網(wǎng)絡消費用戶身份安全

　　網(wǎng)絡消費用戶身份安全【1】

　　摘要：網(wǎng)絡消費用戶身份安全包括用戶口令保護、用戶身份驗證和用戶資料安全三個方面。

　　網(wǎng)絡消費最常用的用戶身份驗證機制就是用戶名/密碼身份驗證，網(wǎng)絡消費過程中使用的用戶名、密碼容易被黑客竊取，因此網(wǎng)絡消費者要非常注意對密碼的保護。

　　數(shù)字證書則提供了更為安全的身份驗證機制，采用數(shù)字證書，不僅保證了用戶信息的安全性和完整性，而且保證了用戶身份的不可抵賴性。

　　電子商務網(wǎng)站則可以從用戶信息收集、信息使用和安全控制三個方面對網(wǎng)絡消費用戶資料進行嚴格的保護。

　　關鍵詞：網(wǎng)絡消費，用戶身份，安全

　　隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡消費已成為當今比較熱門和時髦的話題。

　　根據(jù)中國互聯(lián)網(wǎng)絡信息中心(CNNIC)于2012年發(fā)布的統(tǒng)計報告，網(wǎng)絡購物位列十大網(wǎng)絡應用之一，這標志著以網(wǎng)絡購物為代表的網(wǎng)絡消費已經(jīng)占據(jù)比較重要的地位。

　　一、用戶口令保護

　　網(wǎng)絡消費者在開始網(wǎng)絡購物前，必須先進行新用戶注冊。

　　用戶注冊就是為了獲得一個在網(wǎng)絡上有效、合法的身份。

　　在傳統(tǒng)的消費購物過程中，交易的對象、交易的身份非常明確，而基于互聯(lián)網(wǎng)的網(wǎng)絡消費由于互聯(lián)網(wǎng)的全球開放性，使得參與交易的雙方首先都迫切地需要確認對方的身份。

　　因此用戶身份驗證也是網(wǎng)絡消費一個比較重要的問題。

　　網(wǎng)絡上最簡單和最常用的用戶身份驗證機制就是用戶名/密碼身份驗證。

　　每個電子商務網(wǎng)站的用戶注冊界面都大同小異，對于不同的網(wǎng)站，有些信息是用戶注冊時必須要填的，有些信息是可選的。

　　這些注冊信息中最重要的就是用戶名和用戶密碼，其中用戶名是用戶登錄時使用，必須是字母和數(shù)字的組合，最好是簡單易記的名字，但不能與其它的已注冊的登錄名重復。

　　用戶密碼也是登錄時使用，可以是數(shù)字和字母的組合，但是要注意密碼設置的安全性，最好不要用姓名、生日等容易被猜出的詞作為密碼。

　　用戶名和用戶密碼設置好后一定要記住名字和密碼，特別是不太常用的用戶名和密碼最好在一個安全的地方用筆記錄下來，以免時間長了忘記用戶名和密碼，從而帶來一些不必要的麻煩。

　　有了用戶名和密碼，還不能完全保證網(wǎng)絡消費的安全，因為就目前的黑客技術來說，用戶名和密碼的盜取對黑客不是一件有難度的事情。

　　黑客盜取密碼的方法有很多，最原始的方法，如果用戶的密碼設置缺乏安全性，可能會輕易地被“字典攻擊”破解密碼。

　　“字典攻擊”就是通過編寫一段應用程序，由應用程序根據(jù)一定的規(guī)律，自動地去反復嘗試不同的密碼，強行破解用戶密碼。

　　因此，為了增強安全性，現(xiàn)在通過網(wǎng)絡輸入密碼時往往會要求輸入校驗碼，校驗碼是一個隨機產(chǎn)生的數(shù)字或字母，校驗碼的字體很特殊，只能肉眼識別，這樣就可以防范通過應用程序反復嘗試密碼的字典攻擊的方式。

