5.2.1 防火墙技术
防火墙(Firewall)是在企业或商家的内部网和外部网之间构筑的一道屏障,用来保护内部网中的信息、资源等不受来自互联网中非法用户的侵犯,它可以限定源和目标的IP地址/地址列,限定源和目标的主机端口,限定FTP(文件传输协议)、HTTP(超文本传输协议)、Telnet(远程登录)等对系统的访问,还可根据制定的安全策略对信息进行过滤和限制。安装了防火墙,就可以控制、鉴别和隔离出入的各种访问。
防火墙概述
(1)设置防火墙的意义
网络的开放性和方便性往往带来安全性的下降。Internet为用户提供了方便、快捷的服务,允许人们以匿名的方式上网,同时也使专用网络与数据资源被非法访问和破坏的风险加大了,WWW、E-mail、FTP、Telnet、网络新闻组等Internet提供的服务当中都存在着一些安全漏洞。为了阻止未经授权的用户访问机构的内部网络,防止他们更改、拷贝、毁坏机构的重要信息,发生不可预测的、潜在破坏性的侵入,就需要设法在开放的物理网络环境中,构造逻辑意义上的、封闭的私有网络。这样,防火墙的概念就应运而生了,它是保证整个电子交易与支付安全的第一道关卡,也是比较关键的安全防护环节。
目前防火墙已经成为世界上用得最多的网络安全产品之一。在互联网上,防火墙是一种非常有效的网络安全模式,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍用户对风险区域的访问。防火墙可以监控进出网络的通信量,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还要能为各种网络应用提供相应的安全服务。
(2)防火墙的属性
防火墙是放在两个网络之间的用于提高网络安全的软硬件系统的集合,它有如下属性:
①所有从内到外和从外到内的信息流,都必须经过它;②仅仅被本地安全策略定义且授权的信息流才允许通过它;③能实施安全策略所要求的安全功能,控制外部用户访问专用网;④系统对外部攻击具有高抵抗力,提供日志、审计和报警功能。
(3)防火墙的工作原理
防火墙不是对内部网中的每台计算机分别进行保护,而是让所有互联网对内部网中计算机的访问都通过某个点,防火墙就通过保护这个点,实现对内部网的整体防护。
其实,防火墙技术就是一种隔离控制技术,在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,有效地监控了内部网和互联网之间的任何活动,保证了内部网络的安全。防火墙在互联网和内部网之间建立起一条隔离墙,提供了两个网络通信时执行的一种访问控制尺度,检查进入内部网络的信息是否合法,是否允许用户的服务请求,从而阻止对内部网络的非法访问和非授权用户的进入;同时,它也可以禁止特定的协议通过相应的网络。
防火墙能够保护站点不被任意连接,甚至建立反向跟踪工具,帮助总结并且记录有关正在连接的资源、服务器提供的通信量,以及试图闯入者的任何企图。
防火墙的种类按照防范的方式和侧重点的不同,防火墙可以分为三大类:包过滤型、代理服务器型和监测型防火墙。包过滤防火墙以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表;代理服务器型以美国Gauntlet防火墙为代表;作为第三代网络安全产品的监测型防火墙正处于发展和完善之中,它们之间各有长处,如何选择就要看具体的需要。
(1)包过滤型防火墙
包过滤防火墙是基于硬件的、最普通的防火墙,适用于简单网络,是面向网络层和传输层的防火墙产品,其技术依据是网络中的分包传输技术。
这种方法只需简单地在互联网网关处安装一个数据包过滤路由器,并设置过滤规则以阻挡协议或地址。数据包过滤路由器在发送前先检查每一个数据包,根据数据包的IP源地址、IP目的地址、所用的TCP源端口号、目的端口号以及TCP链路状态等因素或它们的组合来确定是否允许数据包通过,只有满足过滤逻辑的数据包才能被转发至相应的目的地的输出端口,其余数据包则从数据流中被删除,系统管理员也可以根据实际情况灵活制定判断规则。
例如,若防火墙设定某个IP地址(如211.71.68.163)的站点不能访问的话,那么从这个地址来的所有信息都会被防火墙屏蔽掉。
