USB安全钥在电子商务中的应用.docVIP

USB安全钥在电子商务中的应用 ????? 所谓的电子商务，实际上就是利用电子网络这一虚拟的媒介和手段，使交易双方能够方便、快捷地达成商务交易。从面对面的洽谈，到通过网络进行交易，电子商务为传统的商务模式增加了许多新的特点。它消除了地域的限制，为用户节省了时间，但也同时带来了不少需要解决的问题，其中最重要的一点便是商务过程中的身份认证问题。由于交易双方不再面对面地签署合同，如何使用户A相信是用户B在通过网络与自己交易，便成为了商务过程中需要首先解决的问题。在目前的电子商务模式中，身份认证大致可以通过两种方法来实现：一是交易双方通过协商选定一个协议，用来在网络上确认对方的身份。最简单的方法便是使用密码（Password），只有能正确说出密码的人才能参与交易。二是交易双方请求第三方机构代为确定对方的身份。这个第三方机构必须具有足够的权威性，是交易双方所共同信任的。各种商业银行都可以充当这一角色。不论采用何种方式，安全性和方便性都是不可缺少的。但是在目前的电子商务模式中，这两项要求都没有得到很好的满足。国内的网络终端大多是PC机，运行WINDOWS操作系统。然而WINDOWS系统并不是一个足够安全的系统，系统级的缺陷使得在它上面运行的应用软件都可以被很容易地跟踪、破解。为了克服这一缺点，用户不得不在PC上安装尽可能复杂的加密软件，在交易过程中采用尽可能多的认证程序，虽然这样能稍微增强一些系统的安全性，但是交易的方便性却受到了极大的影响。最明显的一点便是，用户无法随意选择一台网络终端（PC）进行交易，因为用户必须确保自己使用的网络终端上已经安装了完善的加密软件，和具有足够的数据安全性（也就是说，其他人无法轻易地得到这台网络终端上储存的数据）。可惜的是，WINDOWS系统并不是我们自己开发的，要提高它的安全性也不是我们能轻易做到的。唯一的解决办法便是借助于硬件的支持，将身份认证过程中的关键部分（加密算法和个人数据）从PC移植到硬件中去。目前最常用的硬件设备按功能分为两类：一是用于加密，例如PC内安装的加密卡、网络中安装的安全网关等等；二是用于个人数据存储，例如IC卡，磁卡等，在银行系统使用十分广泛。PC机内安装的加密卡等硬件虽然大大地增强了系统的安全性，但它们价格昂贵，安装、使用不方便，是普通的PC用户无法接受的；而IC卡、磁卡等存储卡则需要在PC机上安装读卡器，读卡器价格昂贵，兼容性差，也不是任意一台PC机就能轻易安装得上的。随着硬件技术的飞速发展，USB安全钥（USB Security Key）出现在了电子商务的硬件大家庭中，它集数据加密和数据存储两大功能于一身，成为了推动电子商务发展的强大动力之一。USB，是通用串行总线（Universal Serial Bus）的简称，它已成为计算机与外设之间进行数据交换的主流总线协议，并将取代传统的并口和串口而成为最主要的PC机标准接口。USB外设可以在主机和其他外设正常工作时进行连接、配置和使用，即所谓的即插即用（Plug and Play）。这一特点使得USB外设的安装和使用都极为简便。再加上USB协议本身便具有可靠性高等特点，所以USB技术进入电子商务领域是技术发展的必然趋势。目前出现的USB安全钥大致有以下几个特点：l 体积小：和普通钥匙相当，可以挂在钥匙串上随身携带；l 兼容性好：由于设备本身符合USB各项协议定义，在不同的计算机平台（PC、MAC等）和操作系统（WINDOWS、LINUX等）中均能使用；l 使用方便：具有即插即用功能，用户可以在交易过程中将安全钥插入网络终端，使用完毕后可以立即拔出，不需要中止程序或操作系统的运行；l 功能强大：同时具有数据加密和数据存储两大功能，加密算法可以支持DES、MD5和RSA等等，数据存储容量一般都在1K字节以上；l 安全性好：在使用过程中将网络终端的功能弱化为一个数据传输的媒介，所有有关安全性的操作都在USB安全钥和服务器内部完成，极好地保护了安全数据。在这一前提下，用户可以携带USB安全钥在任意一台网络终端上进行交易，而不必担心会有任何重要数据留在使用过的网络终端上；l 价格便宜：USB安全钥实际上就是一个带有USB接口的微控制器，这类微控制器的成本在1～1.5美元之间。为了进一步说明USB安全钥在电子商务中起到的重要作用，笔者准备了一个简单的身份认证的应用实例（见图1）：图1 USB安全钥在电子商务中的应用首先，用户需要将USB安全钥插入PC，让PC读出安全钥的ID号（步骤1）；然后用户需要输入自己的用户名和密码（步骤2）；PC将安全钥的ID、用户名和密码一起发往服务器，并请求服务器对用户进行身份认证（步骤3）；在这个应用中，服务器存储着所有USB安全钥的密钥，从PC得到安全钥的ID、用户名和密码后