仅仅加密是不够的,全面保护还要求认证和识别。在网络经济中,交易双方并不见面,因此,你必须确保参与加密对话的人确实是其本人。同样,当你收到一份合同时,你也必须保证它是由当事人亲自签发的,并且是不可更改的。认证是系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户是否真实、合法的唯一手段。认证技术是信息安全的重要组成部分,是对访问系统的用户进行访问控制的前提。
认证的基本原理就是确定身份,因此必须通过检查对方独有的特征来进行,这些特征包括:
所知:个人所知道的或所掌握的知识,如密码、口令;
目前,被应用到认证中的技术有用户名/口令技术、数字证书、生物信息等。
1.用户名/口令技术
用户名/口令技术是最早出现的认证技术之一,可分为静态口令认证技术和动态口令认证技术。静态口令认证技术中每个用户都有一个用户ID和口令。用户访问时,系统通过用户的用户ID和口令验证用户的合法性。静态口令认证技术比较简单,但安全性较低,存在很多隐患。动态口令认证技术中则采用了随机变化的口令进行认证。在这种技术中,客户端将口令变换后生成动态口令并发送到服务器端进行认证。这种认证方式相对安全,但是没有得到客户端的广泛支持。
2.数字证书
数字证书是一种加强的认证技术,可以提高认证的安全性。为了保证互联网上电子交易及支付的安全性、保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误地被进行验证。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络应用中识别通信各方的身份,其作用类似于现实生活中的身份证。数字证书是由权威公正的第三方机——CA证书授权(Certificate Authority)中心发行的,即CA中心签发的。证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等。目前,证书的格式和验证方法普遍遵循X.509国际标准。(www.xing528.com)
数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。
数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得自己的数字证书。一般包含个人凭证、企业凭证和软件凭证三种。
个人凭证(Personal Digital ID):它仅仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的,并通过安全的电子邮件来进行交易操作。
企业(服务器)凭证(Server ID):它通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有凭证的万维网站点(Web Site)来进行安全电子交易。有凭证的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
软件(开发者)凭证(Developer ID):它通常为因特网中被下载的软件提供凭证,该凭证用于和微软公司Authenticode技术(合法化技术)结合,以使用户在下载软件时能获得所需的信息。数字证书由认证中心发行。
3.生物信息认证
进行生物信息认证需要采用各种生物信息,包括脸、指纹、手掌纹、虹膜、视网膜、声音(语音)、体形、个人习惯(例如敲击键盘的力度和频率、签字)等,相应的识别技术有人脸识别、指纹识别、掌纹识别、虹膜识别、视网膜识别、语音识别(用语音识别可以进行身份识别,也可以进行语音内容的识别,只有前者属于生物特征识别技术)、体形识别、键盘敲击识别、签字识别等,它们需要相关的生物信息采集设备来配合实现。
生物识别技术被广泛用于政府、军队、银行、社会福利保障、电子商务、安全防务等领域。例如,一位储户走进了银行,他既没带银行卡,也没有回忆密码就径直提款,当他在提款机上提款时,一台摄像机对该用户的眼睛进行扫描,然后迅速而准确地完成了用户身份鉴定,办理完业务。这是美国得克萨斯州联合银行的一个营业部中发生的一个真实的镜头。而该营业部所使用的正是现代生物识别技术中的“虹膜识别系统”。
目前,人脸识别是一项热门的计算机技术研究领域,其中包括人脸追踪侦测、自动调整影像放大、夜间红外侦测、自动调整曝光强度等技术。
人脸识别的应用范围很广,例如:在企业、住宅安全和管理中人脸识别门禁考勤系统、人脸识别防盗门等;电子护照及身份证,这或许是未来规模最大的应用;公安、司法和刑侦中利用人脸识别系统和网络,在全国范围内搜捕逃犯;自助服务,如银行的自动提款机,如果同时应用人脸识别就会避免被他人盗取现金现象的发生;信息安全,如计算机登录、电子政务和电子商务。在电子商务中交易全部在网上完成,电子政务中的很多审批流程也都搬到了网上。而当前,交易或者审批的授权都是靠密码来实现的。如果密码被盗,就无法保证安全。如果使用生物特征,就可以做到当事人在网上的数字身份和真实身份统一。从而大大增加电子商务和电子政务系统的可靠性。但是,对人脸识别技术的应用也要注意个人信息的适度使用原则,2021年7月28日上午,最高人民法院召开新闻发布会,发布《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,对我国人脸识别技术的应用做了相关规范。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