　　第二種竊取密碼的方法需要借助一些通用的網(wǎng)絡工具，比如說有的黑客通過FTP、TFTP和Telnet等網(wǎng)絡工具，可以搜集用戶帳戶資料、獲得口令文件，然后黑客對收集到的口令文件進行解密來獲得密碼。

　　第三種竊取密碼的方法更為高明，比如說黑客可以編寫一些看起來“合法”的軟件，將這些軟件上傳到一些站點或是提供給某些下載網(wǎng)站，誘導用戶下載。

　　當一個用戶下載其它軟件時，黑客的軟件會隨正常的軟件一起下載到用戶的計算機。

　　黑客軟件進入到用戶的計算機后，會自動運行、跟蹤用戶的鍵盤操作，記錄用戶輸入的每個密碼，然后把它們發(fā)送給黑客指定的郵箱，從而竊取了用戶的密碼。

　　既然密碼竊取是一種常見的網(wǎng)絡攻擊方式，黑客可以通過破解用戶密碼入侵用戶系統(tǒng)，因此網(wǎng)絡消費者要非常注意對密碼的保護，特別是在設置密碼時不能簡單了事。

　　據(jù)統(tǒng)計，計算機系統(tǒng)被入侵的主要原因是密碼被猜出。

　　在互聯(lián)網(wǎng)上，通常導致密碼被猜破的原因都是由于大意造成的。

　　為確保用戶密碼的安全，設定密碼時應注意一些基本要點。

　　比如說：短的密碼易被猜出，8個或更多字符相對較為安全;不要使用詞典中的單詞作為密碼;混用數(shù)字和字母;至少包括一個大寫字母和一個小寫字母;確保密碼不是與企業(yè)有關聯(lián)的單詞或縮寫;至少每兩個月更換一次密碼等等。

　　二、數(shù)字證書身份驗證

　　有了用戶名和密碼，仍不能完全保證用戶身份的合法性。

　　因為象電腦病毒、木馬程序、網(wǎng)絡釣魚等形形色色的網(wǎng)絡威脅，讓消費者在網(wǎng)絡消費填寫用戶名、密碼時非常不放心，擔心被破解。

　　傳統(tǒng)的用戶名加密碼的身份認證方式已不能適應網(wǎng)絡消費經(jīng)濟的快速發(fā)展，也成為了網(wǎng)絡消費的主要障礙之一。

　　數(shù)字證書的出現(xiàn)就是為了消除這些障礙。

　　當前，網(wǎng)絡消費最典型的身份認證辦法就是交易雙方都事先從一個大家都信任的，交易方以外的被稱為認證中心的第三方機構獲得自己的數(shù)字證書。

　　數(shù)字證書是一個經(jīng)權威的認證機構數(shù)字簽名的包含用戶身份信息以及公開密鑰的電子文件，是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源訪問的權限，是各實體(消費者、商戶/企業(yè)、銀行)在網(wǎng)上進行信息交流及商務活動的電子身份證。

　　數(shù)字證書可以在互聯(lián)網(wǎng)上識別不同用戶并且加密傳輸數(shù)據(jù)，并能根據(jù)用戶的身份給予相應的網(wǎng)絡資源訪問權限。

　　在網(wǎng)絡消費過程中，消費者、商務伙伴、企業(yè)和金融機構之間都可以通過數(shù)字證書來確認彼此的身份，若交易雙方出示了各自的數(shù)字證書，并用它來進行交易操作，那么雙方都可不必為對方的身份真?zhèn)螕�心�?/p>

　　同時，數(shù)字證書類似于電子身份證，當消費者在網(wǎng)絡消費過程中，只有當用戶名、密碼與消費者的數(shù)字證書一致時，才會交易成功。

　　由于數(shù)字證書是安裝在消費者的機器上，而且與消費者的用戶賬號唯一對應，因此，即使別人竊取消費者的用戶賬號和密碼，由于沒有消費者的數(shù)字證書，仍不能冒用消費者賬戶進行操作，這種身份和賬戶雙重認證方式，安全性比傳統(tǒng)的身份認證方式有了大幅提高。

