客戶認(rèn)證是基于用戶的客戶端主機IP地址的一種認(rèn)證機制，它允許系統(tǒng)管理員為具有某一特定IP地址的授權(quán)用戶定制訪問權(quán)限。 CA與IP地址相關(guān)，對訪問的協(xié)議不做直接的限制。服務(wù)器和客戶端無需增加、修改任何軟件。系統(tǒng)管理員可以決定對每個用戶的授權(quán)、允許訪問的服務(wù)器資源、應(yīng)用程序、訪問時間以及允許建立的會話次數(shù)等等。

客戶認(rèn)證技術(shù)是保證網(wǎng)上交易安全的一項重要技術(shù)?？蛻粽J(rèn)證主要包括身份認(rèn)證和信息認(rèn)證。前者用于鑒別用戶身份、后者用于保證通信雙方的不可抵賴性和信息的完整性。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。例如，買賣雙方發(fā)生日用品業(yè)務(wù)或交易時，可能交易的具體內(nèi)容并不需要保密，但是交易雙方應(yīng)當(dāng)能夠確認(rèn)是對方發(fā)送或接收了這些信息，同時接收方還能確認(rèn)接收的信息是完整的，信息在通信過程中沒有被修改或替換。因此，在這些情況下，信息認(rèn)證將處于首要的地位。

1.身份認(rèn)證

身份認(rèn)證就是在交易過程中判明和確認(rèn)貿(mào)易雙方的真實身份，這是目前網(wǎng)上交易過程中最薄弱的環(huán)節(jié)。某些非法用戶常采用竊取口令、修改或偽造、阻斷服務(wù)等方式對網(wǎng)上交易系統(tǒng)進行攻擊，阻止系統(tǒng)資源的合法管理和使用。因此，要求認(rèn)證機構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供如下認(rèn)證的功能：①可信性。信息的來源是可信的，即信息接收者能夠確認(rèn)所獲得的信息不是由冒充者所發(fā)出的。②完整性。要求信息在傳輸過程中保證其完整性，即信息接收者能夠確認(rèn)所獲得的信息在傳輸過程中沒有被修改、延遲和替換。③不可抵賴性。要求信息的發(fā)送方不能否認(rèn)自己所發(fā)出的信息。同樣，信息的接收方不能否認(rèn)已收到了信息。④訪問控制。拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權(quán)和指定的資源。

一般來說，用戶身份認(rèn)證可通過三種基本方式或其組合方式來實現(xiàn)：①用戶所知道的某個秘密信息，例如用戶知道自己的口令。②用戶所持有的某個秘密信息(硬件)，即用戶必須持有合法的隨身攜帶的物理介質(zhì)，例如智能卡中存儲用戶的個人化參數(shù)，以及訪問系統(tǒng)資源時必須要有的智能卡。③用戶所具有的某些生物學(xué)特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等等，這種認(rèn)證方案一般造價較高，多半適用于保密程度很高的場合。

2.信息認(rèn)證

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，通過網(wǎng)絡(luò)進行購物交易等商業(yè)活動日益增多。這些商業(yè)活動往往通過公開網(wǎng)絡(luò)如Internet進行數(shù)據(jù)傳輸，這對網(wǎng)絡(luò)傳輸過程中信息的保密性提出了更高的要求，①對敏感的文件進行加密，這樣即使別人截獲文件也無法得到其內(nèi)容。②保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。③對數(shù)據(jù)和信息的來源進行驗證，以確保發(fā)信人的身份。

通常采用秘密密鑰加密系統(tǒng)(Secret Key Encryption)、公開密鑰加密系統(tǒng)(Public Key Encryption)或者兩者相結(jié)合的方式，以保證信息的安全認(rèn)證。對于加密后的文件，即使他人截取信息，由于得到的是加密后信息，因此無法知道信息原始涵義；同時加密后，他人也無法加入或刪除信息，因為加密后信息被改變后就無法得到原始信息。為保證信息來源的確定性，可以采用加密的數(shù)字簽名方式來實現(xiàn)，因為數(shù)字簽名是唯一的而且是安全的。

3.通過認(rèn)證機構(gòu)認(rèn)證(CA)

買賣雙方在網(wǎng)上交易時，必須鑒別對方是否是可信的。因此，必須設(shè)立有專門機構(gòu)從事認(rèn)證服務(wù)(類似于公證服務(wù))，通過認(rèn)證機構(gòu)來認(rèn)證買賣雙方的身份，既可以保證網(wǎng)上交易的安全性，又可以保證高效性和專業(yè)性。

通過認(rèn)證機構(gòu)提供認(rèn)證服務(wù)的基本原理和流程是，在做交易時，應(yīng)向?qū)Ψ教峤灰粋€由 CA(Certified Authentication)簽發(fā)的包含個人身份的證書，以使對方相信自己的身份。顧客向CA申請證書時，可提交自己的駕駛執(zhí)照、身份證或護照，經(jīng)驗證后，頒發(fā)證書，證書包含了顧客的名字和他的公鑰，以此作為網(wǎng)上證明自己身份的依據(jù)。在SET(Security Electronic Transaction)交易協(xié)議中，最主要的證書是持卡人證書和商家證書。持卡人證書實際上是支付卡的一種電子化的表示。由于它是由金融機構(gòu)以數(shù)字化形式簽發(fā)的，因此不能隨意改變。持卡人證書并不包括帳號和終止日期信息，取而代之的是用一計算算法根據(jù)帳號、截止日期生成的一個碼。如果知道帳號、截止日期、密碼值，即可導(dǎo)出這個碼值，反之不行。商家證書就用來記錄商家可以結(jié)算卡類型，也是由金融機構(gòu)簽發(fā)的，不能被第三方改變。在SET環(huán)境中，一個商家至少應(yīng)有一對證書。與一個銀行打交道，一個商家也可以有多對證書，表示它與多個銀行有合作關(guān)系，可以接受多種付款方法。除了持卡人證書和商家證書以外，還有支付網(wǎng)關(guān)證書、銀行證書和發(fā)卡機構(gòu)證書。

CA作為提供身份驗證的第三方機構(gòu)，它是由一個或多個用戶信任的組織實體組成。CA的功能主要有：接收注冊請求，處理、批準(zhǔn)/拒絕請求，頒發(fā)證書。在實際運作中，CA也可由大家都信任的一方擔(dān)當(dāng)。例如，在客戶、商家、銀行三角關(guān)系中，客戶使用的是由某個銀行發(fā)的卡，而商家又與此銀行有業(yè)務(wù)關(guān)系(有帳號)。在此情況下，客戶和商家都信任該銀行，可由該銀行擔(dān)當(dāng)CA角色。又例如，對商家自己發(fā)行的購物卡，則可由商家自己擔(dān)當(dāng)CA角色。