随着电子商务的快速发展,鉴别与授权技术成为信息安全的重要组成环节并占据核心地位,我国政府也大力推动身份识别和授权技术。目前,我国已成立全国信息安全标准化技术委员会鉴别与授权工作组来切实推动身份识别和授权技术,并颁布了七项相关的国家标准。推动网络身份识别技术,才能有效保障国家、企业、个人信息的安全可控。仅从电子认证服务业的角度来看,截至2006年年底,我国获准从事电子认证服务的机构已经有22家,分布在全国17个省市,累计发放的数字证书总量达到546万张。
因此,电子商务的安全并非仅仅是筑起厚墙铁门,更重要的是,你能够正确识别每一个进入“交易”的买家和卖家的真实身份,并对交易环节进行正确的授权管理。
4.1.1身份鉴别的基本概念
身份鉴别,是指证实用户的真实身份与其所声称的身份是否相符的过程。身份鉴别通常通过一些协议和章法来共同实现,用于验证用户身份的信息往往是保密的。
电子商务交易必须明确卖方和买方的身份,正确识别用户或终端的身份是信息安全的重要保障之一。典型的例子是银行系统的自动取款机,用户可以从取款机中提取现款,但是银行首先要确认用户的身份,否则恶意的欺诈会给银行和用户带来不可估量的损失。对计算机系统的访问也必须进行身份认证,这不仅是计算机网络的需要,也是社会管理的需要。
当电子商务安全成为人们“网上交易”的重中之重时,与安全相关的概念和产品如雨后春笋般出现。特别是在没有100%安全的前提下,如何在诸多威胁中抓住核心矛盾就显得十分迫切了。
那么,什么是电子商务安全的核心矛盾?我们可以简单分析一下,电子商务安全无非是外来因素对自身网络价值的破坏或者窃取,外来因素无非包括病毒等智能程序因素和“黑客”人为因素。无论哪种因素,对其的防御一般有两种方式:一是巩固自身防线,减少漏洞,抵御强敌入侵;二是识破敌人伪装,控制可疑程序权限,鉴别身份,不让外敌混入。因此,身份鉴别和授权管理,正逐步成为当前电子商务信息安全核心建设的关键之一。
信息时代的网络给人们带来了意想不到的便利,人们可以在网上看新闻、查阅资料、发邮件甚至网上交易。但是,网络在给人们带来极大便利的同时,人们的个人信息安全也受到很大威胁。如何使个人信息在互联网上得到充分的保护,将网络对公民个人生活的安宁与自由所产生的负面影响降到最低程度;如何使网络用户的个人信息资料被合理的利用,以使之在发挥巨大价值的同时,又能够保证不被滥用,这需要包括提高网络用户个人信息安全意识、制定网络信息(隐私)保护法、实行行业自律、采取技术保护措施等多个方面的共同努力。
1.个人信息概述
所谓个人信息,是指一切可以识别本人的信息的所有数据资料。这些数据资料包括一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。即指有关个人的一切数据、资料。这些信息有些是其自身产生的,如年龄、收入、爱好等;有些是非自身产生的,如他人对该人的评价等。也可以根据其公开的程度将个人信息分为两类,一类是极其个人化、永远不能公开的个人信息,如信用卡号、财务状况等;另一类是在某些范围和一定程度上可以公开的个人信息,如姓名、性别等。
与“个人信息”相关的一个概念是“个人数据”(Personal Data)。所谓个人数据,是指标识个人基本情况的一组数据资料。从广义上说,一切有关个人的数据都属于个人数据的范畴。根据信息与数据两者之间的关系,一般认为个人数据属于个人信息的范围,个人信息包含了个人数据。
与“个人信息”相关的另一个概念是“隐私”,在《现代汉语词典》中,“隐私”是指不愿告人的或不愿公开的个人的事。严格按照法律的要求解释“隐私”,就是公民与公共利益无关的个人私生活秘密。它所包含的内容,就是私人信息、私人活动和私人空间。具体来说,诸如身高、体重、收入、生活经历、家庭电话号码、病患经历等属于私人信息;私人活动是一切个人的、与公共利益无关的活动,如日常生活、社会交往、夫妻之间的两性生活等;私人空间也称为私人领域,是指个人的隐秘范围,如身体的隐秘部位、个人居所、旅客行李、学生书包、日记、通信等。从形式逻辑出发,“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息的下位概念,是个人信息的一部分。因此当与公共利益无关的个人信息,信息主体不愿公开时就成为隐私。之所以主张保护个人信息,也是因为其涉及个人的隐私。
