正如 CERT/FBI 调查表明的那样,大多数的组织凭借多种技术来保证他们网络的安全。这 些技术可以被分成两种:一种是用来保护网络的通信安全,一种是用来保护网络上的服务器 和客户机的安全。
6.5.1 身份认证
通过将某人所了解的信息和它所有物相结合可以达到较强的安全性。这就是被称为双因素 身份认证的技术。证书资格可以作为某人的所有物。证书可以有各种形状、形式和大小。被 动证书是包含有密码的存储设备。最常见的被动证书是带有隐藏密码磁条的塑料卡。用户将 被动证书插入连接到个人计算机或工作站的读卡器中,然后输入密码,就可以访问网络了。
主动证书通常是能够生成一次性密码的小的单机电子设备。在这种情况下,用户将个人身 份号码输入证书,证书就生成只对一次登录有效的密码,然后用户使用这个一次性密码登录 到系统中。ActiveCard 和 Cryptocard 公司就生产这种主动认证设备。
生物特征识别系统
双因素身份认证也可以基于某人本身。指纹扫描器、虹膜扫描器、面部特征识别系统和 语音识别都是生物特征识别系统的代表。这些系统可以通过人们身体的特征来实现对人的识 别。
生物特征识别有两种来源——生理特征和行为特征。生理特征识别技术基于直接对身体 不同部位的测量(如扫描指纹、虹膜、手形和面部特征);相比之下,行为特征识别技术则是 基于各种行为和间接基于身体各部位(如语音扫描或按键监控)。
在实际应用中,生理特征识别比行为特征识别更加常见。在生理特征识别技术中,指纹 扫描、虹膜扫描和面部特征识别最为常用。
指纹扫描 指纹以指尖底部不同的“中断了平滑褶皱流的不连贯物” (Keroeker 2002)为特 征。褶皱末端、点和槽(褶皱之间的空隙)是这种不连贯物的代表。在指纹扫描中,使用特 殊的算法来将扫描的不连贯物转换成一组数据以用作模板。两个人有相同模板的机率是十亿
分之一。
虹膜扫描 虹膜是围绕在瞳孔周围的彩色部分。虹膜有大量特有的斑点,这些斑点可以被 放置在距离眼球 3 到 10 英寸处的照相机捕捉到。一种特殊的算法可以在一秒钟内将虹膜扫描 结果转换成一组数据。这些数据被用来创建虹膜扫描模板,在虹膜扫描中,照相机将扫描的 结果和模板数据进行比较以确认人们的身份。任何两个人具有相同虹膜模板的机率小于他们 拥有相同指纹模板的机率。
语音扫描 不同的两个人所发出的声音在生理特征方面的不同会产生不同的声音模式,这 种声音模式可以被转换为模板应用在语音扫描中。在大多数的语音扫描系统中,用户对着麦 克风或电话说话,说话的内容通常是用户的系统账号或密码。如果用户想要再次访问系统,
只需要重复这些内容。验证语言扫描需要花费 4 到 6 秒的时间。
按键监控 这种生物技术还在发展中。按键监控是基于一种假设,即假定不同的用户键入 单词的方式不同。键入单词的压力、速度和节奏通过一种特殊的算法被转化为一组数据,用 以建立按键模板。而且,大多数这种系统用到的单词是用户的系统账号和密码。当用户想要 访问系统时, 用户只要简单地敲入他们的系统账号和密码即可。系统会检查敲击的压力、速 度和节奏,以和数据库中的模板进行比较。这种系统的主要问题是,用户在不同时期按键方 式本身也有太多的可变性。
6.5.2 公钥基础设施
认证的技术发展水平依赖于公钥基础设施(PKI)。PKI 已经成为安全电子支付的奠基石。
PKI 指的是技术组件、基础设施和应用,这些应用可以使网络应用所必须的公钥加密、数字签 名和数字证书的使用成为可能。PKI 也是许多诸如 SCM、VPN、安全电子邮件和内联网的网 络应用的基础。
(1) 私钥和公钥加密
PKI 的核心是加密。加密是采用一种方法来改变或杂凑(加密)数据的过程,这种方法对 于非授权用户来说,解密数据将是非常困难、昂贵或耗时的。加密由四个基本部分组成:明 文、密文、加密算法和密钥。
