关键词:信息安全;数字鉴别与认证 ;教学方法;案例教学;互动式教学
21世纪是信息的时代,信息已成为国家的重要战略资源,而任何事物总有它的两面性,信息时代在给我们带来了开放、自由、便利的同时,也打开了“潘多拉之盒”。遍布全球的黑客,利用网络和系统漏洞,肆意攻击各种业务应用系统和网站,造成巨大的经济损失。机密信息在网络上被泄漏、篡改和假冒,计算机病毒和垃圾邮件肆意传播,不良信息传播给青少年的成长带来了严重的负面影响,计算机犯罪呈上升趋势。可以说,信息的安全直接关系到一个国家的政治稳定、经济发展和社会进步。为加强对信息安全人才的培养,我国教育部、科技部、信息产业部、国防科工委、国家自然科学基金都把“信息安全”作为优先发展的领域。2001年以来国内已有70多所高等院校建立了信息安全本科专业,部分院校还设立了信息安全相关的硕士点、博士点。2007年底,教育部批准了15个学校的信息安全专业为“国家特色专业建设点”。数字鉴别与认证是信息安全领域的研究热点,只有通过有效的数字鉴别与认证,才能核实用户身份的真实性、数据的完整性,有效地防止发送方对数据的抵赖、抵御网络犯罪分子的入侵,电子商务、网上银行、电子政务等业务才能有效地展开。因而数字鉴别与认证课程成为继密码学之后信息安全专业的又一门重要的基础课程。
1课程建设的总体目标及内容
数字鉴别与认证是信息安全课程体系的重要组成部分,几乎所有的信息安全专业都开设这类课程,
只不过课程名称不同,有的学校开设的名称是PKI原理与技术,有的学校开设的课程是认证理论与应用[1],有的学校开设的课程名称是数字签名理论[2]。我们在研究了信息安全专业的相关课程体系后,从全面性、理论性、科学性、系统性及发展性等方面考虑,将该课程定名为数字鉴别与认证,并获得北京市精品教材建设立项和北京市师资队伍建设计划重点课程(群)优秀教学团队建设项目支持。
本课程以信息论、密码学理论为基础,是一门理论及应用均很强的专业课程,学生通过对信息论、密码学的学习,掌握坚实的信息安全理论基础,然后通过对本课程的学习,进一步学习和掌握数字鉴别和认证系统所采用的主流技术、基本原理,对数字签名、身份认证体系结构、基于身份的公钥认证技术、身份认证协议、生物认证技术、多媒体认证技术、量子身份认证技术等有基本的了解,能设计、实现及分析实用的数字鉴别及认证系统。
2课程的特点
数字鉴别与认证涵盖的内容极为广泛。它是涉及信息论、数论、密码学、模式识别、图像处理、量子理论等学科交叉而形成的一门新兴学科,既具有较深的理论基础,又具有很强的应用价值,新概念、新方法、新技术、新应用以及新问题层出不穷。数字鉴别与认证作为一门信息安全专业的新兴课程,自身具有很多特点,主要如下:
1) 理论基础要求较高。
本课程以信息论、数论、密码学为基础,如果基础知识掌握不好,此课程的学习将会存在较大的压力。因此要求任课教师必须有很强的课程驾驭能力,随时根据学生的特点将复杂抽象的理论形象化,通过类比、比喻、启发、示例等多种教学方法化解各种教学难点。
2) 实践性较强。
本课程虽然需要较高的理论基础,但与传统的纯理论课程如数论、信息论等不同,该课程的目的是为了应用,因而有很多的商业应用实例分析。如网络购物、网络支付、移动支付、个人理财、基金业务、网上缴费等业务,可以以此激发学生学习兴趣。
3) 知识内容更新快。
随着计算机、网络技术以及电子商务应用突飞猛进的发展,网络攻击手段与防范技术相互较量,推动数字鉴别与认证技术日新月异。如分布式计算能力的提高、新型钓鱼网站、ATM盗号设备、键盘记录及屏幕截取等木马程序的出现,推动了新型的数字鉴别与认证技术的出现,数字鉴别与认证课程就必须紧跟技术发展、及时更新。
4) 涉及面广。
数字鉴别与认证课程涉及与数学相关数论、密码学理论,与计算机相关的计算机网络、操作系统等,与生物学相关的生物认证技术,与图像相关的数字水印认证技术、与量子理论相关的量子身份认证等。因而该课程要充分考虑到相关课程的知识和特点。
3教学经验与方法探讨
3.1深入科学研究,以科研促进教学
科研与教学相互支撑、相互渗透是提升教学水平、保证教学内容与时俱进的必要基础。因数字鉴别与认证是一门新兴的信息安全课程,只有做好科研,才能站在数字鉴别与认证技术领域的国内前列,关注国内外有关本专业技术领域的发展情况,才能让教师的教学与科研水平处于相互促进、协调发展的良性循环中。
在本课程的教学过程中,以可信计算研究为基础,通过北京市科委《终端安全体系结构及关键技术研究》的研发,深入理解多因素身份认证的原理及数据完整性鉴别的理论,在课堂上向学生展示基于USBKEY的可信终端产品,学生现场看到我们的终端产品不但要输入Windows用户名、密码等信息,还要插入USBKEY及输入USBKEY的密码,由此实现了双因素身份认证,增强了安全性;另外,通过数据完整性的有关理论,安全终端产品中还实现了应用程序白名单和黑名单的管理,所有未经完整性鉴别的软件都列入黑名单管理,这样完全杜绝了新型病毒、木马程序的侵入。学生们通过这一安全产品的展示,提高了学习兴趣,加深了对数字鉴别与认证有关理论的理解。有许多学生表示要参加这一研究成果的深入研究,其中一个同学的毕业设计就做了一个应用软件可信版的应用程序。
3.2坚持教育教学研究,创建优秀教学团队
持续开展教育教学研究,深化教育教学改革,创建优秀教学团队是实现创新性教学改革的基本保障。信息时代的发展,知识呈爆炸性增长。通过因特网的使用,每个学生的知识面都扩展了,而高等院校的老师,一般都是博士毕业,所学知识专业性很强,但是广度不够,因此不能满足新时代课程教学的需要。必须开展适应新时代的教学研究,深化教学改革,展开讨论式教学、网络式教学、任务式教学等多种教学方式。数字鉴别与认证是一门综合性很强的课程,涉及很多相关课程,依靠一位任课教师单独承担一门课程或承担多门课程而不相互交流的教学方式难以达到良好的教学效果。在教学过程中,我们以教学团队为支撑,成立了专门的课程组,课程组中有精通密码学的老师,有精通CA认证技术的教师,有精通图像数字水印技术的老师,有精通量子密码技术的老师,大家相互交流、取长补短、相互促进,不断攻克教学难关,使数字鉴别与认证课程从学生害怕的课程转变为非常喜欢的课程。
3.3探索多样化的教学方式
探索多样化的教学方式是当今高等教育发展的需求。在教学过程中,我们不断探索新的教学方法,将传统的填鸭式课堂教学改变为启发式、讨论式、案例式等教学方法,在启发、激励和讨论中实现知识、方法、思想的传授。
1) 类比式教学法。
类比式教学的基本思想是通过对两个研究对象的比较,根据它们某些方面(属性、关系、特征、形式等)相同或相似之处,推出它们在其他方面也可能相同或相类似的一种教学方法。类比法是教师传授知识的重要手段,也是学生探索问题和解决问题的一种有效的思维方法。
数字鉴别与认证中有些协议因为涉及较深的密码学或数学知识,如果单从密码学或数学的角度来解释和分析,学生往往难以理解,即使理解了,过不了很长时间又忘记了。如果采用类比的方式,用某些具有相似属性的示例做比较,往往会得到事半功倍的效果。例如,在传统的身份认证协议中,一般是用密钥来验证通信双方的身份,而密钥的秘密分发就成为身份认证的一项最重要的基础工作。如何在事先没有共享密钥的前提下,分发一个秘密信息而不被第三者窃取呢?可以先举出下面生活中常用的例子进行分析:通信双方没有同一把锁的钥匙,但是通信双方可以有不同锁的钥匙,即用户A有LockA和KeyA,用户B有LockB和KeyB,在这情况下用户A是否可以将秘密的文件传送给用户B而不被第三者窃取呢?答案是肯定的,如图1所示:用户A将文件放入文件箱,用LockA锁上,将文件箱给B;B因无KeyA无法打开,用LockB再次锁上文件箱,给A;A用KeyA取下LockA,将仅锁有LockB的文件箱给B,B用KeyB取下LockB,即可得到秘密文件 。
根据以上例子做类比,很容易理解复杂的Shamir的无预先共享密钥的密钥分发协议,如协议1所示。只不过图1中的文件换成了密钥K,KeyA和KeyB分别换成了随机数x和y。
其他的类比示例还有用下毒、解毒类比非对称密码算法,自行车打气、二极管导电性等来类比单向函数,用盐或糖加入水、揉面等类比加密算法等。
2) 互动式教学法。
互动式教学的基本思想是把教学过程看作是一个动态发展着的教与学统一的交互影响和交互活动过程。在这个过程中,通过优化教学互动的方式,即通过调节师生关系及其相互作用,形成和谐的师生互动、生生互动、学习个体与教学中介的互动,强化人与环境的交互影响,以产生教学共振,达到提高教学效果。
在数字鉴别与认证的教学过程中,对生物认证技术,可以考虑首先采用补充性的教学互动通过师生互动来激发学生的学习热情,比如教师可以提出常用的生物认证技术有指纹、人脸、手掌等,让学生补充还有哪些生物认证技术,比如有的学生提到虹膜、耳朵、气味甚至视网膜等。进一步通过生生互动来讨论不同人的虹膜为什么是不同的,哪些内容不同,不同人的耳朵是否一定是不同的,不同点在哪里等,这样通过师生互动、生生互动,提高了教学效果。同样,也可以通过网上银行的软键盘技术、安全控件等技术提高教学效果。
3) 案例式教学法。