包过滤防火墙技术的实现相当简捷,通常将防火墙安装在路由器上,使路由设备在完成路由选择和数据转发功能的同时进行包过滤,不需要任何额外的费用,而且对用户透明,网络性能好,速度快,效率高。
但由于包过滤防火墙对于网络控制的依据是IP地址和服务端口等基本的传输层以下的信息,而大量的网络攻击是利用应用系统的漏洞,所以包过滤防火墙对于应用层缺少足够的保护;而且数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听和假冒。
(2)代理服务器型防火墙
代理服务器型防火墙工面向应用层,通过对应用服务提供代理程序来实现监视和控制应用层的通信流,因此也称为应用型防火墙。
代理服务器型防火墙将所有跨越防火墙的网络通信链路分为两个部分,一部分是从外部网络到代理服务器,另一部分是从代理服务器到内部网络,从外部网络只能看到该代理服务器而无法知道内部网的任何内部资源信息。外部网络要想和内部网络建立连接,就必须通过代理服务器的中间转换,首先代理服务器根据安全规则决定是否允许建立连接,若允许,代理服务器就代替用户机向外部网络服务器发出接受信息,然后代理服务器接受外部网络服务器发过来的数据包并根据安全规则决定是否允许这个数据包通过,若符合安全规则,则将该数据包转发给内网中发起请求的那个用户机。总之,内部网络只接受代理服务器提出的服务要求,拒绝外部网络的直接请求,代理服务器在此扮演着“中间人”的角色。
代理服务器型防火墙比包过滤型防火墙更为安全,是应用最广的一种防火墙。它可以实现用户认证、详细日志、审计跟踪和数据加密功能,并且能够实现对具体协议及应用的过滤,例如可以阻拦Java或JavaScript;同时,由于代理服务器防火墙是基于软件的,只需在代理服务器上装上相应的服务器程序,所以它比包过滤防火墙更易配置,且配置界面好,不易出错。
但代理服务器型防火墙最大的缺点是性能差,速度相比较慢,代理防火墙必须建立在操作系统提供的Socket服务接口之上,它对每个访问实例的处理代价和资源消耗接近于Web服务器的两倍,这使得代理服务器型防火墙的性能通常很难超过45Mbps的转发速率和1000个并发访问,当用户需要在内外网之间进行大量的数据处理和信息交换时,它就会成为一个信息交流的瓶颈。代理服务器需要对每个特定的Internet应用服务安装相应的代理服务软件,并进行相关设置,对用户的透明度较差,操作麻烦,维护量大;由于代理服务器型防火墙中的代理应用程序要对来往数据进行详细的检查和审计,所以对作为服务器的计算机的性能有较高的要求,成本相对较高。
(3)监测型防火墙
监测型防火墙是第三代网络安全产品,能够对各层的数据进行主动的、实时的监测,在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信各层实行监测,并加以分析,从而有效地判断出各层中的非法侵入。同时,这种监测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。
监测型防火墙具有高安全性的优点,支持多种协议和应用程序,可以方便地实现应用和服务的扩充;另外,它还监测RPC和UDP端口信息,而包过滤和代理网关都不支持此类端口。虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前主要的防火墙产品仍然以第二代代理型为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以有选择地使用某些监测型防火墙,这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
防火墙在电子支付中的应用在电子商务业务活动中,包括网络支付与结算业务在内,商家、银行与用户均需在网络上进行互动,比如查询商品信息、填写订单、选择支付方式、提交支付表单、确认支付等等,这些活动主要是基于WWW方式进行的,所以商家与银行就需要设置对应的业务Web服务器,为顾客提供网络服务。
为了保证电子支付在内的网络业务能够顺利进行,防火墙与这些业务的Web服务器之间就要进行必要的关联设置,以便商家和银行既能利用Web服务器对外提供网络业务服务,又能借助防火墙保证内部网络安全。
