网络消费用户身份安全

网络消费用户身份安全

　　网络消费用户身份安全【1】

　　摘要：网络消费用户身份安全包括用户口令保护、用户身份验证和用户资料安全三个方面。

　　网络消费最常用的用户身份验证机制就是用户名/密码身份验证，网络消费过程中使用的用户名、密码容易被黑客窃取，因此网络消费者要非常注意对密码的保护。

　　数字证书则提供了更为安全的身份验证机制，采用数字证书，不仅保证了用户信息的安全性和完整性，而且保证了用户身份的不可抵赖性。

　　电子商务网站则可以从用户信息收集、信息使用和安全控制三个方面对网络消费用户资料进行严格的保护。

　　关键词：网络消费，用户身份，安全

　　随着互联网的迅速发展，网络消费已成为当今比较热门和时髦的话题。

　　根据中国互联网络信息中心(CNNIC)于2012年发布的统计报告，网络购物位列十大网络应用之一，这标志着以网络购物为代表的网络消费已经占据比较重要的地位。

　　一、用户口令保护

　　网络消费者在开始网络购物前，必须先进行新用户注册。

　　用户注册就是为了获得一个在网络上有效、合法的身份。

　　在传统的消费购物过程中，交易的对象、交易的身份非常明确，而基于互联网的网络消费由于互联网的全球开放性，使得参与交易的双方首先都迫切地需要确认对方的身份。

　　因此用户身份验证也是网络消费一个比较重要的问题。

　　网络上最简单和最常用的用户身份验证机制就是用户名/密码身份验证。

　　每个电子商务网站的用户注册界面都大同小异，对于不同的网站，有些信息是用户注册时必须要填的，有些信息是可选的。

　　这些注册信息中最重要的就是用户名和用户密码，其中用户名是用户登录时使用，必须是字母和数字的组合，最好是简单易记的名字，但不能与其它的已注册的登录名重复。

　　用户密码也是登录时使用，可以是数字和字母的组合，但是要注意密码设置的安全性，最好不要用姓名、生日等容易被猜出的词作为密码。

　　用户名和用户密码设置好后一定要记住名字和密码，特别是不太常用的用户名和密码最好在一个安全的地方用笔记录下来，以免时间长了忘记用户名和密码，从而带来一些不必要的麻烦。

　　有了用户名和密码，还不能完全保证网络消费的安全，因为就目前的黑客技术来说，用户名和密码的盗取对黑客不是一件有难度的事情。

　　黑客盗取密码的方法有很多，最原始的方法，如果用户的密码设置缺乏安全性，可能会轻易地被“字典攻击”破解密码。

　　“字典攻击”就是通过编写一段应用程序，由应用程序根据一定的规律，自动地去反复尝试不同的密码，强行破解用户密码。

　　因此，为了增强安全性，现在通过网络输入密码时往往会要求输入校验码，校验码是一个随机产生的数字或字母，校验码的字体很特殊，只能肉眼识别，这样就可以防范通过应用程序反复尝试密码的字典攻击的方式。

　　第二种窃取密码的方法需要借助一些通用的网络工具，比如说有的黑客通过FTP、TFTP和Telnet等网络工具，可以搜集用户帐户资料、获得口令文件，然后黑客对收集到的口令文件进行解密来获得密码。

　　第三种窃取密码的方法更为高明，比如说黑客可以编写一些看起来“合法”的.软件，将这些软件上传到一些站点或是提供给某些下载网站，诱导用户下载。

　　当一个用户下载其它软件时，黑客的软件会随正常的软件一起下载到用户的计算机。

　　黑客软件进入到用户的计算机后，会自动运行、跟踪用户的键盘操作，记录用户输入的每个密码，然后把它们发送给黑客指定的邮箱，从而窃取了用户的密码。

　　既然密码窃取是一种常见的网络攻击方式，黑客可以通过破解用户密码入侵用户系统，因此网络消费者要非常注意对密码的保护，特别是在设置密码时不能简单了事。

　　据统计，计算机系统被入侵的主要原因是密码被猜出。

　　在互联网上，通常导致密码被猜破的原因都是由于大意造成的。

　　为确保用户密码的安全，设定密码时应注意一些基本要点。

　　比如说：短的密码易被猜出，8个或更多字符相对较为安全;不要使用词典中的单词作为密码;混用数字和字母;至少包括一个大写字母和一个小写字母;确保密码不是与企业有关联的单词或缩写;至少每两个月更换一次密码等等。