2.网络环境下个人信息不安全的因素
网络环境下,个人信息可能受到侵犯或者说个人信息不安全的因素可以归纳为以下五个方面:
(1)个人信息的不合理收集。在电子商务时代里,了解并满足用户的需求和期望,是网上经营者首要的任务,而最可靠的用户信息来自于用户自身。所以网络用户都会遇到这样的经历,即在网上浏览、咨询或购物时,总要填写一系列表格以确定浏览者的身份,这些个人资料包括:个人识别资料,如姓名、性别、年龄、身份证号码、电话、通信地址等情况。个人背景,如职业、教育程度、收入状况、婚姻、家庭状况。然而网站却不能详细说明需要这些数据的原因、数据的使用目的及处置方式。一旦人们输入了这些信息,总担心这些个人信息是否会给自己带来不必要的麻烦。即使网站声称对个人信息安全负责,但因为填表者无法监督其对个人信息的使用情况,而对网上相关活动(如购物)产生抵触情绪,这也是目前制约电子商务发展的一个重要因素。
(2)个人数据的二次开发利用。个人数据的二次开发利用是指商家利用自己所掌握的个人信息,建立起综合的数据库,从中分析出一些个人并未透露的信息,进而指导自己的营销战略。例如,大多数的网络用户都在网上申请了属于自己的免费邮箱,邮箱里总会出现一些垃圾邮件、广告邮件。毫无疑问,提供免费邮箱的网络服务商,已经将我们在申请邮箱时提供的个人数据进行了收集和二次开发,出售给别的商家使用。服务商将用户的邮件地址非法提供给其他机构,使其电子邮箱经常被垃圾邮件所塞满,甚至造成客户个人隐私或商业机密的泄露。这种情况与私拆他人信件、侵犯他人通信秘密没有本质区别。
(3)个人数据交易。个人数据交易表现为两种形式:第一种形式是商家之间或商家与机构之间互相交换自己所掌握的个人信息;另一种形式是网上商店将自己所掌握的个人信息出售给这些信息的需要者。个人数据交换是目前最为严重的一种侵权行为。第一种形式的交易被商家称为“在有限范围内与合作伙伴共享信息”。一般情况下商家的合作伙伴绝不止一个,如果共享的范围得不到有效控制的话,个人信息就有可能被众多的商家知晓,这无疑是在变相地侵犯个人的网络隐私权。第二种形式的交易则是为网络用户所谴责的靠出卖消费者信息挣钱。上述这些现象与目前很不完善的有关隐私权和个人数据保护的立法缺失是紧密关联的。
(4)网络服务商通过追踪软件来追踪对象在网上的行为。大部分网络服务商取得用户隐私信息的方式是通过“网络小甜饼”(cookies)之类的追踪软件对网民的浏览兴趣和爱好进行记录和跟踪,收集其兴趣或者其他个人可识别信息,然后根据这些信息,向用户有针对性的发送广告,或者把这些信息出售给他人。
(5)“黑客”。“黑客”往往是网络技术的高手,他们可以利用各种技术手段窃取网络用户的私人信息。最著名的是一种叫做“BO”的“黑客”程序,它可以驻留在电脑中,源源不断地把“黑客”需要的信息传送给他。当然,通过对一些网站的攻击,“黑客”也可以获得大量的隐私信息。例如,一位18岁青年“黑客”曾经侵入美国、加拿大、泰国、日本、英国等国家的9个电子商务站点,窃取了超过26000个信用卡账户的信息。其中还包括号称世界首富的比尔·盖茨的信用卡号。
3.网络环境下如何保护个人信息安全
(1)网络用户的自我保护。首先,网络用户应该提高自己的隐私保护意识。每个消费者都应该意识到自己拥有维护自己个人信息资料的权利。网络用户应对自己的个人资料随时查询及请求阅览;随时请求补充或更正;随时请求删除;请求停止电脑处理及利用,以避免遭到不必要的骚扰。在未经个人同意及确认之前,个人不允许网站将其为参加网站之特定活动所提供的资料利用于其他目的(唯应政府及法律要求披露时,如当政府机关依照法定程序要求网站披露个人资料;网站根据执法单位要求或为公共安全目的提供个人资料除外)。其次,懂得如何保护。网站一般都开有公共论坛,如搜狐网站为用户提供聊天室、公告牌等服务。在这些区域内,用户公布的任何信息都会成为公开的信息。因此,用户应慎重考虑是否有必要在这些区域公开自己的个人信息。为保障个人的隐私及安全,个人在网站的账号资料应用密码保护。个人切勿泄露密码及账号资料给其他人,否则责任只能自己承担。