根据需要可以按照防火墙和相应业务的Web服务器所处的位置,有如下两种配置方式。
(1)业务Web服务器设置在防火墙之内将业务Web服务器设置在防火墙之内的好处是它可以得到安全防护,不容易被外界攻击,但Web服务器本身也不易被外界应用,这种防火墙的作用是创建一个“内部网络站点”,它仅能由内部网中的用户访问,由于电子商务业务的需要,仅用于企业面向职员的网络服务的专门站点中。因此,一般性电子商务业务中将Web服务器设置在防火墙之外更普遍。
(2)业务Web服务器设置在防火墙之外为了能使Internet上的所有用户都能够访问业务Web服务器,就要将Web服务器放到防火墙外面。这种配置方式主要是为了保护内部网络的安全,虽然Web服务器不受保护,但内部网处于良好的保护之下,即使外部攻击者进入了该Web站点,而内部网络仍然是安全的,这时Web服务器为了保护内部网络会做出一定牺牲。虽然防火墙在这种配置中对Web业务服务器并未起到一点保护作用,但是,可以通过系统软件和操作系统自身的病毒检测和安全控制功能来对Web服务器进行防护。
5.2.2 加密技术
电子支付在开放性的Internet上进行,大量的数据需要在网上传输,其中包括订单、支票、信用卡密码、身份证明等敏感信息,如果这些信息在Internet传输过程中被窃取、篡改,势必会影响到电子支付的正常进行,甚至会给用户带来巨大的损失。为了保护电子支付中隐私数据的安全,就需要应用到加密技术,以防止敏感信息被外部获取,加密技术是确保电子支付中数据安全性、真实性和完整性的重要手段。
加密技术概述所谓的加密技术包括信息的加密和解密两个过程,任何一个加密系统至少包括明文、密文、算法和密钥四个部分。发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去;接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,由于他没有解密密钥,只能得到无法理解的密文,从而实现信息在合法用户之间的正确传送,避免机密信息被非法用户截获或篡改。其中,密钥和算法对于加密至关重要,为了保证密文信息更加安全可靠,需要经常更新算法,并增加算法的安全强度。密码算法的安全强度,在很大程度上依赖于密钥的安全保护。
根据密钥的性质划分,目前广泛使用的加密技术主要有两种:对称密钥加密技术和非对称密钥加密技术。
对称密钥加密技术
(1)对称密钥加密技术概述
对称加密是指发送方和接受方使用同一密钥对信息进行加密解密,如果一个加密系统的加密密钥和解密密钥相同,或者虽然不同,但可以由其中一个推导出另一个,则称为对称密码体制,对称密钥加密也称秘密密钥加密或专用密钥加密。
(2)对称加密应用原理
发送信息时,发送方A用密钥K对明文M进行加密得到密文E,并发送给接收方B,接收方B收到密文E后,用发送方A甲所给的密钥K对密文E进行解密,即可得到明文信息。如果没有密钥K,即使密文E在网络传输过程中被非法截获,也很难被破译,这样就保证了双方信息传输的安全。
非对称密钥加密是指加密和解密过程分别使用两个不同的密钥,即密钥被分解为一对,一把公开密钥和一把私有密钥。公开密钥通过非保密方式向他人公开,私有密钥要由用户自己妥善保存。用公开密钥加密的内容,可用私有密钥解密,用私有密钥对明文加密后,可用公开密钥解密,但由公开密钥是不可能推导出私有密钥的。公开密钥用于对机密信息的加密或验证数字签名,私有密钥则用于对加密信息的解密或对消息进行数字签名。公开密钥加密体制有以下两种应用。
(1)信息加密与解密发送方A用接收方B的公开密钥对明文M进行加密得到密文E,通过Internet发送给接收方B,接收方B以自己的私有密钥对密文进行解密,得到明文信息。用这种方法,将公开密钥作为加密密钥,私有密钥作为解密密钥,由于解密密钥只有接收方B自己知道,其他人即使截获密文E,也无法还原加密信息,因此可以实现由多个用户加密的信息只能由一个用户解读,这就保证了数据的机密性和完整性(2)身份认证发送方A用自己的私有密钥对明文M进行加密得到密文E,通过互联网将密文E发送给接收方B,接收方B用发送方A的公开密钥对密文E进行解密,得到明文信息。这种方式,以私钥作为加密密钥而以公钥作为解密密钥,可实现由一个用户加密的信息可由多个用户解读,这就是数字签名的原理。这样,就可以进行发送方的身份认证,提供抗抵赖性服务。