　　在網(wǎng)絡消費過程中，數(shù)字證書的發(fā)放和管理都不是交易的雙方自己能完成的，而需要有一個具有權威性和公正性的第三方來完成。

　　認證中心(Certification Authority)就是法律承認的權威機構，負責發(fā)放和管理電子證書，目的是使網(wǎng)上交易的各方能相互確認身份，從而保證網(wǎng)上交易的安全性。

　　由于銀行經(jīng)常要參與到電子商務交易當中去，因此，一些銀行機構已經(jīng)開始逐步充當起這種被信任的第三方角色，由銀行來發(fā)放數(shù)字證書、向交易雙方提供數(shù)字簽名等。

　　網(wǎng)絡安全中身份認證技術【2】

　　摘 要：由于現(xiàn)代科技的快速發(fā)展，現(xiàn)代社會已進入網(wǎng)絡時代。

　　網(wǎng)絡的出現(xiàn)以及廣泛應用給人們的生活以及工作都提供了很大方便，使工作效率得到很大提高。

　　然而網(wǎng)絡安全問題也是網(wǎng)絡技術應用過程中不得不去面對的，身份驗證技術在網(wǎng)絡安全保護中的應用使得網(wǎng)絡的安全性在一定程度上得到了解決。

　　關鍵詞：網(wǎng)絡安全;身份認證技術;應用

　　1關于身份認證技術的認識

　　1.1以口令為基礎的認證方式

　　對于傳統(tǒng)認證技術來說，它所使用的主要是以口令為基礎的認證方法。

　　這種方法相對比較簡單，系統(tǒng)事先對每一個用戶所擁有的二元組信息進行保存，當用戶進入系統(tǒng)內的時候，將自己的ID以及有關PW輸入進去，系統(tǒng)自動將所保存的信息與用戶所輸入的信息進行比較，從而對用戶的身份合法性進行判斷。

　　這種認證方法所具有的有點就是：一般的系統(tǒng)中都對口令認證提供支持，因此對于封閉小型系統(tǒng)來說，這是一個簡單可行的很好的方法。

　　然而用戶在選擇口令的時候一般都是姓名或者是生日，這種口令是很容易你破解的，這樣一來就存在很大的不安全性。

　　口令是以明文的形式在網(wǎng)絡中進行傳輸?shù)�，所以攻擊者通過搭線的方式很容易就可以獲得口令。

　　此外，攻擊者還可能會根據(jù)系統(tǒng)中的漏洞來獲得系統(tǒng)中所保存的用戶文件，因此存在很大的不安全性。

　　為了將技術安全性提高，一般在進行保存以及傳輸?shù)臅r候都要用密碼算法來進行加密，但這對于重傳以及假冒攻擊也是沒有辦法進行抵抗的。

　　1.2以物理證件為基礎的認證方式

　　這種方式是利用用戶的某種特有東西來得以實現(xiàn)的。

　　所使用的物理證件主要有智能卡以及USB Key等。

　　利用智能卡能夠對硬件進行加密，其安全性比較高。

　　以智能卡為基礎的認證方式將用戶所知以及用戶所有兩種方式進行了結合。

　　在物理證件中存入用戶信息，將用戶事先進行選擇的某個隨機數(shù)據(jù)存入到AS中，用戶在對系統(tǒng)資源進行訪問時，在輸入ID以及口令之后，系統(tǒng)先對智能卡的合法性進行判斷，然后利用智能卡來對用戶身份進行鑒別，若用戶身份是合法的，之后再將智能卡中所保存的隨機數(shù)據(jù)送給AS來進行進一步認證。

　　2一次性口令認證技術

　　2.1技術特點以及設計思想

　　所謂一次性口令就是將身份代碼以及某一種不能確定的因素當做是密碼算法輸入?yún)��?shù)。

　　利用算法的變換得到一個變化結果，并且將這個結果當作是用戶進行登錄的口令，在認證服務器端利用與之相同的計算方法來計算，并且要將其與用戶登錄口令匹配，如果是合法的就對其登錄接受。