　　二、数字证书身份验证

　　有了用户名和密码，仍不能完全保证用户身份的合法性。

　　因为象电脑病毒、木马程序、网络钓鱼等形形色色的网络威胁，让消费者在网络消费填写用户名、密码时非常不放心，担心被破解。

　　传统的用户名加密码的身份认证方式已不能适应网络消费经济的快速发展，也成为了网络消费的主要障碍之一。

　　数字证书的出现就是为了消除这些障碍。

　　当前，网络消费最典型的身份认证办法就是交易双方都事先从一个大家都信任的，交易方以外的被称为认证中心的第三方机构获得自己的数字证书。

　　数字证书是一个经权威的认证机构数字签名的包含用户身份信息以及公开密钥的电子文件，是用电子手段来证实一个用户的身份和对网络资源访问的权限，是各实体(消费者、商户/企业、银行)在网上进行信息交流及商务活动的电子身份证。

　　数字证书可以在互联网上识别不同用户并且加密传输数据，并能根据用户的身份给予相应的网络资源访问权限。

　　在网络消费过程中，消费者、商务伙伴、企业和金融机构之间都可以通过数字证书来确认彼此的身份，若交易双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方的身份真伪担心。

　　同时，数字证书类似于电子身份证，当消费者在网络消费过程中，只有当用户名、密码与消费者的数字证书一致时，才会交易成功。

　　由于数字证书是安装在消费者的机器上，而且与消费者的用户账号唯一对应，因此，即使别人窃取消费者的用户账号和密码，由于没有消费者的数字证书，仍不能冒用消费者账户进行操作，这种身份和账户双重认证方式，安全性比传统的身份认证方式有了大幅提高。

　　在网络消费过程中，数字证书的发放和管理都不是交易的双方自己能完成的，而需要有一个具有权威性和公正性的第三方来完成。

　　认证中心(Certification Authority)就是法律承认的权威机构，负责发放和管理电子证书，目的是使网上交易的各方能相互确认身份，从而保证网上交易的安全性。

　　由于银行经常要参与到电子商务交易当中去，因此，一些银行机构已经开始逐步充当起这种被信任的第三方角色，由银行来发放数字证书、向交易双方提供数字签名等。

　　网络安全中身份认证技术【2】

　　摘 要：由于现代科技的快速发展，现代社会已进入网络时代。

　　网络的出现以及广泛应用给人们的生活以及工作都提供了很大方便，使工作效率得到很大提高。

　　然而网络安全问题也是网络技术应用过程中不得不去面对的，身份验证技术在网络安全保护中的应用使得网络的安全性在一定程度上得到了解决。

　　关键词：网络安全;身份认证技术;应用

　　1关于身份认证技术的认识

　　1.1以口令为基础的认证方式

　　对于传统认证技术来说，它所使用的主要是以口令为基础的认证方法。

　　这种方法相对比较简单，系统事先对每一个用户所拥有的二元组信息进行保存，当用户进入系统内的时候，将自己的ID以及有关PW输入进去，系统自动将所保存的信息与用户所输入的信息进行比较，从而对用户的身份合法性进行判断。

　　这种认证方法所具有的有点就是：一般的系统中都对口令认证提供支持，因此对于封闭小型系统来说，这是一个简单可行的很好的方法。

　　然而用户在选择口令的时候一般都是姓名或者是生日，这种口令是很容易你破解的，这样一来就存在很大的不安全性。

　　口令是以明文的形式在网络中进行传输的，所以攻击者通过搭线的方式很容易就可以获得口令。

　　此外，攻击者还可能会根据系统中的漏洞来获得系统中所保存的用户文件，因此存在很大的不安全性。

　　为了将技术安全性提高，一般在进行保存以及传输的时候都要用密码算法来进行加密，但这对于重传以及假冒攻击也是没有办法进行抵抗的。

　　1.2以物理证件为基础的认证方式

　　这种方式是利用用户的某种特有东西来得以实现的。

　　所使用的物理证件主要有智能卡以及USB Key等。

　　利用智能卡能够对硬件进行加密，其安全性比较高。

　　以智能卡为基础的认证方式将用户所知以及用户所有两种方式进行了结合。

　　在物理证件中存入用户信息，将用户事先进行选择的某个随机数据存入到AS中，用户在对系统资源进行访问时，在输入ID以及口令之后，系统先对智能卡的合法性进行判断，然后利用智能卡来对用户身份进行鉴别，若用户身份是合法的，之后再将智能卡中所保存的随机数据送给AS来进行进一步认证。