主要有两类加密系统:对称系统——只有一个密钥,和非对称系统——有两个密钥。
(2) 对称密钥(私钥)系统
在对称密钥(私钥)系统中,使用同样的密钥来加密和解密明文。文本的发送者和接收 者共享同样的密钥,而对其他人保密——因此称为密钥系统。
多年来,DES 算法是美国政府机构支持的标准对称加密算法。2000 年 10 月 2 日,国 家标准与技术研究院宣告 Rijndael 取代了 DES,成为新的高级加密标准来保护美国政府通信 安全。
(3) 公钥(非对称)加密
想象使用单密钥加密来购买特定 Web 服务器上的物品。如果销售者的密钥分发给数千个 购买者,那么密钥就不再是秘密了。这时公钥加密就起作用了。公钥加密使用一对匹配的密 钥——可以公开给他人的公钥和只有拥有者才知道的私钥。如果信息用公钥加密,那么就要
使用相应的私钥来解密信息。例如,如果一个人要发送订单给一个公司,并要求订单内容保 密,那么他就可以使用公司的公钥来加密信息。当公司接收到订单时,就使用相关的私钥来 解密信息。
最常用的公钥加密算法是 RSA。RSA 使用长度在 512 到 1024 位之间的密钥。公钥加密的 主要问题是速度。对称加密算法比非对称算法快得多。因此,公钥加密不能有效地用于大量 数据的加密。实际上,通常采用对称和非对称加密的组合来加密信息。
(4) 数字签名
在网络世界中,人们如何确保信息确实来自于想发送消息的人呢?也就是,如何确保发 送消息的人不能抵赖?
数字签名是答案的一部分,数字签名是不可伪造的个人签名的电子等价物。数字签名是 基于公钥的。数字签名用来证明消息或文档发送者的身份,同时,他们还被用来确保电子消 息或文档的原始内容没有被改动。数字签名在网络上还有其他的好处。数字签名易于传输、
不易否认或模仿,还可以打上时间戳。
(5)数字证书和认证中心
如果必须知道某人的公钥才能给他发送信息,那么公钥从何而来,如何认定那个人的真 实身份呢?数字证书可以证明公钥和私钥的持有者是他所声称的那个人。被称为认证中心的 第三方来签发数字证书。一份证书包含持有者的名字、有效期、公钥信息和证书数字签名的 哈希数据(也就是使用认证中心的私钥签名的经过哈希算法的证书内容)。证书被用来认证 Web 站点(站点证书)、个人(个人证书)和软件公司(软件发布者证书)。
有很多第三方认证中心。VeriSign(versign.com)是最著名的的认证中心。它签发三类证书:
第一类是证明电子邮件确实来自于用户的地址。第二类是在商业信用数据库中核查用户的身 份。第三类是要求证明文件。像微软这样的公司提供有允许企业签发私有内部证书的系统。
(5) 安全套接层
如果普通的用户必须理解如何使用加密、数字证书、数字签名、等,那么在网上就不会 有安全的交易了。幸运的是,很多这类的问题已经由 Web 浏览器和 Web 服务器以一种透明的 方式处理了。假定许多国家的不同公司、金融机构和政府都参与到电子商务中,有必要为安 全的电子商务制定广泛接受的协议。今天使用的主要协议之一是安全套接层,也称为传输层 安全。
安全套接层由网景公司发明,用来使用标准证书和数据加密来确保私密性和机密性。SSL 已成为事实上的标准,微软和网景提供的浏览器和服务器采用这种标准。1996 年,SSL 更名 为传输层安全,但许多人依然使用 SSL 这个名字。它是在线信用卡支付的主要标准。
SSL 使用户在 Web 服务器和 Web 浏览器之间加密信用卡和其他传输内容成为可能。就信 用卡交易来说,网上购物要比简单地传输加密过的信用卡号给零售商要复杂的多。号码必须 做有效性检查,消费者的开户行必须认可这个信用卡,订单必须被处理。SSL 并非设计用来处 理除传输卡号之外的任何步骤。