案例教学的基本思想是在学生掌握了有关基本知识和分析技术的基础上,在教师的精心策划和指导下,根据教学目的和教学内容要求,运用典型案例将学生带入特定事件的现场进行案例分析,通过学生独立思考或集体协作,进一步提高其识别、分析和解决某一具体问题的能力,同时培养正确的理念、作风、沟通能力和协作精神的教学方式。与传统教学方法相比,在培养学生分析问题和解决实际问题能力方面,案例教学有着独有的优势。案例教学法根据案例的类型可分为事件描述型、问题解决型、重新设计型等教学模式[3-4]。
例如,在讲完多因素身份认证和基本的身份认证协议之后,为提高学生的综合分析问题及解决问题的能力,提供以下案例供学生分析和思考。
案例:交行网银系统中,双控没锁住百万存款。
事件描述:杨俊文是湖南长沙某房地产公司的法人代表,因为要和香港某公司合作一笔业务,筹集到100万元作为保证金。为了保证资金的安全,“由双方共同控制这笔资金”,即“资金双控”。经过多次咨询后,杨俊文在交通银行长沙潇湘支行柜台,办理了太平洋借记卡,存入了100万元现金,并开通了网上银行业务。双方按照约定,由杨俊文掌握着存单、身份证、银行卡,还有银行推荐买的一套“电子钥匙”(USBKey);密码则由对方单独设定和掌握。杨俊文持有USBKey而无密码,香港公司掌握密码而没有USBKey,就这样,他们完成了“资金双控”的功能。
分析并提出问题:请大家考虑,银行是否提供资金双控功能?如果银行没有明确提供资金双控服务,那么用户自己采用这种方式是什么原理,能否真正实现资金双控?是否存在安全隐患?
发现问题:银行并没有提供资金双控功能这项服务。资金双控是用户根据自己的理解来把本来是双因素的认证功能分解为每一方持有一个认证因素,杨俊文持有USBKey,香港公司持有密码,只有双因素齐备,才能实现取款操作。下面分析一下用户刚开户是是否是真正的双因素认证,交行开户时用户密码是自己设定的,肯定是一种认证因素,而USBKey刚发给用户时是空的,也就是说初始化时所有的USBKey都是一样的,里面并没有用户的证书等信息,因此USBKey刚发给用户时,是不能起到认证因素的作用。只有用户通过掌握的密码在网上下载证书到USBKey后,USBKey才与用户对应起来,才能起到认证因素的作用。因而,在USBKey没有下载证书等信息时,资金双控就形同虚设。香港公司正是利用交通银行的这一原理,用其他账户申请开通网上银行,拿到一个空的USBKey后,然后根据他们掌握的密码下载证书等相关信息,顺利地将100万存款转走,给杨俊文造成了巨大的经济损失。
探究原因:杨俊文对双因素认证理解不深,认为只要持有USBKey就掌握着一种认证因素,其实这种理解是错误的,就好像您持有很多刚出厂的银行卡不能取款是一样的道理。另外,因为多因素身份认证本身应该是每个用户自己掌握的或自己具有的多种身份认证因素。杨俊文将两种认证因素分给不同的人保管这种思想本身就违反了身份认证的基本宗旨。
提出对策:搞清业务流程,先下载完证书等信息,再实现其他网络银行的相关业务。另外银行可在用户开户申请网上银行业务时直接下载完证书等信息,这样就不会有用户持有空USBKey的情况出现。
通过这样一个案例教学,学生更加清楚了双因素认证的原理、重要性,网络支付的概念甚至信息安全管理的有关内容。
除此之外,在教学过程中我们还综合使用了启发式教学、任务式教学、网络BBS讨论式以及撰写小型研究报告等多种教学方式,丰富了教学内容,提高了学生学习的积极性。
4结语
本文针对数字鉴别与认证课程,探讨了课程的总体目标、教学内容、特点、教学经验与教学方法。教学实践表明本文采用的教学内容、教学经验以及教学方法等取得了良好的教学效果。由于数字鉴别与认证是一门新兴的课程,因此在实验教学方面做得还很不够,目前也没有数字鉴别与认证课程相关的实验参考书,我们下一步准备在实验教学方面作一些有益的探索,以期取得更好的教学效果。
参考文献:
[1] 李晓航,王宏霞,张文芳. 认证理论及应用[M]. 北京:清华大学出版社,2009:1-5.
[2] 赵泽茂. 数字签名理论[M]. 北京:科学出版社,2007:1-3.
[3] 刁春好. 论“案例教学中”的“案”“理”融合[J]. 南京特教学院学报,2009,3(1):68-70.
[4] 朱涛,马恒,刘强. 专业技术课程案例教学方法研究[J]. 高等教育研究学报,2010,33(1):91-93.
Some Views on the Course of Digital Identification and Authentication
ZHOU Yi-hua, CAI Yong-quan
(College of Computer Science and Technology, Beijing University of Technology, Beijing 100124, China)
未来三年内,我国科学家将“冲击”百万亿次超级计算机,从而全面刷新目前国产高性能计算机的性能,实现新的飞跃。在“曙光”高性能计算机暨我国高性能计算机产业走过10周年之际。中国科学院计算所所长李国杰院士日前表示,计算所和曙光公司正在酝酿冲击百万亿次超级计算机,“争取在2008年奥运会前推出。”同时,继龙芯1号和2号芯片后,我国科学家目前正在研制性能更高的“龙芯”芯片。“如果性能‘赶’上来了,到时候就用‘龙芯’芯片;没有赶上,就考虑用别的。”李国杰说。“冲击百万亿次计算机的技术准备工作已经开始,但计算速度并不是最重要。”李国杰说,下一步,高性能计算机发展的关键是应用和普及,“希望越来越多的高校把高性能计算当成基础课,更希望越来越多的行业和产业用上高性能计算,并且敢用国产超级计算机。”2004年,由中科院计算所和曙光公司等共同研制的曙光4000A超级计算机以每秒超过10万亿次的峰值运算速度进入世界超级计算机十强,并在上海超级计算中心成功运转至今。
清华大学研制成功多模生物特征身份认证系统
清华大学电子工程系自主研发的“THID多模生物特征身份认证系统”,前不久通过由教育部组织的鉴定。鉴定专家认为,该系统融合了人脸、笔迹、签名以及虹膜等最重要的几项生物特征的身份认证,在技术上位居世界前列,具有重大的理论和应用价值。
网络信息化时代的一大特征就是身份的数字化和隐性化,如何准确鉴定一个人的身份,保护信息安全,是信息化时代必须解决的一个关键问题。生物特征识别技术指通过计算机,利用人体所固有的生理特征或行为特征来进行个人身份鉴定。常用的生物特征包括:脸像、虹膜、指纹、掌纹、声音、笔迹等。
在国家自然科学基金项目的支持下,清华大学电子工程系智能图文信息处理研究室长期致力于生物特征识别研究,并取得了若干世界领先的创新研究成果。在2004年国际摸式识别会议组织的国际高水平火腿验证国际评测中,清华大学研发的THFacelD,以全部三项评测均第十一,获全面性能最优成就奖;在2004年国家863人脸识别验证评测中,该系统的各项指标也在同类产品中名列前茅。
一般情况下,单一生物特征的识别精度难以达到身份认证的要求,因此多模生物特征身份认证的融合是许多研究者追寻的目标。清华大学电子工程系研发的多种模式生物特征融合的体系和框架;包括友好方便的人脸识别验证,具有法律效力的笔迹和签字的识别,具有最高鉴别能力的虹膜身份认证,以及各种生物特征融合的身份认证,极大地提高了身份识别认证的准确度,为生物特征身份认证的实际应用打下坚实的基础。
我国科学家率先开发出主动防御计算机病毒技术
长期以来人们对于计算机病毒只能被动防御的局面已被改变。由我国计算机反病毒领域领军人物刘旭和他的技术团队组织研发的微点主动肪御软件,已戒功实现单机版主动防御计算机未知病毒作业,成为由中国科技人员自主创新开发出的世界上首个从根本上防止计算机病毒危害的软件产品。为考核刘旭和他的技术团队研发的世界首创主动防御计算机病毒技术,科技部火炬中心7月中旬组织计算机专家对微点主动防御软件的核心技术进行了技术质询。经专家组讨论认为:“软件采用行为识别和特征识别技术,实现了对计算机病毒、蠕虫、木马等恶意攻击行为的主动防御,较好地解决了现有产品或系统以被动防御为主。识别未知政击行为能力弱的缺陷,在技术上有较大创新。”
关键词:计算机;无线网络;安全技术;研究
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 05-0000-01
Research on Computer Wireless Network Security Technology
Tang Di
(Hubei Vocational College of Biotechnology Technology,Wuhan430070,Chian)
Abstract:With the progress of society,China's economy to a large extent have been very good development,to develop the economy at the same time,China's science and technology increases.Good application of computer wireless network and wireless network security is inseparable from the computer technology,this article,the writer talking on the computer wireless network security technology research.
