智能卡技术在电子商务中的应用
1 电子商务中智能卡技术的典型应用
1.1 客户端身份认证
网络使人们可以很容易地突破地域、种族等各种限制而进行相互交流。人们可以在网上从事和参与各项活动,包括电子商务等。但同时在网上从事商务等活动也存在着许多问题,如“信任危机”。因此,如何在电子商务交易中确认参与者的身份,就成为首先需要解决的问题。
口令认证是目前对客户端进行身份认证所采取的最常用方式。如客户管理系统、会员制服务系统等。其一般做法是:首先在服务器端为请求认证者建立与用户ID和口令相对应的数据库,其中用户ID在数据库中是唯一的;然后当用户在客户端发起认证请求时,要同时提交ID和口令;服务器端通过查询数据库并与接收到的口令比较,可以对客户端进行身份认证。这种方式实现起来非常简单,但只能应用于安全性要求很低的场合,因为它的缺点也比较明显,主要表现在:
(1)不负责传输的安全性,口令字采用明码传输,容易被截获。
(2)对用户提出了较高的要求,如要求口令具备一定的长度、没有规律可循、容易记忆等,尽管这些要求有些是自相矛盾的。
(3)不能有效防止基于字典的穷举攻击或者通过分析用户背景进行口令猜测。
然而。使用智能卡就可以对这种方式进行改进,从而在保留实用性的基础上增加一定的安全性。通过USB接口的智能卡进行身份认证,即可提高系统使用的安全性和可移动性。
USB接口的智能卡亦被称为电子钥匙(Key),其体积小巧,形状类似U盘,便于使用者随身携带,并为重要信息的存放提供了功能丰富的应用软件支持。因此,将密码、信用卡号或其它安全认证信息存放于USB接口的智能卡中。其方便和安全性都将得到很大提高。同时,USB接口的智能卡还可进行电子邮件加密、数字签名、安全证书应用、安全网络登录和访问SsL安全网络等操作,为使用者提供身份认证和信息加密服务。
1.2 数字证书
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份。数字证书是由权威公正的第三方机构即CA中心签发的。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,从而确保网上传递信息的机密性、完整性以及交易实体身份的真实性和签名信息的不可否认性,保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),通过它进行解密和签名;同时拥有一把公共密钥(公钥),并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。这样,信息就可以安全无误地到达目的地了,即使被第三方截获,但由于其没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钒密码体制中。常用的一种是RSA体制。
从申请证书的过程可以看出。私有密钥是在智能卡内产生的,没有离开智能卡,从而可以保证私有密钥是安全的。使用智能卡存储数字证书和私有密钥.可以获得以下优势:
(1)便于携带和移动应用。智能卡的芯片镶嵌在一张名片大小的塑料卡片上,便于携带,可以在办公室、家庭或全球任何一台计算机上使用。
(2)私有密钥绝对安全。加密和解密运算在卡内完成,私有密钥不会被读入计算机的内存里。隐藏在计算机里的恶意程序可以窃取保存在硬盘上的私有密钥,却无法窃取存储在智能卡中的私有密钥。
(3)自动锁定保护。访问存储在智能卡内的证书和私有密钥,需要用户输人正确的PIN(个人识别码)。如果连续输入错误的PIN(可设定,一般默认次数为3次),智能卡将自动锁定。这种保护机制有效防止了口令猜测攻击。
(4)完全个人控制。智能卡很轻巧,可以装入口袋随身携带,使私有密钥总是处于个人控制之下,从而更加安全。
1.3 电子钱包
电子钱包具有多种形式,但其基本上可分为两类:一类是以智能卡作为电子钱包的电子现金支付系统。其可应用于多种用途,具有信息存储、电子钱包、安全密码锁等功能,安全可靠。并且可以在正确配置的POS系统上进行电子支付和消费。最典型的代表是Mondex卡;另一类是电子钱包软件,它能够存储货币值和重要信息,可以把各种电子货币、电子金融卡上的信息和数据以及电子信用卡输人到电子钱包内,并随时进行在线支付。但无论采取哪种形式,电子钱包往往都需要结合智能卡使用,电子钱包内只能装有电子货币,即智能卡、电子现金、电子零钱、电子信用卡和网络货币等。
使用电子钱包的客户在银行里通常都是有账户的。在使用电子钱包前,客户要向提供电子钱包的银行申请注册电子钱包,并利用电子钱包软件把自己的各种电子货币或电子金融卡上的数据输人进去,这样客户就可以用电子钱包进行支付了。
在电子钱包的购物过程中虽经过信用卡公司和商业银行等多次进行身份确认、银行授权、各种财务数据交换和账务往来等,但这些都是在极短的时间内完成的。实际上,从顾客输人订货单后开始,到拿到销售商店出具的电子收据为止的全过程仅用5~20秒的时间。这种电子购物方式十分省事、省力、省时,而且对于顾客来说,整个购物过程自始自终都是十分安全可靠的。由于顾客的信用卡上的信息别人是看不见的,因此保密性很好,使用起来十分安全可靠。另外,由于有了电子商务服务器的安全保密措施,就足以保证顾客去购物的商店必定是合法,而不会是假冒的,从而保证了顾客能安全可靠地购到货物。总之,这种购物过程彻底改变了传统的面对面交易和一手交钱一手交货等购物方式,是一种很有效且非常安全可靠的电子购物过程,是一种与传统购物方式根本不同的现代高新技术购物方式。
2 智能卡技术在电子商务应用中存在的问题与对策
2.1 安全隐患
智能卡技术在电子商务应用中存在的安全问题主要有:①智能卡和接口设备之间的信息容易被盗取;②智能卡和接口设备之间流通的信息可以被截取分析,从而可被复制或插入假信号;③模拟智能卡(或伪造智能卡);④模拟智能卡与接口设备之间的情息,使接口设备无法判断出是合法的还是模拟的智能卡;⑤在交易中更换智能卡;⑥在授权过程中使用的是合法的智能卡,而在交易数据写入之前更换成另一张卡。因此存在将交易数据写人替代卡中的问题;⑦修改信用卡中控制余额更新的日期;⑧ 信用卡使用时需要输入当天日期,以供卡判断是否是当天第一次使用,即是否应将有效余额项更新为最高授权余额,如果修改控制余额更新的日期(上次使用的日期),并将它提前,则输人当天日期后,接口设备会误认为是当天第一次取款,于是将有效余额更新为最高授权余额,因此利用窃来的卡可取定最高授权的金额,其危害性还在于(在银行提出新的黑名单之前)可重复多次作弊;⑨商店雇员的作弊行为;①接口设备写入卡中的数据不正确,或雇员私下将一笔交易写成两笔交易。
2.2 应对措施
为了进行安全防护,一般可采取以下措施:①对持卡人、卡和接VI设备的合法性进行相互检验;②重要数据加密后传送;③ 在卡和接口设备中设置安全区,在安全区中包含有逻辑电路或外部不可读的存储区,对于任何有害的不合规范的操作。将自动禁止卡的进一步操作;④要求有关人员明确各自的责任,并严格遵守;⑤设置支付名单(黑名单)。
3 智能卡技术的发展前景
智能卡技术作为现代社会个人化的信息技术,除了使用传统的加密算法及各种安全措施以确保卡片的安全性之外。越来越多的生物识别技术也将逐渐得到采纳,尤其在那些对于数据敏感的领域,如金融,军事、社会保险、公安等部门。简捷、安全、高效将成为未来信息安全认证的发展趋势。
(文/武汉职业技术学院商学院,张懋华)