数字摘要在电子交易过程中,交易双方不仅要确保电子合同、电子支票、信用卡卡号密码等相关数据的保密性,而且还要确保数据在传输过程中没有被别人篡改,即保证数据的真实性,这就要应用到数字摘要技术,这一加密方法也被称为安全Hash编码法(SecureHashAlgorithm, SHA)。
数字摘要技术是发送方将需要加密的信息报文利用单向Hash函数进行处理计算,得到一个特殊的数字信息串,即数字摘要(又称为数字指纹),并将此摘要值与原始信息报文一同通过网络发送给接收者,接收者收到信息报文和数字摘要后,用相同的Hash函数处理收到的信息报文,得到新的数字摘要,比较两个数字摘要是否相同,若相同,则可以确定信息报文在传输过程中未被篡改,是真实完整的。这是因为,Hash算法具有如下特性:
①对输入的任何长度的信息报文,Hash能生成固定长度的数字摘要;②对不同的信息报文进行Hash算法,所得到的密文总是不同的;③同样的信息报文,其摘要必定一致;④从原始信息报文的变化不能推导出数字摘要的变化。
目前常用的Hash算法主要有安全散列算法SHA-1,MD5等。数字摘要过程。
5.2.3 数字签名技术
在传统的商业活动中,通常是利用书面文件的亲笔签名或印章来规定契约性的责任,而在电子支付活动中,则要通过“数字签名”来证实交易者身份与数据的真实性。数字签名是相对于手书签名而言的,也称为电子签名,是实现电子交易和支付的安全核心技术之一,它在身份认证、数据完整性、不可否认性以及匿名性等方面有着重要的应用。比如说,文件的制造者可以在文件上附加一个数字签名,电子商务实体也可以向对方发送自己的身份识别码、用户名、口令等身份信息的数字签名来进行身份认证。
数字签名概述数字签名(DigitalSignature)在ISO7498-2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据和变换允许数据单元的接收方用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收方)进行伪造。”
美国电子签名标准(DSS, FIPS186-2)对数字签名做了如下解释:“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者身份和数据的完整性。”
数字签名是基于加密技术的一种信息认证技术,所谓的数字签名就是在要发送的信息报文上附加一小段只有信息发送者才能产生的,别人无法伪造的特殊个人数据标记,起到传统上手书签名或印章的作用,既证明了信息报文是由真正的发送者发送过来的,同时解决了信息报文传送与交换后的不可否认性与完整性。
数字签名的原理数字签名利用了公开密钥加密技术和数字摘要技术,它的实现原理是:报文的发送方A对原始信息报文采用特定的算法(如Hash)进行运算,得到一个固定位数的散列值(或称为报文摘要),发送方A用自己的私有密钥对这个报文摘要进行加密,形成发送方A的数字签名,然后将这个数字签名与原始信息报文附加在一起,发送给接收方B,这是发送方A的签名过程。
接受方B收到该数字签名后要对该签名进行验证,首先从接收到的原始信息报文中计算出报文摘要,接着再用发送方A的公开密钥对A的数字签名进行解密,如果两个报文摘要相同,那么接收方就能确认该数字签名是发送方A的。
因为接收方B能够用发送方A的公开密钥对数字签名进行解密,所以可以确定该数字签名是发送方A产生的,这样就验证了发送者的身份,同时发送方A就不可抵赖了;接受方B计算出来的报文摘要如果和发送方A发来的报文摘要是相同的,接收方B就可以确认该发送方A发送的消息在传输过程中未被篡改,因为原始信息报文不同,所得到的报文摘要也不同,但对相同的信息报文,它的报文摘要是唯一的。因此,数字签名能够实现原始信息报文的完整性和不可抵赖性。数字签名过程。
特殊的数字签名在电子支付交易中还有很多种其他特殊的签名,如双重签名、多重签名、代理签名、盲签名、群签名、门限签名等,在此我们只简单介绍其中有代表性的三种。