Keywords:Computer;Wireless network;Security technology;Research
随着信息化时代脚步的来临,我国科学技术有了空前的发展,现如今,生活在信息化时代中的我们,已经把计算机和无线网络看作我们生活、学习的主要工具,无线网络的应用缩短了人与人之间的距离,在计算机无线网络应用过程中,人们对计算机无线网络通信安全性关注度直线上升,然而现在的无线局域网安全机制根本无法满足人们对计算机无线网络通信安全的需求,因此,解决无线网络安全问题迫在眉睫,笔者认为,应该在使用计算机无线网络时关注无线网络安全问题,这就要求我们进行计算机无线网络安全技术的探讨和研究,下面,笔者就关于计算机无线网络安全技术研究进行探讨。
一、计算机无线网络应用中存在的不安全因素
随着人们应用计算机无线网络频率的增加,计算机无线网络应用中出现了各种各样的不安全因素,不安全因素的存在不利于人们对计算机无线网络的信任和应用,为人们生产、生活以及学习埋下了隐患,下面,笔者就对计算机无线网络应用中存在的不安全因素进行浅谈。
(一)计算机无线网络应用中存在不安全因素之无线窃听。在人们应用计算机无线网络时,人们所应用的所有通信内容都是从无线信道进行传送的,这就导致了任何具有适当设备的人,只要拥有正确的无线设备就可以对无线网络无线信道传送的信息中得到自己所需要的信息,这就是计算机无线网络应用中无线窃听这一不安全因素。相比较而言,无线局域网的通信内容更加容易被窃听,这是因为无线局域网中的无线信道都是在全球统一公开的科学、医疗以及工业频道进行工作的,即使无线局域网这一通信设备发射功率并不高,但是无线局域网的通信距离是很有限的。
(二)计算机无线网络应用中存在不安全因素之假冒攻击。计算机无线网络应用中还存在着假冒攻击这一不安全因素,所谓的假冒攻击就是指某一个实体家装成为另外一个实体访问的无线网络。假冒攻击是入侵某个安全防线的最为通用的方法之一,假冒攻击使在无线信道中传输的身份信息随时可能被窃听。
(三)计算机无线网络应用中存在不安全因素之信息篡改。计算机无线网络应用中信息篡改是无线网络应用中存在的主要不安全因素,所谓的信息篡改就是指攻击者将自己窃听到的信息进行替代部分或者全部信息以及删除信息等修改,攻击者还会将自己篡改后的信息传输给原本的接受者,信息篡改的目的只有两个,一个是对合法用户的通信内容进行恶意破坏,从而阻止合法用户对通信连接的建立;二是信息篡改者将自己篡改后的信息发给原本的接受者,使接受者上当受骗。
(四)计算机无线网络应用中存在不安全因素之重传攻击。计算机无线网络应用中存在不安全因素之重传攻击是指计算机无线网络攻击者经过一段时间以后再将自己所窃听到的有效信息传给信息的原本接受者,重传攻击的目的就是对曾经有效信息在改变了的情况下进行利用,从而达到相同的目的。
二、计算机无线网络安全技术研究
以上,笔者对计算机无线网络安全应用中存在的不安全因素进行了分析,提出问题就应该解决问题,下面笔者就计算机无线网络安全技术进行研究。
(一)计算机无线网络安全技术研究之加密机制。实施计算机无线网络安全技术研究之加密机制是十分必要的,保密性的业务就是通过加密技术实现的,因此,加密已经成为了最基本得计算机无线网络安全机制。在加密机制实施时,当加密密钥不是解密密钥的时候,也就是计算机无线网络安全系统中所有用户都拥有秘密密钥以及空开密钥两个密钥,那么,我们就称它为公钥密码系统或者非对称密码系统。
(二)计算机无线网络安全技术研究之身份认证机制。所谓的身份认证机制需要身份认证技术,而身份认证技术就是对通信双方身份认证进行提供,这样能够很好的防止身份假冒现象的出现。身份认证机制知道什么来确定认证方的身份合法的或者检测证明方拥有什么来确定认证方的身份合法度。对身份认证机制的采用,能够在一定程度上避免身份假冒现象的出现,从根本上保证了计算机无线网络的安全。
三、结束语
计算机无线网络技术已经不断深入到我们的生活和工作、学习之中去,伴随着人们对计算机无线网络的使用,计算机无线网络应用程度已经不断提高。本文中,笔者首先从计算机无线网络应用中存在不安全因素之无线窃听、计算机无线网络应用中存在不安全因素之假冒攻击、计算机无线网络应用中存在不安全因素之信息篡改以及计算机无线网络应用中存在不安全因素之重传攻击这四个方面对计算机无线网络应用中存在的不安全因素进行了分析。接着笔者又从计算机无线网络安全技术研究之加密机制以及计算机无线网络安全技术研究之身份认证机制这两个方面对计算机无线网络安全技术研究进行了分析。
参考文献:
[1]李芳芳.基于WLAN技术的校园无线网络规划设计[A].2008通信理论与技术新发展――第十三届全国青年通信学习会议论文集(下)[C],2008
[2]王士军.论述无线局域网的安全及措施[A].2007中国科协年会――通信与信息发展高层论坛论文集[C],2007
[3]李淑芬,耿钰.嵌入式系统的网桥设计[A].2007中国仪器仪表与测控技术交流大会论文集(二)[C],2007
[4]权循忠.智能公交系统(APTS)中通信传输技术的研究与实现[J].北京联合大学学报(自然科学版),2006,2
Abstract:Thispaper makesdefinitelythatelectron? ic archives has evidential value and researches the electronic archives having the evidential value higher than the general evidence. Analyzes the obstacles about the electronic archives evidential value is higher than general evidence from the concept, theory of ar? chives science, technology and legal aspects, re? searches and puts forward the approaches that elec? tronic archives evidentialvalueishigherthanthe gener? al evidence from technology and law aspects, which are, electronic archives ID technology ensuring the evi? dential value of electronic archives, breakthrough the archives science theories about the definition of origi? nal; perfecting the definition of archives in "Archives Law of the people’s Republic of China",to ensure the electronic archives evidential value is higher than the general evidence,atthe same time, in "The implemen? tation of measures of the Archives Law of the people’s Republic of China" to give the legaleffect clearly on the archivaldigitalcopy.