　　2一次性口令认证技术

　　2.1技术特点以及设计思想

　　所谓一次性口令就是将身份代码以及某一种不能确定的因素当做是密码算法输入参数。

　　利用算法的变换得到一个变化结果，并且将这个结果当作是用户进行登录的口令，在认证服务器端利用与之相同的计算方法来计算，并且要将其与用户登录口令匹配，如果是合法的就对其登录接受。

　　这种一次性口令，是不重复的，并且是不断变化的，另外，用户不需要来记忆，一个口令只能够有一次使用权利，是拒绝重复使用的。

　　2.2实现技术的方式

　　从目前情况来看，一次性口令认证技术得以实现的方式主要有四种：

　　第一，Lamport方式，这种方式也叫做哈希链方式。

　　在初始化阶段的时候，选择一个迭代数N与口令PW，并且还要选择一个单向的散列函数F，计算方式就是Y=Fn(PW)，在计算出结果之后，要将Y以及N的值全部在服务器上保存。

　　在用户端对Y/=Fn-1(PW)进行计算，然后将其向服务器提交，在服务器中进行的计算是Z=F(Y/)，最后服务器比较Z值与保存在服务器上的Y/。

　　若两者的值是相等的，就说明验证成功，然后用Y/服务器中的Y值取代，同时要将N值递减1。

　　利用这种方式，用户每次在服务器段进行登录的时候都会有不同口令。

　　这种方案的实现是很容易的，并且是不需要特殊硬件支持的。

　　但是它的安全性是依靠单向散列函数来实现的，最好是不要在分布式网络环境中使用。

　　第二，时间同步方式。

　　在这种方式中，每一个用户都有一个相应时间同步令牌。

　　时钟，加密算法以及种子密钥都放置在令牌内。

　　这种令牌依据当前的时间以及种子密钥在每一分钟内都有一个一次性口令生成。

　　当用户对系统进行访问时，将所生成的口令向认证服务器传送。

　　服务器利用种子密钥的副本以及当前时间将期望输出值计算出来，以此来验证用户，若能够相匹配，就能够通过登录。

　　这种方式的关键就在要保持认证服务器及令牌时钟的同步。

　　第三，挑战应答方式。

　　在这种方式中，每一个用户要持有相应挑战应答令牌。

　　同样在令牌内放置有种子密钥以及加密算法。

　　用户在对系统进行访问时，会有一个挑战数据在服务器中随机生成，并且将这个数据向用户发送，用户将收到的数据输入到令牌内，令牌再根据内部的加密算法以及种子密钥要与之相应应答数据计算出来。

　　用户再将该应答数据向服务器上传。

　　服务器再将相应应答数据计算出来，将其与用户上传数据进行比较，从而进行验证。

　　从目前情况来看，这是最有效的一种方式。

　　第四，异或运算方式。

　　这种方式是将一些比较简单的运算和散列运算进行相应结合，认证双方利用这些运算方式来对双方所交换认证数据进行计算，从而来进行验证。

　　这种方式所具有的特点就是设计比较简单，运算量比较小，并且在实施时成本也较低。

　　3结语

　　网络安全是网络运行中必须要解决的一个问题，是保证网络正常运行的前提。

　　在网络安全中运用身份认证技术对其安全性提高有重要作用，能够保证网络安全运行，促进网络技术发展。

　　参考文献

　　[1]李俊林.身份认证技术在网络安全中的应用[J].电脑编程技巧与维护，2013(2)

【网络消费用户身份安全】相关文章：

软件设计中用户身份的认证方法03-12

城市感知网络身份认证03-12

网络文学出版与消费主义07-07

加强用户安全用电管理的探讨02-23

基于女性消费特点的网络营销对策05-26

大学生网络消费情况调查报告11-17

信息安全网络安全与网络空间安全分析论文03-21

消费者主导下的企业网络营销对策02-16

大学生网络消费情况的调查报告10-14