(2)政策和法律保护。各国政府应制定相应的可操作的政策和法律来监督网站,采取适当的措施保护隐私权。就美国而言,盗用他人个人身份是美国增长最快的犯罪行为之一。每年大约有40万人因此受害。纽约州参议员于2000年3月就备受争议的网上收集个人资料等问题推出新的立法建议。该项建议旨在针对网络广告商涉嫌不当收集并使用网络用户的个人资料而引发的争议。这项立法建议严禁企业收集并共享能够鉴别个人身份的资料。立法发起人指出,该建议的基本出发点在于人们有知道谁在收集以及如何使用他们的个人资料的权利。2000年4月21日,美国《儿童网络隐私保护法》正式生效,这是美国进入网络时代出台的第一部有关保护网民隐私的联邦法律,引起了各界人士的极大关注。这一新法律的主要目的是保护13岁以下儿童的隐私,要求网站在向13岁以下儿童询问个人信息时,必须先得到其家长的同意。如果有网站无视这项法律,违反一次,联邦贸易委员会将对其罚款1.1万美元,其处罚是严重的。但是受保护的对象仅限于13岁以下的儿童,无疑使这部法律对隐私权的保护大打折扣。我国目前尚没有保护网上隐私权的法律法规,这无疑又将是我国信息时代立法的又一紧迫任务。
(3)行业自律。保护网络用户的个人信息安全和网络隐私,商业网站的自律也十分重要。保护网络用户的个人信息安全和网络隐私是商业网站应尽的义务,因此,商业网站应承诺并保证做到:如果网络用户对网站的信息安全、信息使用措施感到不安,可以随时删除自己提供给网站的详细资料;在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其他目的;除非在事先征得网络用户同意或为网络用户提供所需服务的情况下,网站不向任何人出售网络用户的个人资料或提供网络用户的任何身份识别资料给任何的第三人以供行销使用。如搜狐网站就承诺:本网站将对您所提供的资料进行严格的管理及保护,本网站将使用相应的技术,防止您的个人资料丢失、被盗用或遭篡改;没有您的明确同意,不会将您的个人身份信息透露给任何第三方。
(4)技术措施。为了保护网络用户的个人信息安全和网络隐私,站点不但应向网络用户提供提示信息,还应提供更高级的隐私保护控制方法,使用各种安全技术和程序来保护网络用户的个人信息不被未经授权的访问或使用。因此,努力开发更先进的网络技术,增加网络的安全性,也是保护个人信息安全和网络隐私不容忽视的一个方法。
总之,保护网络用户的个人信息安全和网络隐私需要多个方面的共同努力,对人们的网上行为加以约束。我们有理由相信,通过各方的不懈努力,网络个人信息安全保护工作必然取得巨大的进展。我们的网络社会将会进入一个安全、高效、文明的新时代。
4.1.2身份鉴别的依据
身份鉴别的依据包括三个方面:用户所知道的某种信息;用户拥有的某种物品;用户具有的某种特征。
第一类依据的例子是最常见的密码和口令;第二类依据的例子有身份证、护照、密钥盘等;第三类依据包括用户的生物特征,如指纹、虹膜、DNA、脸型以及用户的签名笔迹等。三类鉴别方式各有利弊。第一类方法最简单,系统开销最小,但是最不安全;第二类泄露秘密的可能性比较小,安全性比第一类高,但是相对复杂;第三类的安全性最高,比如想窃取一个人的指纹难度就很大,要涉及更多的高端技术,系统也会更加复杂。
基于前两类的技术起步较早,目前比较成熟,应用比较广泛。第三类技术起步较晚,但由于它在安全性上的巨大优势正获得迅速发展。
4.1.3身份鉴别的两种情况
鉴别可以用来确认某一实体所声称的身份,对抗假冒攻击,它是获得对谁或对什么事情信任的一种方法,一个身份的合法拥有者被称做一个实体,各种系统的实体也需要被鉴别,例如:人、设备、计算机系统、应用和进程等。
身份鉴别具有两种基本情况:实体鉴别与数据原发鉴别。一般谈身份鉴别时,往往是指实体鉴别,实体鉴别使某一实体确信与之打交道的实体正是所需要的实体,这种鉴别方式只是简单地鉴别实体本身的身份,不会和实体想要进行何种活动相联系。
