| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
电子商务的发展前景十分诱人,Internet为人们带来无限商机,但许多商业机构对电子商务的前景仍感迷茫,主要原因是对网上运作的安全问题存有疑虑。在竞争激烈的市场环境下,电子商务的一些商业机密一旦泄漏,就会给企业带来不可估量的损失。因此,安全问题就成为制约电子商务健康发展的中心问题。
一、电子商务的安全要素
由于网络的开放性和不可控性,基于网络的电子商务交易中所涉及的数据存在着安全隐患,特别是现在黑客活动非常猖獗,数据在网络上极有可能被窃听和泄露。在电子商务交易环境中,存在的安全问题突出表现在:1、非法用户冒充合法用户身份;2、信息传递过程中非法用户截获传送的信息,进行篡改或者伪造传送信息等来获取利益;3、因用户身份的不可确认和信息传输的不可靠性,合法用户交易双方有可能产生争端,主要表现为信息发送方对发送信息的抵赖及信息接受方对接受信息的否认。
电子商务交易过程中一般涉及五个方面的安全要素:即信息的保密性、信息的完整性、信息的有效性、信息的不可抵赖性以及交易身份的真实性。为了营造一个安全的电子商务环境,保证在网络上传播的信息的真实性、保密性、完整性和不可否认性,总的来说,电子商务所要解决的安全问题主要包括两个方面:一是身份认证;一是内容认证。身份认证主要指对电子商务业务双方身份的确认,一方面避免非法用户冒充合法用户,另一方面避免合法用户上当受骗。内容认证主要保证合法用户通信过程内容的安全,保证信息传递的安全性、保密性、完整性、可靠性以及不可否认性。
二、电子签名
在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。这是传统的签名。而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的。在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。能够在电子文件中识别双方交易人的真实身份,保证交易的安全性和真实性以及不可抵赖性,起到与手写签名或者盖章同等作用的签名的电子技术手段,就是电子签名。2004年8月28日,第十次全国人大常委会第十一次会议审议并通过了《中华人民共和国电子签名法》,从立法的角度为电子商务的安全提供了法律保障。
目前,实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是数字签名技术,他是基于PKI公开密钥基础设施的电子签名。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。他还能验证出文件在原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
三、数字签名的技术保障
1、PKI。PKI是Public Key Infrastructure的简称,它是一个利用公钥密码技术实现的并提供网络安全服务的具有通用性的安全基础设施,他遵循标准的公钥加密技术,为电子商务、电子政务、网上银行和网上证券业提供一整套安全保证的基础平台。用户利用PKI基础平台所提供的安全服务,能在网上实现安全地通信。PKI的核心执行机构是认证机构CA,其核心元素是数字证书。
2、公钥密码技术。公钥密码技术也叫非对称密钥加密,他把密钥分解为一对,即一把公用密钥和一把私用密钥。这对密钥中的任何一把都可作为公钥(加密密钥)通过非保密的方式向他人公开,而另一把则作为私钥(解密密钥)加以保存。其加解密的过程为:发方与收方通信时,发方利用收方公布的公钥对信息进行加密,收方受到加密的信息后用他所保存的私钥进行解密。这样整个通信过程就在保密的情况下完成了。在这种体制当中,公钥是公开的,可以公布在网上,也可以公开传递给需要的人;私钥只有本人知道,是保密的。目前广泛使用的加密算法是RSA算法,按现在的计算机技术水平,破解目前采用的1024位的RSA密钥,需要上千年的时间。公钥算法解决了传输过程中信息的保密性问题。
3、数字摘要。数字摘要是一种唯一对应一个消息的值,他是由单向Hash函数加密算法对一个消息而生成的128位的密文,因为是单向的,所以不能被解密。不同的消息摘要不同,相同消息其摘要相同,因此摘要成为消息的“指纹”,以验证消息是否是“真身”。发送端将消息和摘要一同发送,接收端收到后,用函数对收到的消息产生一个摘要,与收到的摘要对比,若相同,则说明收到的消息是完整的,在传输过程中没有被修改,否则,就是被修改过,不是原消息。数字摘要方法解决了信息的完整性问题。
4、认证机构CA和数字证书。CA是数字证书的认证中心,负责发放、更新、撤销、验证数字证书,它作为电子商务交易过程中具有权威性和公正性的第三方为交易双方提供身份验证。
数字证书也叫数字凭证、数字标识,就好像人们的身份证一样,他是在一种在Internet上验证身份的方式,是用来标志和证明网络通信双方身份的数字信息文件。数字证书主要包括4个方面的内容:证书拥有者的信息、证书拥有者的公钥、证书的有效期和证书颁发机构的数字签名。证书的这些内容主要用于身份认证。CA签发证书时,要对证书的内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,同时将网上身份与证书绑定。数字证书是公钥的载体。现行的PKI机制一般为双证书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一个是签名证书。
四、数字签名的实现
数字签名是基于PKI实现的一种技术,他将消息摘要用发送者的私钥加密,于原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。对一个电子文件进行数字签名并在网上传输,首先要对交易双方进行身份认证,然后进行签名,最后是对签名的验证。
1、身份认证。身份认证就是身份识别与鉴别,确认实体即为自己所声明的实体。认证的前提是双方都具有第三方CA所签发的证书。证书的获取有两种方式:一种是双方互相把证书传递给对方,一种是双方向CA的目录服务器查询以索取对方证书。认证过程:通信双方甲和乙进行身份认证,甲获得乙的证书之后,首先用CA的证书公钥对乙证书的签名进行验证,一旦验证通过,就被认为该证书是该CA签发的有效证书,然后再检查证书的有效期,查看该证书是否作废。
2、数字签名的操作过程。电子商务的交易双方,在互相认证身份之后,即可发送签名的数据电文。首先生成被签名的数据电文,对数据电文用哈希算法作数字摘要,然后对数字摘要用签名私钥作非对称加密,即作数字签名;再将数据电文用接收方的加密公钥进行加密形成加密电文;之后将以上的签名和加密电文以及签名证书的公钥加在一起进行封装,形成签名结果发送给收方。
3、数字签名的验证过程。接收方收到发方的签名结果后进行签名验证。首先用发方公钥解密数字签名,导出数字摘要,对加密电文用私钥解密出原数据电文,并对其做同样的哈希算法得到一个新的数字摘要,将两个摘要进行比较,如果相同,签名有效。
4、数字签名实现的意义。数字签名实现了和传统签名一样的作用,保证了交易双方的身份验证、信息的保密、信息的完整和对所发电文的不可否认。(1)通过验证签名,确定该数据电文确实是由发方签名后发送的,因为发方的数字证书只有发方唯一拥有,故发方对数据电文签名之后,就无法否认。(2)通过比较数字摘要,接受方能过确定收到的数据电文在传输过程中是否被篡改,保证了数据的完整性,因为签名后的数据电文的任何改动都能够导致前后数字摘要的不一致。(3)应用公钥密码技术,数据电文在传输过程中实现了加密,防止了信息的泄漏,实现了信息的保密性。(□文/刘福礼) |
|
|
|