(1)双重签名
双重签名技术是为了解决电子交易中三方之间信息传输的安全性问题。在电子交易过程中,消费者对支付信息和订单信息分别进行签名,使商家只能对用户的订单信息解密,而看不到支付信息;金融机构则只能对支付和账户信息解密,看不到订单信息,这样就充分保证了消费者的账户和订货信息的安全性。目前支持银行卡网上支付的SET安全协议就采用这种双重数字签名的方法。
双重签名的实现步骤如下:
①发送方A将发送到接收方甲的报文信息1生成报文摘要a;②发送方A将发送到接收方乙的报文信息2生成报文摘要b;③发送方A将报文摘要a和报文摘要b连接起来,再次进行Hash运算,得到报文摘要c,即双重报文摘要;④发送方A用自己的私有密钥对报文摘要c进行数字签名,得到双重数字签名;⑤发送方A将双重数字签名、报文信息1(可以用接收方甲的公钥加密,以保证机密性)和报文摘要b一起发送给接收方甲;⑥发送方A将双重数字签名、报文信息2(可以用接收方乙的公钥加密,以保证机密性)和报文摘要a一起发送给接收方乙;⑦接收方甲收到信息后,对报文信息1进行相同的Hash运算后得到一个新的报文摘要,把这个报文摘要与收到的报文摘要相连接,再次使用Hash运算,最终得到一个双重数字摘要;用发送方A的公开密钥对接收到的双重数字签名进行解密,与新生成的这个双重数字摘要相比较,若一致,则可以确认信息发送方的身份,而且保证了信息在传输过程中未被修改。
⑧同理,接收方乙收到信息后,对报文信息2(用接收方乙的私钥解密后的)进行相同的Hash运算后得到一个新的报文摘要,把这个报文摘要与收到的报文摘要相连接,再次使用Hash运算,最终得到一个双重数字摘要;用发送方A的公开密钥对接收到的双重数字签名进行解密,与新生成的这个双重数字摘要相比较,若一致,则可以确认信息发送方的身份,而且保证了信息在传输过程中未被修改。
(2)代理签名
代理签名是于1996年由Mambo、Usuda和Okamoto提出来的,它是指在原始签名者和代理签名者之间的相关法律协议下,被指定的代理签名者可以代表原始签名者生成有效的数字签名。代理签名的目的是当签名授权人因公务或身体健康等原因不能行使签名权力时,可以将签名权委派给其他人替自己行使签名权。根据代理权限的大小,可以将代理签名分为完全代理签名、部分代理签名和有授权书的代理签名;根据代理签名密钥是否由原始签名人产生,可以将代理签名分为未对代理人提供保护的代理签名和对代理人提供保护的代理签名。
(3)盲签名
盲签名的概念是1982年由DavidChaum提出来的,简单地说,盲签名是一种特殊类型的数字签名,一般数字签名的情况是签名者知道所签署的信息报文的内容,而在盲签名中,先由信息报文拥有者对原始信息进行盲化,然后发送给签名者,签名者对盲化后的信息进行签名并返还给信息报文拥有者,最后由信息报文拥有者去除盲化因子,得到签名者对原始信息报文的签名。
DavidChaum曾给出了关于盲签名直观的说明:就是先将要隐蔽的文件放入信封,再将一张复写纸也放入信封,签名的过程就是签名者将名字签在信封上,他的签名便透过复写纸签到了文件上,文件拥有者拆开信封,即可得到签名者的签名。
盲签名要使签名的信息报文对签名者保密,在认证的同时而不泄漏信息报文的内容,这是它的显着特性,适应了许多商务活动的保密性需求,因此在合同公证、电子货币、电子支付、电子投票系统中得到了广泛的应用。
5.2.4 身份识别技术
身份识别技术是指系统对通信用户或终端个人的身份进行确认的技术,是用户获得系统服务所必须通过的第一道关卡。身份识别技术是安全电子支付领域的一个重要方面,目前常用的身份识别技术可分为如下几种模式:基于口令的身份识别、基于物理证件的身份识别和基于生物特征的身份识别等。
基于口令的身份识别
(1)用户名/密码技术用户名/密码属于静态口令技术,是最简单也是最常用的身份识别技术。系统为每个合法用户建立一个用户名/密码,每个用户名相对应的密码是由这个用户自己设定的,只有他自己才知道,每次登录系统时,只要用户输入的用户名和密码与系统内已有的用户名和密码相匹配,那么身份就得到了认证。