Keywords: Research;Electronic archives;Eviden? tialvalue
档案之所以有凭证价值,是由其形成过程及其结果的内容和形式特点决定的。档案客观地记录了以往的历史情况,保留着真切的历史标记,是令人信服的历史证据。[1]
基于原始性的档案的凭证作用指的是其能为某种需求提供真实可信证据的作用,档案的凭证价值也已通过档案法律法规、其他法律法规予以明确。
随着电子文件、电子档案在各行各业的大量产生和广泛应用,对于电子档案的凭证价值一直处在不断研究中。在当今,技术的发展、认知的深入、法律法规的完善,都为电子档案凭证价值在理论层面、法律层面、技术层面的研究提供了有力的支持。
本文着重分析与电子档案凭证价值有关的法律法规,并提出在我国保障电子档案凭证价值高于一般证据凭证价值的实现途径。
一、档案凭证价值的法律规定
(一)档案具有凭证价值
关于证据的法律规定,经过修改并于2013年1月1日正式实施的《中华人民共和国刑事诉讼法》和《中华人民共和国民事诉讼法》都有相关的规定。
《刑事诉讼法》第四十八条第二款规定,证据包括:(1)物证;(2)书证;(3)证人证言;(4)被害人陈述;(5)犯罪嫌疑人、被告人供述和辩解;(6)鉴定意见;(7)勘验、检查、辨认、侦查实验等笔录;(8)视听资料、电子数据。
《民事诉讼法》第六十三条规定,证据包括:(1)当事人的陈述;(2)书证;(3)物证;(4)视听资料;(5)电子数据;(6)证人证言;(7)鉴定意见;(8)勘验笔录。
从证据的类型中可以看到,纸质档案、实物档案和声像档案等作为书证、物证和视听资料,均可以作为证据,具有凭证价值。同时,在证据的规定中,首次提出电子数据的概念,这是电子数据第一次得以独立于视听资料之外,而成为独立的证据类型写进法律。
档案数字资源[2]主要包括电子档案和档案数字化副本,均属于电子数据,可以作为证据,具有凭证价值。
(二)档案具有高于一般证据效力的凭证价值
《最高人民法院关于民事诉讼证据的若干规定》第77条规定了人民法院就数个证据对同一事实的证明力,可以依照下列原则认定:
1.国家机关、社会团体依职权制作的公文书证的证明力一般大于其他书证;
2.物证、档案、鉴定结论、勘验笔录或经过公证、登记的书证的证明力一般大于其他证据;
3.原始证据的证明力一般大于传来证据;
4.直接证据的证明力一般大于间接证据;
5.利益相关人的证言的证明力一般小于其他证人证言。
根据上述规定,可以明确看到,档案具有高于一般证据的凭证价值。其中(1)国家机关、社会团体依职权制作的公文书证,是处于文件生命周期前端、正在运行的文件,与档案有着内在联系和衔接;(2)则明确了档案的证据价值高于其他证据。
二、电子档案高于一般证据的凭证效力的实现障碍
电子档案作为档案的一种,也应该具有高于其他证据的证据效力。从电子文件、电子档案出现,即有很多专家学者对其从多个角度进行研究,但是由于对电子档案原件属性、凭证价值的理解和研究不够深入透彻,造成在认识上的差异,导致在明确电子档案具有高于其他证据的凭证效力问题上存在多方面的障碍。
(一)观念上的障碍
在计算机和网络技术未广泛使用和普及的时期,人们对电子档案的认识和研究存在着误区和盲区。认为电子档案具有非人工识读、对系统的依赖、信息与载体可分离、信息可变性等特点,存在电子档案是不固定的存储载体、不特定的字迹签署等问题,造成了电子档案容易被修改且不留痕迹,因而对电子档案的“原件”的界定和属性不能明确,认为电子档案只能是副本,并且认为电子档案在长期保存过程中存在真实性不确定的问题。
(二)档案学理论上的障碍
在档案学理论中,对档案本质属性的研究虽有不尽相同的观点,但大致集中在:档案的本质属性是原始性和记录性的有机统一[3]。原始性指由特定形成者在当时直接使用的原始文件转化而来,不是事后编写或搜集的,因此具有原始性;同时档案又是反映机构、组织和个人所从事的社会实践的历史记录,具有很强的历史记录性。档案的原始性决定了档案的凭证价值。档案作为一种原始材料,其物质载体上留有真切的历史标记、痕迹。
这种理论观点在档案界长期占据统治地位,特别强调档案物质载体的原始性、留有历史痕迹这一关键特点。这种观点在以纸质为档案载体的时期毋庸置疑,但是在信息时代,档案载体出现了本质性的突破,打破了档案学理论的固有规则。
信息化时代,电子档案没有“物质载体的原始性”这一特点,很多研究者即凭此而认为电子档案不符合档案学理论中档案的基本属性,因此不具备“原件”属性。有些单位在实践中为了遵循原始性的要求,在归档电子文件时甚至将产生电子文件的计算机和硬盘等电子文件形成和保存的环境一起归档,认为如果拷贝到其他介质中就不再具有原始性了。这一基于纸质载体的档案理论,已对确认电子档案的凭证价值且高于一般证据的凭证价值造成了理论上的障碍。
(三)技术上的障碍
很多技术如数字签名技术、加密技术等应用于电子档案的生成、使用和管理,以保障电子档案的安全和可靠。但是这些技术只能保证电子档案某一方面、某一层面的安全性,不能对电子档案的原始性从根本上予以确认。因此,尚需新的技术应用于电子档案的全生命周期,确保电子档案的原始性和凭证作用,以实现电子档案高于一般证据的凭证价值。
(四)法律上的障碍
我国及世界其他国家、国际组织关于电子档案的原件属性、证据力的法律法规规定,都是经历了一个逐步认识、明确的过程。
在我国,1999年3月15日通过的《合同法》对“书面形式”作了扩大解释,使之涵盖了数据电文,从而给数据电文作为书证营造了良好的法律环境。2004年全国人大常委会制定了《中华人民共和国电子签名法》,对电子签名、数据电文作了详细规定与说明。2013年1月1日正式实施的《中华人民共和国刑事诉讼法》和《中华人民共和国民事诉讼法》首次提出电子数据作为独立的证据类型。
但是,在相关法律确立电子数据作为证据类型的同时,档案的法律法规还没有对电子档案的法律定义、本质属性以及对于档案数字资源的属性进行规范,未能跟上技术、认知与社会的发展,落后于其他法律法规,造成明确档案数字资源法律凭证作用的难度,更造成了实现电子档案高于一般证据的凭证效力的法律障碍。
对于电子档案的定义,目前大多是描述性的定义。将电子文件、电子档案定义描述为通过计算机系统应用、管理等形成的文本、图像、影像、声音、其他类型的数据记录。这类定义没有揭示出电子档案本质属性,也缺乏对电子档案以及档案数字资源从法律规范层面上的定义的研究。
另外,纸质、录音、录像、照片、实物等档案数字化形成的档案数字化副本[4],改变了档案的原始形态、物质载体形式,在目前的法律背景下,这类数字化的档案数字副本的凭证作用无法得到确认。
三、电子档案凭证价值高于一般证据价值的实现途径
电子档案作为证据的凭证力,也就是说电子档案是具有一般证据效力还是具有高于一般证据效力的关键在于:是否可以通过技术保障,确保电子档案真实、完整、可用和安全,并促进档案学理论的发展确认电子档案的原件属性;是否通过《中华人民共和国档案法》、《〈中华人民共和国档案法〉实施办法》予以明确电子档案其所为档案原件的性质、档案数字资源的性质,进而使得电子档案获得高于一般证据价值的凭证价值。
(一)用电子档案身份证技术突破原有观念1.电子档案身份证技术确保电子档案的凭证价值随着技术的发展,人们对电子档案的认识,经历了电子档案只能是副本、电子档案原件与副本并无不同、原生电子文件归档形成的电子档案即为原件的认知过程。在电子文件生成归档和电子档案保存、管理、利用的全过程中,一系列的技术保障,如元数据、管理信息数据的封装,特别是电子档案身份证技术的应用,保证了电子档案生成、储存、传递的可靠性,信息的完整性。
电子档案在管理过程中最核心的要求就是确保其真实、完整、可用和安全,核心内容是保护其凭证价值。以往保证电子档案真实性的技术主要依靠数字签名、加密技术等实现。2011年北京市档案局承担的北京市科技计划项目“基于异构系统的电子档案凭证性保障核心技术开发与应用”[5]课题,研发电子档案身份证技术,重点攻关内容就是保护电子档案凭证价值的技术研发,这项技术当时在国际档案界还是一个空白。
电子档案身份证[6](电子档案凭证),即通过特定的计算方法,将电子档案的核心构成要素进行特征抽取而形成的一个具有语义属性的凭证代码,用于唯一标识电子档案,并能验证电子档案真实、完整、可用、安全和唯一身份的证件。在分析电子档案元数据和设置一定的语义规则基础上,通过一定的算法生成电子档案凭证数列,利用数字签名技术,以数字形式存在于电子档案的结构之中,表明档案移交单位对该电子档案中包含的内容信息的认可,在电子档案的管理活动过程中其值是固定不变的。
电子档案身份证就是证明一份电子档案身份的真凭实据,它是一种能够保证电子档案唯一性、原始性和真实性的身份证件,也是电子档案作为司法证明的重要依据。
2.电子档案身份证的主要特点
(1)电子档案身份证具有更多的语义性
不仅能够快速定位与发现电子档案身份证的唯一编号,同时还能够标识档案本身的语义元数据及其由档案移交单位签发的数字签名,它具有更多的语义性。
(2)电子档案身份证同时具有凭证性验证作用
电子档案身份证不仅具有唯一标识定位作用,还具有凭证性验证作用。电子档案身份证里包含了电子档案自身的元数据内容,同时它与电子档案本身封装到一起。一旦电子档案内容出现非授权篡改,重新生成的身份证与原始身份证产生差异,在校验过程中则会引起其电子身份的验证失败,因此电子档案身份证具有凭证性验证作用,能更好地实施安全保障。
3.突破了档案学理论关于原始性的界定
虽然电子档案不具有固定的存储载体、特定的字迹,表现出易修改和不留痕迹的表面特点,但是,以电子档案身份证技术为代表的新的信息技术手段,突破了原有的档案学理论对档案原件原始性的含义界定,并且提供了有力的技术支撑。
