淺談電子商務(wù)環(huán)境下數(shù)字證書的安全作用

秦皇島職業(yè)技術(shù)學(xué)院 王福全

目前，電子商務(wù)已成為各行業(yè)擴(kuò)展業(yè)務(wù)的有力方式，而由于互聯(lián)網(wǎng)的安全性、開放性、共享性、動(dòng)態(tài)性發(fā)展，使得任何人都可以自由接入。電子商務(wù)在這樣的環(huán)境中，時(shí)時(shí)受到安全的威脅。目前制約著我國電子商務(wù)發(fā)展最重要的問題就是電子商務(wù)的安全問題。

電子商務(wù)在全球范圍內(nèi)的迅猛發(fā)展，使電子商務(wù)中的網(wǎng)絡(luò)安全問題日漸突出。在傳統(tǒng)交易中，買賣雙方是面對(duì)面的，因此比較容易保證交易過程的安全性和建立起信任關(guān)系。但在電子商務(wù)過程中，消費(fèi)者、商戶、銀行是通過網(wǎng)絡(luò)來聯(lián)系的，彼此遠(yuǎn)隔千山萬水通過網(wǎng)絡(luò)來完成購物、支付等一系列的商務(wù)活動(dòng)，如果系統(tǒng)安全性被破壞，入侵者就有可能假冒成合法用戶來改變用戶數(shù)據(jù)、解除用戶訂單或生成虛假訂單，使商戶遭受損失。消費(fèi)者在將個(gè)人數(shù)據(jù)或自己的身份數(shù)據(jù)(如口令)發(fā)送給商戶時(shí)，這些信息也可能會(huì)在傳遞過程中被竊聽，使消費(fèi)者受到損失。因此，電子商務(wù)系統(tǒng)中交易各方都面臨著安全威脅。

一般來說，電子商務(wù)安全中普遍存在著以下幾種安全隱患。(1)信息的泄漏。表現(xiàn)為商業(yè)機(jī)密的泄漏，交易雙方交易的內(nèi)容被第三方竊取。(2)信息的篡改。表現(xiàn)為商業(yè)信息的真實(shí)性和完整性的破壞。(3)信息的假冒。表現(xiàn)為第三方假冒交易一方的身份，破壞交易、破壞被假冒方的信譽(yù)或盜取被假冒方的交易成果等。(4)交易的抵賴。交易抵賴包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾發(fā)送過某條信息，收信者事后否認(rèn)曾收到過某條消息等。

1 電子商務(wù)中數(shù)字證書的必要性

電子商務(wù)隨時(shí)面臨的威脅，導(dǎo)致了對(duì)電子商務(wù)安全的需求，真正實(shí)現(xiàn)一個(gè)安全電子商務(wù)系統(tǒng)所要求做到的各個(gè)方面主要包括機(jī)密性、完整性、認(rèn)證性和不可抵賴性等。即：如何保證電子商務(wù)中涉及的大量保密信息在公開網(wǎng)絡(luò)的傳輸中不被竊取；如何保證電子商務(wù)中所傳輸?shù)慕灰仔畔⒉槐恢型敬鄹募巴ㄟ^重復(fù)發(fā)送進(jìn)行虛假交易；在電子商務(wù)的交易過程中，如何對(duì)雙方進(jìn)行認(rèn)證，以保證交易雙方身份的正確性；在電子商務(wù)的交易完成后，如何保證交易的任何一方無法否認(rèn)已發(fā)生的交易。

因此，為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性、保密性等，防范交易及支付過程中的欺詐行為，那么，就必須在網(wǎng)上建立一種信任機(jī)制。數(shù)字證書是一種權(quán)威性電子文檔，在互聯(lián)網(wǎng)交往中可以用它來證明自己的身份和識(shí)別對(duì)方的身份，數(shù)字證書具有廣泛的應(yīng)用前景。

2 電子商務(wù)中數(shù)字證書的權(quán)威性與可信任性

2.1 證書認(rèn)證中心CA

證書的頒發(fā)機(jī)構(gòu)叫做認(rèn)證中心(Certificate Authority),通常簡稱CA。認(rèn)證中心承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù),它是能簽發(fā)數(shù)字證書并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu),是一個(gè)具有權(quán)威性、公正性的第三方。用戶向CA提交自己的公開密鑰和代表自己身份的信息，CA驗(yàn)證了用戶的有效身份之后，向用戶頒發(fā)一個(gè)經(jīng)過CA私有密鑰簽名的證書。在數(shù)字證書認(rèn)證過程中，CA作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的，它負(fù)責(zé)發(fā)放和管理數(shù)字證書，同樣，認(rèn)證中心也允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表CRL中添加新項(xiàng)并周期性地發(fā)布這一數(shù)字簽名的CRL。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤、U盤等存儲(chǔ)介質(zhì)中，以確保用戶信息不被非法讀取及篡改。

2.2 數(shù)字證書

電子商務(wù)的關(guān)鍵是安全,網(wǎng)上安全交易的基礎(chǔ)是數(shù)字證書(Digital ID),又稱數(shù)字憑證。它提供了一種在網(wǎng)絡(luò)上身份驗(yàn)證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。在網(wǎng)上進(jìn)行商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進(jìn)行有效的交易操作。通俗地講，數(shù)字證書就是網(wǎng)絡(luò)身份證，數(shù)字證書將身份綁定到一對(duì)可以用來加密和簽名數(shù)字信息的電子密鑰，它能夠驗(yàn)證一個(gè)人使用給定密鑰的權(quán)利，這樣有利于防止利用假密鑰冒充其他用戶的人，它與加密一起使用，可以提供一個(gè)更加完整的信息安全技術(shù)方案，確保交易中各方的身份。以數(shù)字證書為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。

