客户认证

客户认证【客户认证】客户认证(Client Authentication,CA)是基于用户的客户端主机IP位址的一种认证机制 , 它允许系统管理员为具有某一特定IP位址的授权用户定製访问许可权 。CA与IP位址相关 , 对访问的协定不做直接的限制 。伺服器和客户端无需增加、修改任何软体 。系统管理员可以决定对每个用户的授权、允许访问的伺服器资源、应用程式、访问时间以及允许建立的会话次数等等 。
基本介绍中文名:客户认证
外文名:Client Authentication,CA
允许:系统管理员具有某一特定IP位址
属于:一种认证机制
基于:用户的客户端
客户认证技术的内容客户认证技术是保证网上交易安全的一项重要技术 。客户认证主要包括身份认证和信息认证 。前者用于鉴别用户身份 , 后者用于保证通信双方的不可抵赖性和信息的完整性 。在某些情况下 , 信息认证显得比信息保密更为重要 。例如 , 买卖双方发生日用品业务或交易时 , 可能交易的具体内容并不需要保密 , 但是交易双方应当能够确认是对方传送或接收了这些信息 , 同时接收方还能确认接收的信息是完整的 , 信息在通信过程中没有被修改或替换 。因此 , 在这些情况下 , 信息认证将处于首要的地位 。身份认证身份认证就是在交易过程中判明和确认贸易双方的真实身份 , 这是目前网上交易过程中最薄弱的环节 。某些非法用户常採用窃取口令、修改或伪造、阻断服务等方式对网上交易系统进行攻击 , 阻止系统资源的合法管理和使用 。因此 , 要求认证机构或信息服务商应当提供如下认证的功能:①可信性 。信息的来源是可信的 , 即信息接收者能够确认所获得的信息不是由冒充者所发出的 。②完整性 。要求信息在传输过程中保证其完整性 , 即信息接收者能够确认所获得的信息在传输过程中没有被修改、延迟和替换 。③不可抵赖性 。要求信息的传送方不能否认自己所发出的信息 。同样 , 信息的接收方不能否认已收到了信息 。④访问控制 。拒绝非法用户访问系统资源 , 合法用户只能访问系统授权和指定的资源 。一般来说 , 用户身份认证可通过三种基本方式或其组合方式来实现:①用户所知道的某个秘密信息 , 例如用户知道自己的口令 。②用户所持有的某个秘密信息(硬体) , 即用户必须持有合法的随身携带的物理介质 , 例如智慧卡中存储用户的个人化参数 , 以及访问系统资源时必须要有的智慧卡 。③用户所具有的某些生物学特徵 , 如指纹、声音、DNA图案、视网膜扫描等等 , 这种认证方案一般造价较高 , 多半适用于保密程度很高的场合 。信息认证随着网路技术的发展 , 通过网路进行购物交易等商业活动日益增多 。这些商业活动往往通过公开网路如Internet进行数据传输 , 这对网路传输过程中信息的保密性提出了更高的要求 , ①对敏感的档案进行加密 , 这样即使别人截获档案也无法得到其内容 。②保证数据的完整性 , 防止截获人在档案中加入其他信息 。③对数据和信息的来源进行验证 , 以确保发信人的身份 。通常採用秘密密钥加密系统(Secret Key Encryption)、公开密钥加密系统(Public Key Encryption)或者两者相结合的方式 , 以保证信息的安全认证 。对于加密后的档案 , 即使他人截取信息 , 由于得到的是加密后信息 , 因此无法知道信息原始涵义;同时加密后 , 他人也无法加入或删除信息 , 因为加密后信息被改变后就无法得到原始信息 。为保证信息来源的确定性 , 可以採用加密的数字签名方式来实现 , 因为数字签名是唯一的而且是安全的 。认证机构认证(CA)买卖双方在网上交易时 , 必须鉴别对方是否是可信的 。因此 , 必须设立有专门机构从事认证服务(类似于公证服务) , 通过认证机构来认证买卖双方的身份 , 既可以保证网上交易的安全性 , 又可以保证高效性和专业性 。通过认证机构提供认证服务的基本原理和流程是 , 在做交易时 , 应向对方提交一个由 CA(Certified Authentication)签发的包含个人身份的证书 , 以使对方相信自己的身份 。顾客向CA申请证书时 , 可提交自己的驾驶执照、身份证或护照 , 经验证后 , 颁发证书 , 证书包含了顾客的名字和他的公钥 , 以此作为网上证明自己身份的依据 。在SET(Security Electronic Transaction)交易协定中 , 最主要的证书是持卡人证书和商家证书 。持卡人证书实际上是支付卡的一种电子化的表示 。由于它是由金融机构以数位化形式签发的 , 因此不能随意改变 。持卡人证书并不包括帐号和终止日期信息 , 取而代之的是用一计算算法根据帐号、截止日期生成的一个码 。如果知道帐号、截止日期、密码值 , 即可导出这个码值 , 反之不行 。商家证书就用来记录商家可以结算卡类型 , 也是由金融机构签发的 , 不能被第三方改变 。在SET环境中 , 一个商家至少应有一对证书 。与一个银行打交道 , 一个商家也可以有多对证书 , 表示它与多个银行有合作关係 , 可以接受多种付款方法 。除了持卡人证书和商家证书以外 , 还有支付网关证书、银行证书和发卡机构证书 。CA作为提供身份验证的第三方机构 , 它是由一个或多个用户信任的组织实体组成 。CA的功能主要有:接收注册请求 , 处理、批准/拒绝请求 , 颁发证书 。在实际运作中 , CA也可由大家都信任的一方担当 。例如 , 在客户、商家、银行三角关係中 , 客户使用的是由某个银行发的卡 , 而商家又与此银行有业务关係(有帐号) 。在此情况下 , 客户和商家都信任该银行 , 可由该银行担当CA角色 。又例如 , 对商家自己发行的购物卡 , 则可由商家自己担当CA角色 。