原有的档案学理论不能确定电子档案的原始性,主要是认为电子档案内容和形式的原始性不能作为统一的整体出现。电子档案身份证技术这一新技术的出现与不断成熟,有效地解决了在电子档案生成、保存、管理、利用过程中的原始性问题。
对于电子档案而言,档案原始性的关键,已从载体的原始性发展为强调信息的原始性,物质载体已不再是档案原始性的必要条件。
电子档案身份证,配合元数据封装、管理信息封装等技术,使得电子档案在生成之后,各种人为后期对于电子档案任何信息的修改痕迹均能够被识别,即:电子档案原件与电子档案副本、复制件、各种版本均是有区别的,是可识别的,保证了电子档案信息的原始不可更改,因此从根本上解决人们观念中对电子档案是否为原件不能确定、以及电子档案真实性的问题。
基于此,可以明确看出,以电子档案身份证技术为代表的新技术,突破了原有档案学理论局限,确认了电子档案的原始性、原件属性,因而保证了电子档案的凭证价值。
(二)法律保障实现电子档案凭证价值高于一般证据
1.完善《中华人民共和国档案法》中的档案定义,保障电子档案高于一般证据的凭证价值
要明确电子档案的档案属性和原件地位。
《中华人民共和国档案法》第二条规定:“本法所称的档案,是指过去和现在的国家机构、社会组织以及个人从事政治、军事、经济、科学、技术、文化、宗教等活动直接形成的对国家和社会有保存价值的各种文字、图表、声像等不同形式的历史记录。”
电子档案虽然在记录方式、物质载体等方面与传统形式的档案存在诸多区别,但在档案的形成者、形成方式、具有保存价值等特点,符合《中华人民共和国档案法》对于档案的界定。鉴于此,电子档案显然包涵在《中华人民共和国档案法》第二条所定义的档案概念之内。
相对于信息技术的飞速发展和人们认知的完善,目前的《中华人民共和国档案法》规定中,关于“档案”的界定有所欠缺,对信息技术发展与应用的理解落后于现实实际,尚需补充完善、更加明确。
随着技术上对电子档案收集、保管、存储、利用等的真实性保障越来越可靠,就更加突出的需要档案方面的法律法规对电子档案的凭证价值予以明确。在新一轮《中华人民共和国档案法》修改中,要能够体现信息技术在档案工作中的应用,还要体现前瞻与预见,对于电子档案及相关内容要界定明确,有未来的发展空间,要通过修改《中华人民共和国档案法》和《〈中华人民共和国档案法〉实施办法》对电子档案的凭证价值予以保障。
在相关法律对电子数据等作为证据的规定越来越明晰的基础之上,《中华人民共和国档案法》明确电子档案的属性,在引用其他法律法规时,可以使电子档案高于一般证据的凭证价值得以实现。
2.在《〈中华人民共和国档案法〉实施办法》中明确对档案数字化副本法律效力的保障
1990年10月24日国务院批准、1990年11月19日国家档案局第1号令的《〈中华人民共和国档案法〉实施办法》,1999年5月5日国务院批准修订,1999年6月7日国家档案局第5号令重新。
《〈中华人民共和国档案法〉实施办法》第二十一条规定:各级各类档案馆提供利用的档案,应当逐步实现以缩微品代替原件。档案缩微品和其他复制形式的档案载有档案收藏单位法定代表人的签名或者印章标记的,具有与档案原件同等的效力。
在这条规定中,在明确缩微胶片具有凭证价值的同时,还提出“其他复制形式的档案载有档案收藏单位法定代表人的签名或者印章标记的,具有与档案原件同等的效力”,这在当时的条件下,为缩微品的法律效力确定了依据。
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[m].北京:清华大学出版社,2005.
关键词:身份鉴别;人体生物特征;发展趋势
1. 引言
信息化高速发展的一大特征是个人身份的数字化和隐性化,如何准确鉴定一个人的身份,保护信息安全是当今信息化时代必须解决得一个关键性社会问题。生物特征身份鉴别技术是身份鉴别领域的一个研究热点。生物特征识别技术是指利用人体固有的生理特征或行为特征来进行个人身份鉴别认证的技术。生物特征识别技术包括采用人体固有的生理特征(如人脸、指纹、虹膜、静脉、视网膜)进行的身份认证技术和利用后天形成的行为特征(如签名、笔迹、声音、步态)进行的身份认证技术。与传统的身份鉴定手段相比,基于生物特征识别的身份鉴定技术具有如下优点:(1)不会遗忘或丢失;(2)防伪性能好,不易伪造或被盗;(3)“随身携带”,随时随地可用。正是由于生物特征身份识别认证具有上述优点,基于生物特征的身份识别认证技术受到了各国的极大重视。
2. 生物特征识别技术的现状及发展趋势
目前,常用的生物特征识别技术所用的生物特征有基于生理特征的如视网膜、人脸、指纹、虹膜,也有基于行为特征的如笔迹、声音等。下面就这些常见的生物特征识别技术的特点及其发展趋势进行讨论研究。
2.1.视网膜识别
人体的血管纹路也是具有独特性的,人的视网膜表面血管得图样可以利用光学方法透过人眼晶体来测定。用于生物识别的血管分布在神经视网膜周围,即视网膜四层细胞得最远处。如果视网膜不被损伤,从三岁起就会终身不变,如同虹膜识别技术一样,视网膜扫描可能具有最可靠,最值得信赖得生物识别技术,但它运用起来的难度较大。视网膜识别技术要求激光照射眼球的背面以获得视网膜特征得唯一性。
视网膜技术的优点:视网膜是一种及其固定得生物特征,因为它是隐藏的,故而不易磨损,老化;非接触性得;视网膜是不可见得,不会被伪造。缺点是:视网膜技术未经过任何测试,可能会给使用者带来健康的损坏。
2.2.人脸识别
人脸识别作为一种基于生理特征的身份认证技术,与目前广泛应用的以密码、IC卡为媒
介的传统身份认证技术相比,具有不易伪造、不易窃取、不会遗忘的特点;而人脸识别与指纹、虹膜、掌纹识别等生理特征识别技术相比,具有非侵犯性、采集方便等特点。因而人脸识别是一种非常自然、友好的生物特征识别认证技术。
人脸识别技术包括图像或视频中进行人脸检测、从检测出的人脸中定位眼睛位置、然后提取人脸特征、最后进行人脸比对等一系列相关的技术。
为了评测基于面部图像的人脸识别算法的性能。美国ARPA和ARL于1993年至1996年建立了FERET数据库,用于评测当时的人脸识别算法的性能。共举行了三次测试FERET94、FERET95、FERET96。FERET测试的结果指出,光照、姿态和年龄变化会严重影响人脸识别的性能。
FERET的测试结果也表明了基于面部图像的方法的缺点。人脸是一个三维非刚体,具有姿态、表情等变化,人脸图像采集过程中易受到光照、背景、采集设备的影响。这些影响会
降低人脸识别的性能。
为了克服姿态变化对人脸识别性能的影响,也为了进一步提高人脸识别性能,20世纪90年代后期,一些研究者开始采用基于3D的人脸识别算法。这些算法有的本身就采用三维描述人脸,有的则用二维图像建立三维模型,并利用三维模型生成各种光照、姿态下的合成图像,利用这些合成图像进行人脸识别。2000年后,人脸识别算法逐渐成熟,出现了商用的人脸识别系统。为了评测这些商用系统的性能,也作为FERET测试的延续,美国有关机构组织了FRVT2000、FRVT2002、FRVT2006测试。测试结果表明,人脸识别错误率在FRVT2006上下降了至少一个数量级,这种性能的提升在基于图像的人脸识别算法和基于三维的人脸识别算法上都得到体现。此外,在可控环境下,虹膜、静态人脸和三维人脸识别技术的性能是相当的。此外,FRVT2006还展现了不同光照条件下人脸识别性能的显著提高,最后,FRVT2006表明人脸自动识别的性能优于人。值得一提的是,清华大学电子工程系作为国内唯一参加FRVT2006的评测的学术机构,其人脸自动识别性能优于人类。FRVT2006为人脸识别后续的研究指明了方向,人脸识别中光照、年龄变化依然对人脸识别性能有很大影响,二维人脸识别的性能不比三维人脸识别差。
人脸识别得优点:非接触性的。缺点是:要是比较高级得摄像头才也有效地扑捉面部图像;使用者面部的位置与周围得光环境都可能影响系统的精确性,而且面部识别容易受欺骗;
对于采集图像的设备会比其他技术昂贵得多。
2.2. 指纹识别
指纹识别技术是指通过比较不同人指纹中的特征点不同来区分不同人的身份。指纹识别技术通常由三个部分组成:对指纹图像进行预处理;提取特征值,并形成特征值模板;指纹特征值比对。指纹图像预处理的目的是为了减少噪声干扰的影响,以便有效提取指纹特征值。常用的预处理方法有图像增强、图像平滑、二值化、图像细化等。
特征提取的目的就是从预处理后的指纹图像中,提取出能够表达该指纹图像与众不同的特征点的过程。最初特征提取是基于图像的,从图像整体中提取出特征进行比较,但该方法的精度和性能较低。现在一般采用基于特征点的方法,从图像中提取反应指纹特性的全局特征(如纹形、模式区、核心区、三角点、纹数等)和局部特征(如终结点、分叉点、分歧点、孤立点、环点等)。得到特征点后就可以对特征点进行编码形成特征值模板。指纹特征值比对就是把当前获得的指纹特征值与存储的指纹特征值模板进行匹配,并给出相似度的过程。
指纹识别的优点:技术相对成熟;成本较低。缺点是:具有侵犯性;指纹易磨损,手指太干或太湿不易提取图像。
2.3. 虹膜识别
虹膜相对而言是一个较新的生物特征。1983年,Flom与Safir申请了虹膜识别专利保护,使得虹膜识别方面的研究很少。1993年,Daugman发表了关于虹膜自动识别算法的开创性工作,奠定了世界上首个商业虹膜自动识别系统的基础。随着Flom和Safir专利在2005年的失效和CASIA及ICE2005中虹膜数据集的提供,虹膜识别算法的研究越来越蓬勃。I CE2006首次对虹膜识别算法性能进行了测试。虹膜识别中需要解决如下两个难点问题:一是虹膜图像的获取,二是实现高性能的虹膜识别算法。
3. 结论
本文讨论了一些常用的生物特征识别技术的技术特点及发展趋势。随着各国对生物特征识别技术的越来越重视,生物特征识别技术必将获得更快的发展。
参考文献:
[1]张敏贵,潘泉,等.多生物特征识别[J].信息与控制,2002,31(6).