　　這種一次性口令，是不重復的，并且是不斷變化的，另外，用戶不需要來記憶，一個口令只能夠有一次使用權利，是拒絕重復使用的。

　　2.2實現(xiàn)技術的方式

　　從目前情況來看，一次性口令認證技術得以實現(xiàn)的方式主要有四種：

　　第一，Lamport方式，這種方式也叫做哈希鏈方式。

　　在初始化階段的時候，選擇一個迭代數(shù)N與口令PW，并且還要選擇一個單向的散列函數(shù)F，計算方式就是Y=Fn(PW)，在計算出結果之后，要將Y以及N的值全部在服務器上保存。

　　在用戶端對Y/=Fn-1(PW)進行計算，然后將其向服務器提交，在服務器中進行的計算是Z=F(Y/)，最后服務器比較Z值與保存在服務器上的Y/。

　　若兩者的值是相等的，就說明驗證成功，然后用Y/服務器中的Y值取代，同時要將N值遞減1。

　　利用這種方式，用戶每次在服務器段進行登錄的時候都會有不同口令。

　　這種方案的實現(xiàn)是很容易的，并且是不需要特殊硬件支持的。

　　但是它的安全性是依靠單向散列函數(shù)來實現(xiàn)的，最好是不要在分布式網(wǎng)絡環(huán)境中使用。

　　第二，時間同步方式。

　　在這種方式中，每一個用戶都有一個相應時間同步令牌。

　　時鐘，加密算法以及種子密鑰都放置在令牌內。

　　這種令牌依據(jù)當前的時間以及種子密鑰在每一分鐘內都有一個一次性口令生成。

　　當用戶對系統(tǒng)進行訪問時，將所生成的口令向認證服務器傳送。

　　服務器利用種子密鑰的副本以及當前時間將期望輸出值計算出來，以此來驗證用戶，若能夠相匹配，就能夠通過登錄。

　　這種方式的關鍵就在要保持認證服務器及令牌時鐘的同步。

　　第三，挑戰(zhàn)應答方式。

　　在這種方式中，每一個用戶要持有相應挑戰(zhàn)應答令牌。

　　同樣在令牌內放置有種子密鑰以及加密算法。

　　用戶在對系統(tǒng)進行訪問時，會有一個挑戰(zhàn)數(shù)據(jù)在服務器中隨機生成，并且將這個數(shù)據(jù)向用戶發(fā)送，用戶將收到的數(shù)據(jù)輸入到令牌內，令牌再根據(jù)內部的加密算法以及種子密鑰要與之相應應答數(shù)據(jù)計算出來。

　　用戶再將該應答數(shù)據(jù)向服務器上傳。

　　服務器再將相應應答數(shù)據(jù)計算出來，將其與用戶上傳數(shù)據(jù)進行比較，從而進行驗證。

　　從目前情況來看，這是最有效的一種方式。

　　第四，異或運算方式。

　　這種方式是將一些比較簡單的運算和散列運算進行相應結合，認證雙方利用這些運算方式來對雙方所交換認證數(shù)據(jù)進行計算，從而來進行驗證。

　　這種方式所具有的特點就是設計比較簡單，運算量比較小，并且在實施時成本也較低。

　　3結語

　　網(wǎng)絡安全是網(wǎng)絡運行中必須要解決的一個問題，是保證網(wǎng)絡正常運行的前提。

　　在網(wǎng)絡安全中運用身份認證技術對其安全性提高有重要作用，能夠保證網(wǎng)絡安全運行，促進網(wǎng)絡技術發(fā)展。

　　參考文獻

　　[1]李俊林.身份認證技術在網(wǎng)絡安全中的應用[J].電腦編程技巧與維護，2013(2)

【網(wǎng)絡消費用戶身份安全】相關文章：

05-27

03-01

12-30

10-26

03-07

10-26

04-26

10-10

01-03

06-17