2021-4-9 | 电子商务
本文作者:陈小军
网络环境中的电子商务需要大量的信息,包括商品生产和供应信息(商品的产地、价格、产量、质量、规格、品种等)、商品需求信息(消费群体、购买力水平、消费水平和消费结构、购买倾向等)、商品竞争信息(新产品开发、销售渠道、价格策略、竞购和竞销能力、促销策略等)、财务信息(价格撮合、支付方式、收支款项等)、市场环境信息(政治状况、经济状况、自然条件等)、客户个人信息(姓名、家庭地址、联系方式、银行帐号等)。这些信息通过合同、定单、文件、财务核算、凭证、标准、条例等形式在交易双方及参与交易的其他各方之间不断传递。为了保证交易过程的顺利完成,必须保证上述信息在传递过程中的安全性。任何成功的电子商务必须提供足够的安全性、可靠性、可用性,才能赢得客户的信赖和欢迎。
一、电子商务中的信息安全因素
一个安全的电子商务系统主要包括信息的机密性、完整性、不可抵赖性、有效性和认证性。1.机密性预防信息在传输过程中被非法窃取。机密性一般通过密码技术对传输的信息进行加密处理实现。2完整性预防对信息的随意生成、修改。完整性一般通过提取信息的数字摘要以及数字签名方式来实现。3.不可抵赖性对参与电子商务交易的个人和实体进行真实身份标识,防止其对传输的信息进行抵赖。不可抵赖性通过对发送的信息进行数字签名来实现。4.有效性以保证贸易数据在确定的时刻、确定的地点是有效的。有效性可以用数字时间戳来实现。5.认证性数字签名、数字时间戳本身不能证明提供者的真实身份。对个人或实体的身份进行鉴别,为身份的真实性提供保证,这意味着当某人或某实体声称具有某个特定的身份时,鉴别服务将提供一种方法来验证其声明的正确性。认证性一般通过证书机构CA和数字证书来实现。
二、数字证书与认证机构CA
数字证书简称证书,是由认证机构CA(Cer-tifieateAuthority)签发的一份电子文件,证明证书主体(“证书申请者”拥有证书后即为“证书主体”)与证书中所包含的公钥的惟一对应关系。它是数字签名的技术基础保障。数字证书采用公开密钥密码体制技术,证书上的公钥惟一与实体身份绑定,是网上实体身份的身份证,证明某一实体的身份以及其公钥的合法性。证书的主要内容及格式遵循X.509国际标准,一个标准的X.509数字证书包含以下一些内容(参见图1):(l)证书的版本信息;(2)证书的序列号,每个证书都有一个惟一的证书序列号;(3)证书所使用的签名算法;(4)证书的发行机构名称,命名规则一般采用X.509格式;(5)证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950一2049,证书的有效期为一年;(6)证书所有人的名称,命名规则一般采用X.509格式;(7)证书所有人的公开密钥;(8)证书发行者对证书的数字签名。
三、非对称加密技术(公开密钥密码体制)
公开密钥密码体制是美国在1976年制定的。最有名的公开密码体制技术是RSA算法,它是以三个发明人的名字命名的(凡vest,Shahar,Adellnan)。它与传统的对称密钥算法有本质的区别,对称密钥算法常用的是DES(L胜taEnc卿tionStandard)算法,加/解密时用的是同一个密钥。而公钥算法采用的是非对称的密钥(一对密钥),每对密钥由一个公钥和一个私钥组成。密钥对中的每个密钥都可用于加密和解密,但只能成对使用,即用公钥加密的密文只能用对应的私钥解密,反之亦然。RSA算法的基本原理是,利用两个足够大的质数与被加密原文相乘生产的积来加密/解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要进行对大数分解质因子,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的(根据目前计算机的计算能力,破解RSA算法的密钥大概需要1016年)。因此,将这两个质数作为密钥对,其中一个采用私密的安全介质保密存储起来,不对任何外人泄露,简称为“私钥”;另一个密钥可以公开发表,这个密钥称之为“公钥”。公/私密钥对的用途,①公钥加密私钥解密主要用于发信,当发方向收方通信时,发方用收方的公钥对原文进行加密,收方收到发方的密文后,用自己的私钥进行解密,其他人是无法解密的;②私钥加密公钥解密主要用于签名,当发方向收方签发文件时,发方用自己的私钥加密文件传送给收方,收方用发方的公钥进行解密,可确保信息来源于发方。因此,私钥可保证信息来源的不可抵赖性,公钥可保证信息的机密性。密钥对的产生可由认证机构的密钥管理中心负责提供,也可由用户离线产生。密钥对一经产生便自动将其销毁或者为了以后密钥的恢复的需要而将其存人离线的安全黑库里,以上这此工作都由程序自动完成。在密钥对产主以后,公钥通过签证中心CA以证书的形式向用户发放,私钥经加密后用PIN卡(或IC卡)等形式携带分发至用户。
四、数字签名技术
数字签名用于电子文档,就像亲笔签名用于印刷文档。数字签名是一条不能伪造的信息,表示一个具名人写了或同意该附带签名的文档。数字签名信息的接收者可以验证该信息源于签名的人以及该信息在签名后未被有意或无意的更改过。换句话说,数字签名支持数字信息的“鉴定”,向数字信息的接收者保证发送者的身份和该信息的完整性。数字签名在1507498一2标准中定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。实际应用时,数字签名是通过一个单向函数(称为哈希算法、HASH算法)对要传送的电子文件进行处理得到数字摘要(也称为报文摘要或信息摘要),再用私钥对摘要加密得到数字签名。数字签名的具体做法是:首先,将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘其次,将该报文摘要值用发方的私人密钥加密,然后连同原报文一起发送给收件人,而加密后的报文摘要即为数字签名。最后,收件人收到报文后,用同样的HASH算法对报文计算摘要,然后与用发件人的公钥进行解密得到的报文摘要相比较。如两者相等则说明报文确实来自发件人。采用数字签名,能够确认以下两点:第一,保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;第二,保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。因此,数字签名技术可以解决信息传输过程中的否认、伪造、篡改及冒充等问题。