[2]杨俊,景疆.浅谈生物认证技术——指纹识别[J].计算机时代,2004,(3).
[3]侯鸿川.面部温谱图身份识别技术探讨[J].中国人民公安大学学报(自然科学版),2005,(3).
关键词:网络与信息安全;信息安全认识;信息安全技术
随着Internet的接人,网络已成为我们生活中必不可少的一部分。随着计算机网络的发展,其开放性、共享性、互联程度扩大,网络的重要性和对社会的影响也越来越大,但是另一方面病毒、黑客程序、邮件炸弹、远程侦听等安全问题逐渐成为当今网络社会的焦点。下面笔者就几个方面对网络环境中信息安全问题作一简单讨论。
1 网络环境下信息安全研究意义
众所周知,Internet是当今世界上最大的计算机网络通迅系统,它所提供的信息包括文字、数据、图像、声音等形式,它的应用范围已经涉及到政治、经济、科学、教育、法律、军事、物理、体育和医学等社会生活的各个领域。但是,随着微电子、光电子、计算机、通信和信息服务业的发展,尤其是以Internet为支撑平台的信息产业的发展,使得网络安全的重要性日益凸现。信息随时都可能受到非授权的访问、篡改或破坏,也可能被阻截、替换而导致无法正确读取,给网络的正常运行带来巨大的威胁,甚至造成网络瘫痪。
根据美国“世界日报”1993年10月报道:由于高科技犯罪,利用侦读器拦截卫星通讯用户号码,再转手拷贝出售,1992年美国就有20亿美元的国际电话费转账混乱造成有关公司严重的损失。目前,仅仅银行的密码遭他人窃取,美国银行界每年损失就达数10亿美元之巨。在1996年初,美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计显示,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过,而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。
中国的网络安全虽然还比较落后,但黑客们却已经和国际“接轨”。据公安部的资料,1998年中国共破获电脑黑客案件近百起。利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。黑客的攻击方法已超过计算机病毒的种类,总数达近千种。在中国,针对银行、证券等金融领域的黑客犯罪案件总涉案金额已高达数亿元,针对其他行业的黑客犯罪案件也时有发生。
计算机网络安全性研究始于20世纪60年代末期。但由于当时计算机的速度和性能较为落后,使用的范围也不广,因此有关计算机安全的研究一直局限在较小的范围。进入20世纪80年代后,计算机的性能得到了极大的提高,应用范围也在不断扩大,计算机已遍及世界各个角落。尤其是进入20世纪90年代,计算机网络出现了爆炸式的发展,这种发展把人们带到了一个全新的时空,在人们几乎全方位地依赖计算机网络的同时,网络环境下的信息安全问题再次出现在人们面前。
2 信息安全的初步认识
2.1 定义
信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及其系统实施防护、检测和恢复的科学。
2.2 研究内容
信息安全的研究涉及数学、计算机、通信、法律等诸多学科,大致可分为基础理论与应用研究、应用技术研究以及安全管理研究3个领域。其中,基础理论与应用研究主要包括密码体制理论、身份识别、访问控制与授权、安全协议等方面的研究。
2.3 安全目标
信息安全从防护、检测和恢复体系上看,主要有6个安全目标:机密性、完整性、可用性、真实性、不可抵赖性、可控性。它们的含义解释如下:
机密性(confidentiality):指信息不被泄露或暴露给未授权的个人、组织或系统。或者说,只有经授权的用户才能获知信息的真实内容,而任何未授权者即使截获信息也无法读取信息的真实内容或使用信息。
完整性(integrity):指信息是完整的、一致的。即信息在生成、存储、传输或使用过程中未受到非授权的篡改或破坏。
不可抵赖性(non-repudiation):指合法用户事后无法否认曾发送或接收到信息,或广义地对其行为不可抵赖。
真实性(authenticity):指在信息交互过程中想过关的用户或主体是真实而非假冒或伪装的。
可控性(controllability):指主体对系统或数据的访问是按照一定规则控制的,避免出现非授权操作或使用。
可用性(availability):分为数据的可用性和系统的可用性。数据的可用性是指授权用户可根据需要随时访问其权限所允许的信息,不会受到干扰或阻碍。系统的可用性是指承载信息的系统按照其预定的规则运行,不会转移到非畅通状态,系统可用性与数据可用性具有密切的联系。
3 信息安全技术
3.1 加密技术
3.1.1 加密技术概述
加密技术能为数据或通信信息流提供机密性。同时,对其他安全机制的实现起主导作用或辅助作用。
加密算法是对消息的一种编码规则,这种规则的编码与译码依赖于称为密钥的参数。用户使用编码规则在密钥控制下把明文消息变为密文,也可以使用译码规则在密钥控制下把密文还原成明文消息。没有正确的密钥无法实现加密解密操作,从而使非授权用户无法还原机密信息。
根据密钥的特点,目前,加密技术分为两种:对称密码体制和非对称密码体制。对称密码算法有:DES(数据加密标准)及其各种变形、IDEA算法及AES、RC5等。比较著名的非对称密码算法有:RSA、背包密码、Ditter-HeUman、圆曲线算法等。
3.1.2 密码体制
(1)对称密码。在对称密钥体制中,使用的密钥必须完全保密,且加密密钥与解密密钥相同,或从加密密钥可推出解密密钥,反之亦可。常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密。DES主要采用替换和移位的方法加密。它用56位密钥对64位二进制数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,输入的64位原始数据转换成完全不同的64位输出数据。DES算法仅使用最大为64位的标准算术和逻辑运算,运算速度快,密钥生产容易,适合于在当前大多数计算机上用软件方法实现,同时也适合于在专用芯片上实现。
(2)非对称密码。在非对称密码体制中,每个使用密码体制的主体(个人、团体或某系统)均有一对密钥:一个密钥可以公开,称为公钥;另一个密钥则必须保密,称为私钥,且不能从公钥推出私钥。在Internet中使用更多的是非对称密码系统,即公钥系统。常用的公钥加密算法是lISA算法,加密强度很高。发送方在发送数据时,用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发送方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Intemet网上使用。
3.2 数字签名
数字签名也称电子签名,在信息安全中包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用。数字签名包括两个过程:签名者以给定的数据单元进行签名,接收者验证该签名。
数字签名的主要工作方式为:报文发送方从报文文本中生成一个128 bit的散列值(或报文摘要),并用自己的专用密钥对这个散列值进行加密,形成发送方的数字签名;然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方;报文接收方首先从接收到的原始报文中计算出128 bit位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别和不可抵赖性。
数字签名技术应用十分广泛。如电子印章、商务合同等应用中主要采用数字签名技术,还有虚拟专用网(VPN)协议族、电子邮件安全协议族、Web安全协议、安全电子支付协议等密钥分发都采用了数字签名技术。
3.3 身份认证
身份认证又称为鉴别或确认,它通过验证被认证对象的一个或多个参数的真实性与有效性,来证实被认证对象是否符合或是否有效的一种过程,用来确保数据的真实性。
身份认证在当今社会如金融、医疗、保险、海关、电信、公安等领域起到了举足轻重的作用。随着信息技术的飞速发展,电子商务、电子银行、网络安全等应用领域亟需高效的自动身份认证技术。分析现有的各种身份认证技术,一般意义上可以分为两大类。
