客戶認證是基于用戶的客戶端主機IP地址的一種認證機制，它允許系統(tǒng)管理員為具有某一特定IP地址的授權用戶定制訪問權限。 CA與IP地址相關，對訪問的協(xié)議不做直接的限制。服務器和客戶端無需增加、修改任何軟件。系統(tǒng)管理員可以決定對每個用戶的授權、允許訪問的服務器資源、應用程序、訪問時間以及允許建立的會話次數(shù)等等。

客戶認證技術是保證網(wǎng)上交易安全的一項重要技術?？蛻粽J證主要包括身份認證和信息認證。前者用于鑒別用戶身份、后者用于保證通信雙方的不可抵賴性和信息的完整性。在某些情況下，信息認證顯得比信息保密更為重要。例如，買賣雙方發(fā)生日用品業(yè)務或交易時，可能交易的具體內容并不需要保密，但是交易雙方應當能夠確認是對方發(fā)送或接收了這些信息，同時接收方還能確認接收的信息是完整的，信息在通信過程中沒有被修改或替換。因此，在這些情況下，信息認證將處于首要的地位。

1.身份認證

身份認證就是在交易過程中判明和確認貿(mào)易雙方的真實身份，這是目前網(wǎng)上交易過程中最薄弱的環(huán)節(jié)。某些非法用戶常采用竊取口令、修改或偽造、阻斷服務等方式對網(wǎng)上交易系統(tǒng)進行攻擊，阻止系統(tǒng)資源的合法管理和使用。因此，要求認證機構或信息服務商應當提供如下認證的功能：①可信性。信息的來源是可信的，即信息接收者能夠確認所獲得的信息不是由冒充者所發(fā)出的。②完整性。要求信息在傳輸過程中保證其完整性，即信息接收者能夠確認所獲得的信息在傳輸過程中沒有被修改、延遲和替換。③不可抵賴性。要求信息的發(fā)送方不能否認自己所發(fā)出的信息。同樣，信息的接收方不能否認已收到了信息。④訪問控制。拒絕非法用戶訪問系統(tǒng)資源，合法用戶只能訪問系統(tǒng)授權和指定的資源。

一般來說，用戶身份認證可通過三種基本方式或其組合方式來實現(xiàn)：①用戶所知道的某個秘密信息，例如用戶知道自己的口令。②用戶所持有的某個秘密信息(硬件)，即用戶必須持有合法的隨身攜帶的物理介質，例如智能卡中存儲用戶的個人化參數(shù)，以及訪問系統(tǒng)資源時必須要有的智能卡。③用戶所具有的某些生物學特征，如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等等，這種認證方案一般造價較高，多半適用于保密程度很高的場合。

2.信息認證

隨著網(wǎng)絡技術的發(fā)展，通過網(wǎng)絡進行購物交易等商業(yè)活動日益增多。這些商業(yè)活動往往通過公開網(wǎng)絡如Internet進行數(shù)據(jù)傳輸，這對網(wǎng)絡傳輸過程中信息的保密性提出了更高的要求，①對敏感的文件進行加密，這樣即使別人截獲文件也無法得到其內容。②保證數(shù)據(jù)的完整性，防止截獲人在文件中加入其他信息。③對數(shù)據(jù)和信息的來源進行驗證，以確保發(fā)信人的身份。

通常采用秘密密鑰加密系統(tǒng)(Secret Key Encryption)、公開密鑰加密系統(tǒng)(Public Key Encryption)或者兩者相結合的方式，以保證信息的安全認證。對于加密后的文件，即使他人截取信息，由于得到的是加密后信息，因此無法知道信息原始涵義；同時加密后，他人也無法加入或刪除信息，因為加密后信息被改變后就無法得到原始信息。為保證信息來源的確定性，可以采用加密的數(shù)字簽名方式來實現(xiàn)，因為數(shù)字簽名是唯一的而且是安全的。

3.通過認證機構認證(CA)

買賣雙方在網(wǎng)上交易時，必須鑒別對方是否是可信的。因此，必須設立有專門機構從事認證服務(類似于公證服務)，通過認證機構來認證買賣雙方的身份，既可以保證網(wǎng)上交易的安全性，又可以保證高效性和專業(yè)性。

通過認證機構提供認證服務的基本原理和流程是，在做交易時，應向對方提交一個由 CA(Certified Authentication)簽發(fā)的包含個人身份的證書，以使對方相信自己的身份。顧客向CA申請證書時，可提交自己的駕駛執(zhí)照、身份證或護照，經(jīng)驗證后，頒發(fā)證書，證書包含了顧客的名字和他的公鑰，以此作為網(wǎng)上證明自己身份的依據(jù)。在SET(Security Electronic Transaction)交易協(xié)議中，最主要的證書是持卡人證書和商家證書。持卡人證書實際上是支付卡的一種電子化的表示。由于它是由金融機構以數(shù)字化形式簽發(fā)的，因此不能隨意改變。持卡人證書并不包括帳號和終止日期信息，取而代之的是用一計算算法根據(jù)帳號、截止日期生成的一個碼。如果知道帳號、截止日期、密碼值，即可導出這個碼值，反之不行。商家證書就用來記錄商家可以結算卡類型，也是由金融機構簽發(fā)的，不能被第三方改變。在SET環(huán)境中，一個商家至少應有一對證書。與一個銀行打交道，一個商家也可以有多對證書，表示它與多個銀行有合作關系，可以接受多種付款方法。除了持卡人證書和商家證書以外，還有支付網(wǎng)關證書、銀行證書和發(fā)卡機構證書。

CA作為提供身份驗證的第三方機構，它是由一個或多個用戶信任的組織實體組成。CA的功能主要有：接收注冊請求，處理、批準/拒絕請求，頒發(fā)證書。在實際運作中，CA也可由大家都信任的一方擔當。例如，在客戶、商家、銀行三角關系中，客戶使用的是由某個銀行發(fā)的卡，而商家又與此銀行有業(yè)務關系(有帳號)。在此情況下，客戶和商家都信任該銀行，可由該銀行擔當CA角色。又例如，對商家自己發(fā)行的購物卡，則可由商家自己擔當CA角色。