数据原发鉴别是鉴定某个指定的数据是否来源于某个特定的实体,它不是孤立地鉴别一个实体,也不是为了允许实体执行下一步的操作而鉴别它的身份,而是为了确定被鉴别的实体与一些数据项有着静态的不可分割的联系。
1.实体鉴别
实体鉴别通常在连接建立或在数据传送阶段的某些时刻提供使用,使用这种服务可以确信(仅仅在使用时间内):一个实体此时没有试图冒充别的实体,或没有试图将先前的连接做非授权的重放。可作为对责任原则的一种直接支持,例如,在审计追踪过程中作记录时,提供与某一活动相联系的确知身份。实体鉴别还是访问控制服务的一种必要支持(因为访问控制服务的执行依赖于确知的身份)。
(1)实体鉴别的组成。
实体鉴别系统是由申请者、验证者、可信第三方以及攻击者这四部分实体组成的。
首先是申请者,其本身就是或者代表一个提出鉴别要求的实体,申请者具有代表主体参与鉴别交换所需的功能。
其次是验证者,他检验申请者提出的证件的正确性和合法性,决定是否满足要求,验证者具有参与鉴别交换所需的功能。可信的第三方参与调解纠纷,在安全相关的活动中,它被实体信任。
最后是攻击者,他可以窃听或伪装申请者骗取验证者的信任。
鉴别信息指从申请者要求鉴别至鉴别过程结束所生成、使用和交换的信息。鉴别信息的类型有三种,即申请鉴别信息(申请AI)、验证鉴别信息(验证AI)和交换鉴别信息(交换AI)。
申请鉴别信息(申请AI)是申请者用来生成交换鉴别信息的信息,申请AI的实例有:
通行字或口令;
用于使用对称算法鉴别机制的秘密密钥;
用于使用非对称密码算法鉴别机制的私用。
验证鉴别信息(验证AI)是通过交换鉴别信息,验证者用来验证实体所声称身份的信息,验证AI的实例有:
与主体身份相关的通行字或口令;
与主体相关的秘密密钥,用于使用对称密码算法鉴别机制;
与主体相关的公共密钥,用于使用非对称密码算法鉴别机制。
交换鉴别信息(交换AI)是在鉴别过程中,申请者与验证者之间交换的信息,交换AI的实例有:
声称的标识符;
通行字或口令;
质询;
质询的应答;
唯一序列号;
转换函数;
证书等。
(2)实体鉴别的分类。
根据鉴别过程是否发生在本地,实体鉴别可以分为本地实体鉴别和远程实体鉴别两类。实体鉴别可以是单向的也可以是双向的。单向实体鉴别是指通信双方中只有一方向另一方进行鉴别,而双向实体鉴别是指通信双方相互进行鉴别。在单向鉴别中,一个实体充当申请者,另一个实体充当验证者。对于双向鉴别,每个实体同时充当申请者和验证者。双向鉴别可在两个方向上使用相同或不同的鉴别机制。
2.数据原发鉴别
数据原发鉴别鉴定某个指定的数据是否来源于某个特定的实体。在数据原发鉴别的过程中,声称者未必涉及当前的通信活动中,数据项可能已经通过许多系统被重放,这些系统可能没有被鉴别,数据项可能在途中被存储相当的周期。与完整性有关的数据原发鉴别必须确保自从数据项离开它的信源就没有修改。数据原发鉴别本身不提供对数据单元的重放或篡改攻击的保护。
数据原发鉴别有如下三种方法:
(1)加密:给数据项附加一个鉴别项,然后加密该结果。使用加密的一个常用方法是:发送者和接收者事先知道一个秘密的鉴别符的值和一个密钥值。为了保护传输中的数据项,发送者给数据项附加一个鉴别符,然后加密该结果。接收者解密接收到的数据,以恢复原来的数据项和鉴别符,接收者检查鉴别符的合法性,这种方法已经被广泛地应用在军事网络中,它能提供机密性和数据原发鉴别。有时人们期望具有这种性质,但在无密级的应用中,人们通常不期望这种性质。它同时带来了管理问题,不仅需要管理密钥,而且需要管理鉴别符。
(2)封装或数字签名:利用封装[采用消息鉴别码(MAC)的技术实现的]或数字签名对数据项提供数据原发鉴别的方法是很常见的。如果必须使另一个成员相信发送者的身份,那么就应该做到,接收者没有冒着数据项被修改的危险。密封也许是充分的,而且需要数字签名。
(3)实体鉴别扩展:通过完整性机制将数据和鉴别交换联系起来。将数据原发鉴别作为实体鉴别的一种扩展来处理,通过一个完整性机制和一个数据项及一个鉴别交换联系在一起。例如:数据项或数据项的摘要(有时也称为一个数据指纹)也许被密封在鉴别交换之中。反过来,数据项也许被传递在一个连接之中,该连接将连接完整性和鉴别交换联系在一起。