3.3.1 传统身份认证技术 传统的身份证技术可以分为3类: (1)所知:你知道什么,这是基于秘密消息的认证方式。即认证方根据被认证方提供的信息来认证身份,典型的信息如口令、密码、暗语等。
(2)所有:你有什么,即令牌认证方式。认证方根据被认证方提供的某一实物或凭证来认证身份,典型的如令牌、证件、证书等。
(3)特征:你是什么,即生物特征认证方式。认证方根据提取被认证方的某些特征来认证身份,典型的特征如指纹、虹膜、DNA等。
总体来说,这3种认证方式都各有利弊,选择哪种认证方式要根据自己的情况而定。
3.3.2 双因素身份认证技术
人们对于网络安全和信息安全的研究和了解,已经有相当长的一段时间了,因此基于动态密码技术的双因素身份认证技术得到了迅速发展,在网络环境下的身份认证系统中,使用动态密码卡作为身份确认依据是理想的,每一个动态密码卡是独一无二的装置,能有效地代表使用者的身份,可以保证被认证对象与需要验证的身份依据之间严格的一一对应关系。通过技术分析,使用密码卡具有安全性高、保密性强、抗抵赖性、抗重放性、抗暴露性、方便性等优点。所以,现在使用这种双因素身份认证技术可以为我们的一些网络使用带来一定的保障。
3.4 访问控制
访问控制机制使用实体的标识、类别或能力,确定权限,并授予访问权。实体如果试图进行非授权访问。将被拒绝。
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,必须具备安全的控制策略和保护机制,防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,其操作是无效的。
3.5 通信量填充——信息隐藏
通信量通填充就是指为了防止敌手对通信量的分析,需要在空闲的信道上发送一些无用的信息,以便蒙蔽对手。在专用通信线路上这种机制非常重要,但在公用信道貌岸然中则要依据环境而定。
信息隐藏则是把一则信息隐藏到看似与之无关的消息中,以便蒙蔽敌手,通常也要和密码结合才能保证不被敌手发现。
3.6 路由控制
路由控制是对于信息的流经路径的选择,为一些重要信息指定路径。例如通过特定的安全子网、中继站或连接设备,也可能是要绕开某些不安全的子网、中继或连接设备。这种路由的安排可以预先安排也可作为恢复的一种方式而由端系统动态指定。恰当的路由控制可以提升环境安全性,从而可以简化其他安全机制实施的复杂性。
3.7 公证
在两方或多方通信中,公证机制可以提供数据的完整性,发方、收方的身份识别和时间同步等服务。通信各方共同信赖的公证机构,称为可信第三方,它保存通信方的必要信息,并以一种可验证的方式提供上述服务。
3.8 安全标记
安全标记是为数据源所附加的指明其安全属性的标记。安全标记常常在通信中与数据一起传送,它可能是与被传送的数据相连的附加数据,也可能是隐含的信息。
[关键词] 生物特征识别 数字签名 电子商务 身份安全认证
一、引言
在电子商务应用日益广泛的今天,从某种角度看,身份认证技术可能比信息加密本身更加重要。它是网络安全和信息系统安全的第一道屏障,是在信息安全时代备受关注的一个研究领域。
目前的应用主要是以“用户ID+口令+数字证书”来进行用户的身份认证。从根本上说这种身份认证不能解决访问者的物理身份和电子身份的一致性问题,即无法确认通过身份认证的访问者即获授权者。
启发于人的身体特征具有不可复制的特点,人们开始把目光转向了生物识别技术。人的指纹、虹膜、视网膜等都具有惟一性和稳定性的特征,为实现更安全、方便的用户身份认证提供了有利的物理条件。
用户最关注的问题是因特网的网络安全性和保密性。保障网络中数据传输的安全性通常需要借助信息安全功能来实现。在开放系统中对具有重要价值的信息或私密信息进行通信时,可使用数字签名等密码技术进行加密。
生物识别技术代表着用户身份认证技术的未来,有着广阔的应用前景。如果将生物特征识别技术和数字签名技术有机地结合在一起,可以提供一种更加安全、便捷的用户身份认证技术。
二、生物特征识别技术
生物特征识别技术是通过计算机与光学、声学传感器和生物统计学原理等高科技手段结合,利用人体固有的生理特性来进行个人身份的鉴定。其核心在于如何获取这些生物特征,并将之转换为数字信息,存储于计算机中,利用可靠的匹配算法来完成验证与识别个人身份的过程。
1.指纹识别——成熟的身份认证技术
在网络环境下的身份认证系统中,应用指纹作为身份确认依据是理想的。
第一,理论上,每个人的指纹是独一无二的。
第二,指纹样本便于获取,易于开发识别系统,实用性强。
第三,指纹识别中使用的模板而是由指纹图中提取的关键特征,使系统对模板库的存储量较小。也可以大大减少网络传输的负担,便于支持网络功能。
第四,指纹识别是生物特征识别中研究最早、技术最成熟、应用最广泛的技术,有着坚实的市场后盾。
指纹识别具有很高的实用性、可行性。随着固体传感器技术的发展。指纹传感器的价格正逐渐下降,在许多应用中基于指纹的生物认证系统的成本是可以承受的。
指纹识别原理和过程如下:首先,通过指纹读取设备读取到人体指纹图像,并对原始图像进行初步的处理,使之更清晰。然后,指纹辨识算法建立指纹的数字表示——特征数据。特征文件存储从指纹上找到被称为“细节点”(minutiae)的数据点,也就是那些指纹纹路的分叉点或末梢点。这些数据称为模板(至今仍然没有一种模板的标准,也没有一种标准的抽象算法,各厂商自行其是)。最后,通过计算机把两个指纹的模板进行比较,计算出它们的相似程度,得到两个指纹的匹配结果。
2.虹膜和视网膜——更准确、更可靠的身份认证技术
虹膜是一种在眼睛中瞳孔内的织物状各色环状物,每一个虹膜都包含一个独一无二的基于像冠、水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征的结构。世界上两个指纹相同的几率为1/109,而两个虹膜图像相同的几率是1/1011,虹膜在人的一生中均保持稳定不变。因此,利用虹膜来识别身份能够成为独一无二的标识,其可靠性超过了指纹识别。
从直径11mm的虹膜上,Dr. Daugman的算法用3.4个字节的数据来代表每平方毫米的虹膜信息,一个虹膜约有266个量化特征点,而指纹识别技术只有40多个特征点。266个量化特征点的虹膜识别算法在众多虹膜识别技术资料中都有讲述,在算法和人类眼部特征允许的情况下,Dr. Daugman指出,通过他的算法可获得173个二进制自由度的独立特征点。这在生物识别技术中,所获得特征点的数量是相当大的。
关于虹膜的特征提取方面较有成效的主要有Daugman的利用多分辨率Gabor滤波器提取虹膜纹理的相位信息;Wildes的基于4种不同决策标准的拉普拉斯金字塔提取虹膜纹理特征;Boles和Boashash的基于小波变换过零检测虹膜识别算法以及中科院采用Gabor滤波和aubechies-4小波变换相结合的纹理分析方法。
虹膜技术上有一些地方有待完善;当前的虹膜识别系统只是用统计学原理进行小规模的试验,而没有进行过现实世界的惟一性认证的试验;目前图像获取设备相当昂贵。
视网膜是一些位于眼球后部十分细小的神经(一英寸的1/50),它是人眼感受光线并将信息通过视神经传给大脑的重要器官,用于生物识别的血管分布在神经视网膜周围,即视网膜四层细胞的最远处。
在20世纪30年代,通过研究就得出了人类眼球后部血管分布惟一性的理论,进一步的研究的表明,即使是孪生子,这种血管分布也是具有唯一性的,视网膜的结构形式在人的一生当中都相当稳定。所以,同虹膜识别技术一样,视网膜扫描可能是最可靠、最值得信赖的生物特征识别技术。视网膜扫描设备可以从使用者的视网膜上可以获得400个特征点,创建模板和完成确认。由此可见,视网膜扫描技术的录入设备的认假率低于0.0001%。但拒假率(FAR,指系统不正确地拒绝一个已经获得权限的用户)比较高,相信在进一步的研究中可以大大降低。
因为对视网膜难于采样,也无标准的视网膜样本库供系统软件开发使用,这就导致视网膜识别系统目前阶段难以开发,可行性较低。
与指纹识别技术的主要步骤以及原理相似,虹膜识别与视网膜识别一般包括图像采集、图像处理、特征提取、保存数据、特征值的比对和匹配等过程。