3 電子商務(wù)中數(shù)字證書的安全性

電子商務(wù)中，數(shù)字證書的安全性在于：它采用公鑰體制，利用一對(duì)互相匹配的密鑰進(jìn)行加密和解密。所謂的相互匹配是指：一個(gè)公鑰對(duì)應(yīng)一個(gè)私鑰。每個(gè)證書持有人都有一對(duì)公鑰和私鑰。公鑰是公開的，大家都知道的，不需要保密的。私鑰是不能告訴大家只能自己持有、自己知道的。而且，如果用其中一個(gè)密鑰加密數(shù)據(jù)，則只有對(duì)應(yīng)的那個(gè)密鑰才可以解密。假設(shè)甲為發(fā)送方，乙為接收方，甲需向乙發(fā)送一份保密文件。此時(shí)，發(fā)送方甲使用乙方的公鑰對(duì)數(shù)據(jù)進(jìn)行加密，而接收方乙則用自己持有的與此公鑰配對(duì)的私鑰進(jìn)行解密，這樣信息就可以安全無誤地到達(dá)目的地了。這是一個(gè)不可逆過程。

數(shù)字證書的安全性不僅如此，數(shù)字證書在公開密鑰密碼體制中，還采用了一種RSA體制。RSA體制的數(shù)學(xué)原理如下：將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，因?yàn)榧用芎徒饷苡玫氖莾蓚€(gè)不同的密鑰，所以，即使明文、密文和公鑰均被第三方獲知，第三方想要推導(dǎo)出解密密鑰即私鑰，在計(jì)算上也是不可能的。因?yàn)?，目前采用的?024位RSA密鑰，按現(xiàn)在的計(jì)算機(jī)水平，至少需要上千年的計(jì)算時(shí)間才能破解1024位RSA密鑰。那么，在電子商務(wù)環(huán)境下，商戶就可以公開公鑰，而保留配對(duì)的私鑰，這時(shí)，購物者用人人皆知的公鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私鑰進(jìn)行解密。

數(shù)字證書的安全性，還體現(xiàn)在它的認(rèn)證過程。身份認(rèn)證和加密不同。身份認(rèn)證也就是鑒別用戶的真?zhèn)?。?duì)于用戶真?zhèn)蔚恼J(rèn)證過程，主要是能夠鑒別其私鑰的正確性，就可以鑒別這個(gè)用戶的真?zhèn)瘟恕Ｎ覀內(nèi)砸约追胶鸵曳絹碚f明。甲想向乙證明自己的真實(shí)性，而不是假冒的，甲需要用他的私人密鑰對(duì)文件加密，從而對(duì)文件簽名。甲將簽名后的文件發(fā)送給乙，乙在收到有甲簽名的文件后，用甲的公鑰對(duì)文件進(jìn)行解密，如果解密成功，則證明甲的私鑰是正確的，從而也就證明了甲身份的真實(shí)性，也就完成了對(duì)甲的身份簽別。簡單地說，就是甲使用自己的私鑰加密，乙使用甲的公鑰進(jìn)行解密。這樣的過程不僅使簽發(fā)者對(duì)于發(fā)送的信息不能否認(rèn)而且難以否認(rèn)，而且還保證了信息自簽發(fā)至收到為止，未曾作過任何修改，保證了簽發(fā)文件的真實(shí)性。

4 數(shù)字證書的應(yīng)用

甲準(zhǔn)備好要傳送的數(shù)字信息(簡稱明文)，并對(duì)數(shù)字信息進(jìn)行哈希運(yùn)算，得到一個(gè)信息摘要。甲用自己的私鑰對(duì)信息摘要進(jìn)行加密得到數(shù)字簽名，并將其附在數(shù)字信息上。此時(shí)會(huì)隨機(jī)產(chǎn)生一個(gè)加密密鑰(DES密鑰)，并且此密鑰對(duì)要發(fā)送的信息進(jìn)行加密，形成密文。甲用乙的公鑰對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。乙收到甲傳送過來的密文和加過密的DES密鑰，先用自己的私鑰對(duì)加密的DES密鑰進(jìn)行解密，得到DES密鑰。乙然后用DES密鑰對(duì)收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后對(duì)DES密鑰拋棄(即DES密鑰作廢)。乙用甲的公鑰對(duì)甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。乙用相同的哈希算法對(duì)收到的明文再進(jìn)行一次哈希運(yùn)算，得到一個(gè)新的信息摘要。乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。

5 結(jié)語

電子商務(wù)以其獨(dú)有的魅力正在成為我們?nèi)粘Ｉ钪胁豢扇鄙俚囊徊糠?，而電子商?wù)的安全從電子商務(wù)誕生的那一刻開始就一直伴隨其左右。數(shù)字證書被比喻成個(gè)人或單位在網(wǎng)絡(luò)上的身份證，數(shù)字證書還含有數(shù)字簽名，因此，我們不僅能夠完成用戶的身份認(rèn)證，而且還能實(shí)現(xiàn)網(wǎng)絡(luò)信息的保密性、完整性以及不可否認(rèn)性。了解數(shù)字證書，有助于我們更好地運(yùn)用它來保障電子商務(wù)的信息安全。

[1]張炯明.電子商務(wù)實(shí)用技術(shù)[M].清華大學(xué)出版社.

[2]周華祥.網(wǎng)絡(luò)及電子商務(wù)安全[M].中國電力出版社.

[3]楊曉燕.信息安全導(dǎo)論[M].機(jī)械工業(yè)出版社.

[4]陳廣山.網(wǎng)絡(luò)與信息安全技術(shù)[M].機(jī)械工業(yè)出版社.