但实际应用过程中,许多用户为了防止忘记密码,经常采用诸如自己或家人的生日、电话号码等容易被他人猜测到的有意义的字符串作为密码,或者把密码抄在一个自己认为安全的地方,这都存在着许多安全隐患,极易造成密码泄露;即使能保证用户密码不被泄漏,由于密码是静态的数据,在验证过程中需要在计算机内存中和网络中传输,而每次验证过程使用的验证信息都是相同的,所以很容易被木马程序或监听设备截获;除此以外,用户的口令一般较短,极易被重放攻击和字典式的暴力攻击所破解,因此,用户名/密码方式是一种极不安全的身份认证方式。
(2)一次性口令技术20世纪80年代初,针对静态口令认证的缺陷,美国科学家Lamport首次提出了利用单项散列函数产生一次性口令(OneTimePassword,简称OTP)的思想。它属于动态口令认证技术,其基本原理是在登录过程中加入不确定因素,使每次登录过程中计算所得的密码都不相同,系统接收到登录口令后,以同样的算法做一个验算即可验证用户的身份。一次性口令技术可以有效避免在线口令窃听,有效保护了用户身份的安全性。
一次性口令的实现机制主要有两种:
①挑战/应答(Challenge-Response)机制目前,挑战/应答机制使用最多。在挑战/应答方式下每一个用户都持有相应的挑战/应答器,应答器内存储着该用户本人的秘密密钥和应答算法,用户登录时,认证服务器随机产生一个挑战信息发给用户,用户将该挑战信息输入挑战/应答器,应答器利用内置的秘密密钥和应答算法计算出相应的应答数,用户将该应答数上传回系统,认证服务器根据用户在其中保存的秘密密钥和相同的应答算法计算出自己的应答数,并与用户传过来的应答数相比较,以确定登录者是否合法。
由于用户的秘密密钥不同,所以即使挑战信息相同,产生的应答信息也不相同;况且认证服务器每次发送的挑战信息不同,所以应答信息也不相同,因此不用担心应答信息被非法获取。
②时间同步(TimeSynchronization)机制时间同步机制以用户登录的时间作为随机因素,每一个用户都持有相应的时间同步器,同步器内置了时钟、用户的秘密密钥和加密算法,同步器每隔一分钟就自动生成一个新的动态口令。登录时用户将同步器当前的动态口令上传给认证服务器,认证服务器根据当前的时间,结合该用户的秘密密钥和加密算法,计算出该用户当前的动态口令,两者相比较来进行核对。
由于同步时钟的存在,在同一时刻,用户和认证服务器可以计算出相同的动态口令,又由于每个用户的秘密密钥互不相同,不同用尸即使在同一时刻产生的口令也互不相同,因此该口令只在当时有效,不用担心被窃取。
这种方式对双方的时间准确度要求较高,一般采取分钟为时间单位,对时间误差的容忍可达正负一分钟,但是如果用户端与认证服务器端的时间不能保持良好的同步,就可能发生合法用户无法登录的问题。
基于物理证件的身份识别基于物理证件的身份识别是一种将授权用户的持有物与密码结合使用的双密技术,物理证件(智能卡、USBKey)在此相当于钥匙,携带方便。
(1)智能卡
智能卡是一种内置集成电路的卡片,卡片中存有与用户身份相关的数据,可以存储用户的私有密钥和口令,也可以在卡内进行加密运算。智能卡使用PIN(个人识别码)保护技术,使用时,用户将智能卡插入专用的读卡器,然后输入正确的PIN,如果连续输入错误(可设定,一般为三次),智能卡会自动锁定,防止猜测口令式的攻击。
然而由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息;况且,还可能存在着盗窃冒用他人的智能卡,以企图冒充合法用户进入系统的情况,因此,这种方法存在着一定的安全隐患。
(2)USBKey
①USBKey原理USBKey采用软硬件相结合的一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种使用USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的加密算法实现对用户身份的认证。
基于USBKey的身份识别是近几年流行的一种方便、安全、经济的身份识别技术,由于其体积一般较小,能够像普通钥匙一样随身携带,同时具有USB接口的热插拔和即插即用特性,可以像钥匙一样使用,因而又被称为密码钥匙。北京飞天诚信科技有限公司于2000年推出了国内第一款USBKey产品epass。