综上所述,指纹识别是最容易实现的;而虹膜识别与视网膜识别受到某些限制,目前除了一些高端应用外很难普及应用,但其有着巨大的技术优势和潜在的商业价值,必将是下一代生物特征识别技术的发展方向。
三、基于生物特征识别和数字签名技术的电子商务身份认证系统解决方案
1.方案设计要求
要确保基于指纹特征的用户身份认证系统的整体安全性,必须对基于指纹特征的网络身份认证方案设计一个安全的身份认证协议。良好的身份认证协议应该满足以下几个要求:
(1)能够准确识别被认证对象的身份;
(2)能够明确重要事件的责任人,并实现签名,避免事后抵赖;
(3)能够保障数据在存储和传送时的安全。
2.基于生物特征和数字签名技术的电子商务身份安全认证系统结构
基于秘密信息的身份认证协议:保证通信认证可以防止第三方的重放攻击,但由于客户端密钥存储和管理存在问题。基于生物特征的身份认证:能解决口令窥视和密钥管理难等问题,但很难阻止第三方的重放攻击。因而,笔者提出了综合前述的生物特征识别技术和数字签名后得到的电子商务身份认证系统的解决方案。
在网络环境下(B/S结构),用户(客户端)如果要访问远程服务器所管理的信息资源,在获得相关资源访问权限之前,必须通过生物特征身份认证,所有的信息资源访问权限都在身份认证系统(服务器端)管理之下,未通过身份认证的用户不能访问信息资源。当模板内置于服务器时,通过客户端的生物特征获取仪器获得用户的生物特征信息,该信息被加上数字签名后传送到服务器,在服务器首先校验签名是否有效,再与预先注册的模板进行比较,并完成身份认证。
3.身份认证步骤与协议
在生物认证系统中,为了保证生物特征值这不被非法用户所获得,采用数字签名技术。我们在此对协议中采用的符号做如下定义:A为用户,AS为认证服务器,KUAS为认证服务器公钥,TAS为认证服务器的时限,NA为A的现时数据,FA为A的生物特征值,IDA为A的标识。还需说明的是这里采用的是单向认证协议。基本协议如下:
(1)A用自己标识的签名向认证服务器AS请求认证。使用签名技术能有效地阻止一个虚假认证服务器对用户A的欺骗性连接。因为只有合法的认证服务器才保存有用户的公钥,从而能验证这个签名来获得IDA来为下面的认证过程来使用。
(2)认证服务器产生时限TAS,现时数据NA,并将自己的公钥KUAS、NA和时限TAS用用户A的公钥KUA加密后返回给客户端的A用户。
(3)客户端A接受到认证服务器公钥、时限和现时数据NA,同时在客户端的生物特征传感器读取用户的生物特征图像,并获得特征FA,把元组{TAS,NA,FA}用认证服务器的公钥KUAS加密后发送给认证服务器。
(4)认证服务器AS通过生物特征信息数据库进行比对,若匹配则A的身份通过认证。
这个方案与现时使用的认证体制基本类似,所以电子商务交易系统不必作重大改变。但因为引入了生物特征识别,安全性可以获得有效的加强。
四、结束语
在信息化日趋成为主流的今天,电子商务的业务已随着互联网的普及而飞速发展,与此同时,电子商务的安全性也成为业界的一个热点研究方向。本方案设计将基于生物特征的身份认证技术和数字签名相结合应用于电子商务,加强系统安全性,具有一定的研究和实用意义。
关键词:电子商务 身份认证 信息认证 PKI
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)08-0162-02
1、导入
电子商务是在因特网开放的网络环境下,基于浏览器/服务器应用方式,买卖双方不谋面地进行各种商贸活动,同时,人们不再受地域的限制,能以非常简捷的方式完成过去较为繁杂的商务活动。通过这样的交易方式不仅降低了经营成本,而且大大地提高了生产效率,优化了资源配置,所以电子商务现在已是全球化的发展趋势,然而,这是商业模式给经济带来机遇的同时也带来了一定的挑战,其中,交易的安全成为其核心和关键问题。
2、电子商务存在的安全隐患
电子商务中所有的交易都是基于开放的网络环境下进行的。这样,开放网络环境下的网络安全隐患问题自然也是电子商务交易所存在的问题,且这些安全隐患不能很好的解决,势必阻碍电子商务的发展。
2.1 网络设施不完善
国内计算机网络设施与发达国家相比,有待进一步完善。近几年,随着电子技术的发展,我国的计算机信息网络技术及设施也在不断的发展。但是跟发达国家相比,依然存在一定的差距,例如容量不是足够大,速度还有待进步提高,技术指标还存在差异,管理水平、使用成本、安全性和协调性等也都存在较大差距,这样的硬件环境本身就为电子商务安全交易隐患提供了土壤。
2.2 信用问题
一个完整的电子商务交易体系涉及买卖双方,因为互联网的存在,买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成熟,假冒伪劣商品泛滥,而网上交易又不能让消费者对商品亲自试用鉴别,所以有许多消费者对电子商务望而却步。这样的话,网上交易中买卖双钩相互信任就成了成交的根本保证。
2.3 交易安全
电子商务中核心的问题就是交易安全问题。由于网络的开放性,一些虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生,这样使电子商务面临种种风险。如何保障电子商务的安全一直是电子商务的核心研究领域。
3、认证技术在电子商务中的应用
认证是建立网络安全系统必不可少的基本组成部分,它是网络安全的基础。同样,认证在电子商务安全中也是必不可少的重要组成部分。在电子商务交易安全中,认证技术主要包括身份认证和信息认证。身份认证用于鉴别用户身份,验证信息的发送者是真的,而不是冒充的;信息认证是验证信息的完整性,即验证数据在传送或存储过程中未被窜改、重放或延迟等。在电子商务交易中,通过这两种认证技术的结合,才能保证交易的顺利进行。
3.1 身份认证
在网上进行交易,身边认证是第一道防线,只有确认了对方的身份才可能使交易流程顺利展开。所以,身份认证是电子商务交易中首要的安全保证。网上交易进行身份认证最常用的有口令认证和基于生物特征认证。
3.1.1 口令认证
口令认证分为静态口令认证和动态口令认证两种方式。静态口令认证就是传统的用户名密码认证,是最简单的认证方法。采用此类的认证方式,系统为每一个合法用户建立一个二元组信息(用户ID、口令),当用户登录系统时,提示用户输入自己的用户名和口令,系统服务器通过核对用户输入的用户名、口令与系统维护的信息进行匹配来判断用户身份的合法性。这种认证方法操作简单,但是系统安全性极差,一旦口令泄露,后果将不堪设想。动态口令技术是为解决传统的静态口令认证的缺陷而设计的一种认证方式,也称“一次性口令认证”,在认证过程中,用户的密码按照时间或使用的次数不断动态变化,且保证一次一密且任何人都无法预知,有效抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性[2]。
在电子商务交易中,由于密码口令很容易被遗忘或被其他人进行攻击或破解,相对于其他保密技术,这种认证技术是安全级别相对较低的一种。
3.1.2 基于生物学特征的认证
生物特征认证是依赖用户特有的生物信息的一种认证方式。这种认证方式与口令认证最大的不同是,口令认证是依赖用户知道的某个秘密信息,而生物特征认证依赖独一无二的用户特征生物信息,且生物特征很难在个体之间传递。这种认证主要是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合,利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以及近来流行的基于虹膜识别的身份认证等。
目前,在保密性较高的系统中采用基于生物特征的认证技术,在电子商务交易中,这种认证技术由于高成本性等原因还没有广泛的应用。
3.2 信息认证
信息认证技术是电子商务系统中的重要组成部分,是确保电子商务安全、可靠以及一致性。在电子商务交易中,由于开放的网络环境下,网络上传输的信息很容易被篡改、伪造,或者被冒充,或信息接收方事后否认,同时,通过电子数据方式达成的交易文件又必须与传统的商务交易一样,必须具有严肃性和公正性,且是不能被否认的,为实现这一目标,除了采用身份认证起到确保网上交易者身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵赖性,以及信息访问的权限控制。
3.2.1 基于密钥体制的认证体制
购物车(0)