进，人们对生物识别技术的了解和认识将逐渐增加，生物识别技术的市场需求会越来越大，而生物识别技术和识别系统的性能也将在不断发展中日益完善，更好地服务大众。

电子商务安全 6.3.4*生物识别十大关键技术 1.生物特征传感器技术生物识别十大关键技术 2.活体检测技术 3.生物特征信号质量评价技术 4.生物信号的定位与分割技术 5.生物特征信号增强技术 6.生物特征信号的校准技术 7.生物特征表达与抽取技术 8.生物特征的匹配技术 9.生物特征数据库检索与分类技术 10.生物特征识别系统的性能评价

电子商务安全 6.3.5 生物识别系统的安全生物识别系统是一个安全系统，和其他信息系统一样，它也可能受到各种攻击，并且在识别系统的每个环节都可能受到黑客的威胁。除了伪造他人的生物特征样本外，其他可能的攻击包括：在采集装置和计算机的通信链路上修改样本数据，修改识别结果，替换匹配程序，攻击生物特征模板数据库等，并且每个环节的攻击都是致命的，所以生物识别系统安全系数的提高取决于对最薄弱环节采取的安全防范措施的强度。为了使生物识别技术在安全性要求较高的场合得到可靠应用，除了算法设计外，保护系统自身的安全性、提高对各种黑客攻击的抵抗能力也很重要。为了提高识别系统的安全程度，对生物特征数据库、特征模板和应用程序采取加密、数字签名、加时间戳等方法都将是很有意义的研究内容。

电子商务安全 本章小结在互联网环境下，交易的双方互不见面，保证交易合法、对方身份合法成为正常交易进行的基本要求。CA认证体系是根据认证协议以发放权威证书的形式来保证交易各方的合法性，从而保证交易系统的可靠性；而不断发展的各种身份识别技术将提供核实对方身份的有效手段。本章首先回顾了电子商务的基本认证技术、身份认证方式和认证协议，并重点介绍了Kerberos认证系统；然后讨论了安全CA认证机构和认证中心主要功能，以及电子商务的CA认证体系；最后介绍了当前常用的一些快速发展的生物识别认证技术和生物识别技术的应用前景。

电子商务安全 复习思考题 1.请列举典型的身份认证方式。 2.说明目前常用的认证体制的特点。 3.请说明零知识证明的原理与特点。 4.请说明认证中心的主要功能。 5.说明电子商务的CA认证体系内容。 6.有哪些常用的生物识别技术？ 7.生物识别系统的安全指的是什么？技能实训题 1.根据表6—1的符号写出图6—5中Kerberos认证的三个阶段，六个步骤。 2.你认为虹膜技术该如何用于电子商务安全保障？

电子商务安全 希望本章的内容对您有所帮助，谢谢。本章内容结束

第 6 章 电子商务的身份认证技术