②USBKey使用流程使用USBKey进行身份识别的基本流程如下:用户将USBKey插入PC, PC检测到USBKey插入后,要求用户输入USBKey的PIN码,若PIN错误,就进入系统设定的出错处理程序(如退出系统、锁定系统或自动报警等),若PIN正确,则PC向服务器发出一个认证请求,服务器接到认证请求后,生成一个随机数并通过网络传输给PC, PC将收到的随机数提供给USBKey, USBKey使用该随机数与存储在其中的用户密钥进行消息认证码(MAC)运算,将得到的结果传递给PC, PC将此结果作为认证证据传给服务器,同时,服务器也使用该随机数与存储在服务器数据库中的该用户密钥进行MAC运算,如果服务器的运算结果与PC传回的结果相同,则认为该用户是一个合法用户。
③USBKey安全性能使用USBKey进行口令认证可以极大地提高系统的安全性,它将传统的单一身份认证方式扩展为对设备的认证与对用户身份的认证两个层面,入侵者即使获得了PIN码,由于没有相应的USBKey,就无法侵入系统;即使USBKey被窃取,入侵者没有PIN码也不能正常使用USBKey。
基于生物特征的身份识别基于生物特征的身份识别是指通过检查每个人的生理或行为特征来确认身份,因为每个人的生理或行为特征都是独一无二的,所以它比传统的身份认证方法更为可靠。
常用的基于生物特征的身份识别方法包括人脸识别、虹膜识别、指纹识别、掌纹识别、语音识别、手写签名识别等诸多种类,其中虹膜识别和指纹识别是最可靠的基于生物特征的身份识别技术。
5.2.5 防病毒技术
对于电子交易支付中的用户来说,减少因病毒破坏所带来损失的最佳策略是防患于未然,所以我们必须采取有效措施,尽最大可能地防止计算机感染病毒。目前流行的防病毒技术主要有以下几种:
病毒码扫描技术该技术是利用病毒留在受感染文件中的病毒特征值进行检测,发现新病毒后,对其进行分析,根据其特征编成病毒码,加入到数据库中。今后在执行查毒程序时,通过对比文件与病毒数据库中的病毒特征代码来检查文件是否含有病毒。
对于传统病毒来说,病毒码扫描技术速度快,误报率低,是检测已知病毒的最简单、开销最小的方法,被目前大多数反毒产品所采用;但是,随着病毒种类的增多,特别是变形病毒和隐蔽性病毒的发展,病毒扫描码技术就不能准确报警了。
主动内核技术主动内核技术改变了传统的被动防御理念,是指将实时防毒墙、宏病毒分析器等已经开发出来的各种防病毒工具组合起来嵌入到操作系统和网络系统内核中,从安全的角度对系统或网络进行管理和检查,对系统漏洞进行修补,任何文件在进入系统之前,作为主动内核的反毒模块都将首先使用各种手段对文件进行检测处理。
虚拟机技术虚拟机技术是国际防病毒领域的前沿技术,这种技术更接近于人工分析,智能化程度和查毒准确性都非常高。虚拟机技术防病毒的原理是:用程序代码虚拟一个系统运行环境,包括虚拟内存空间、CPU寄存器以及硬件端口,用调试程序调入可疑带毒样本,将每一条语句放到虚拟环境中执行,这样的一个虚拟环境就是一个虚拟机,我们可以通过内存、寄存器以及端口的变化来了解可疑带毒样本的运行情况,以此来判断它是否有毒。
虚拟机技术改变了过去我们拿到可疑样本后不敢直接运行,而必须通过跟踪它的执行,来查看其是否带有破坏、传染模块的状况。不过,虚拟机运行速度太慢,大约会比正常程序执行的速度慢几十倍甚至更多,所以事实上我们无法虚拟执行可疑样本的全部代码,个别反病毒软件选择了虚拟执行可疑样本代码段的前几K个字节,其查出概率已高达95%左右。
实时反病毒技术实时反病毒技术一向为反病毒界所看好,被认为是比较彻底的反病毒解决方案,其宗旨就是对系统实施实时监控,对流入、流出系统的数据中的可疑代码进行过滤,解决了用户对病毒的“未知性”问题。
实时反病毒技术是先前性的,而不是滞后性的,任何程序在调用之前都先被过滤一遍,一旦有病毒侵入系统,它就会自动检测并清除病毒;它能阻止病毒从网络向本地计算机系统入侵;同时保证了本地系统不会向远程资源传播病毒,比如在用户发出邮件前自动将其中可能含有的病毒过滤掉。相对于在病毒入侵以后再去采取措施来挽救的做法,实时反病毒技术的安全性更高,但是它需要占用一部分系统资源而降低系统性能。
