[摘 要] 隨著電子商務(wù)的發(fā)展，交易的安全成為其核心和關(guān)鍵問(wèn)題。本文著重介紹了信息認(rèn)證中的信息加密技術(shù)及數(shù)字簽名技術(shù)。

[關(guān)鍵詞] 電子商務(wù) 信息認(rèn)證 身份認(rèn)證 數(shù)字簽名

隨著通信網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)給人們的工作和生活帶來(lái)了新的嘗試和便利，也帶來(lái)了一些問(wèn)題，由于網(wǎng)絡(luò)本身的開(kāi)放性，使電子商務(wù)面臨種種風(fēng)險(xiǎn)，也由此提出了安全控制要求?？蛻?hù)認(rèn)證是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)，主要包括身份認(rèn)證和信息認(rèn)證。身份認(rèn)證用于鑒別用戶(hù)身份，而信息認(rèn)證用于保證通信雙方的不可抵賴(lài)性和信息的完整性。在某此情況下，信息認(rèn)證顯得比信息保密更為重要。

一、身份認(rèn)證

身份認(rèn)證是通過(guò)身份識(shí)別技術(shù)及其他附加程序?qū)τ脩?hù)的身份進(jìn)行確認(rèn)的全部過(guò)程。要在網(wǎng)上使交易安全、成功，首先要能夠確認(rèn)對(duì)方的身份。電子商務(wù)環(huán)境對(duì)身份識(shí)別技術(shù)的基本要求有： 1.身份的認(rèn)證必須數(shù)字化；2.安全、健康，對(duì)人的身體不會(huì)造成傷害；3.快速、方便、易使用；4.性能價(jià)格比高，適合普及推廣。用于身份認(rèn)證的技術(shù)較多，最常用的是密碼，使用身份標(biāo)識(shí)碼加密碼來(lái)進(jìn)行安全防范，如用戶(hù)口令；還有使用物理載體的方式，例如使用證件、鑰匙、各種卡等有形的載體來(lái)識(shí)別身份；另外還有生物特征身份識(shí)別方式，使用指紋、面像、視網(wǎng)膜、DNA、語(yǔ)音等特征來(lái)識(shí)別身份。

二、信息認(rèn)證

信息認(rèn)證的目的是防止信息被篡改、偽造，或信息接收方事后否認(rèn)。確保電子商務(wù)的安全、可靠、一致性十分重要。信息認(rèn)證技術(shù)是電子商務(wù)系統(tǒng)中的重要組成部分。由于網(wǎng)絡(luò)上的信息是容易修改、復(fù)制的，通過(guò)電子數(shù)據(jù)方式達(dá)成的交易文件是不能被否認(rèn)的，因此確保電子交易的信息都必須是不可否認(rèn)的、不可被修改的，否則網(wǎng)上的交易就沒(méi)有嚴(yán)肅和公正性。為實(shí)現(xiàn)這一目標(biāo)，除了采用身份認(rèn)證起到確保網(wǎng)上交易者身份的真實(shí)可信外，信息認(rèn)證就用來(lái)確保交流的信息完整、不可抵賴(lài)性，以及信息訪問(wèn)的權(quán)限控制。

信息認(rèn)證主要有兩種方式：信息加密和數(shù)字簽名。而實(shí)現(xiàn)這些技術(shù)都要應(yīng)用數(shù)據(jù)加密技術(shù)。

1.加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱(chēng)對(duì)稱(chēng)密鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對(duì)稱(chēng)加密技術(shù)的最大優(yōu)勢(shì)是加密或解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。公鑰密鑰加密，又稱(chēng)非對(duì)稱(chēng)密鑰加密系統(tǒng)，它需要兩個(gè)密鑰——公開(kāi)密鑰(Public-Key)和私有密鑰（Private-Key）。如果用公開(kāi)對(duì)密鑰進(jìn)行加密，只有用對(duì)應(yīng)的私有密鑰才能進(jìn)行解密；如果用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公開(kāi)才能解密。非對(duì)稱(chēng)加密常用的算法是RSA。RSA算法利用兩個(gè)足夠大的質(zhì)數(shù)與被加密原文相乘生產(chǎn)的積來(lái)加密或解密。這兩個(gè)質(zhì)數(shù)無(wú)論是用哪一個(gè)與被加密的原文相乘(模乘)，即對(duì)原文件加密，均可由另一個(gè)質(zhì)數(shù)再相乘來(lái)進(jìn)行解密。但是求解幾乎是不可能的。非對(duì)稱(chēng)加密算法的保密性比較好，消除了最終用戶(hù)交換密鑰的需要，但加密和解密花費(fèi)時(shí)間長(zhǎng)、速度慢，不適合對(duì)文件加密而只適用于對(duì)少量數(shù)據(jù)進(jìn)行加密。

信息發(fā)送方采用對(duì)稱(chēng)來(lái)加密信息，然后將對(duì)稱(chēng)密鑰用接收方的公開(kāi)密鑰來(lái)加密，這部分稱(chēng)為數(shù)字信封(Digital Envelope)。之后，再分別和密文一起發(fā)送給接收方。接收方先用自己的私鑰打開(kāi)數(shù)字信封，得到對(duì)稱(chēng)密鑰，然后使用對(duì)稱(chēng)密鑰解開(kāi)信息。

2.數(shù)字簽名技術(shù)

對(duì)信息進(jìn)行加密只解決了電子商務(wù)安全的第一個(gè)問(wèn)題，而要防止他人破壞傳輸?shù)臄?shù)據(jù)，還要確定發(fā)送信息人的身份，這就需要采取另外一種手段——數(shù)字簽名。數(shù)字簽名采用了雙重加密的方法來(lái)實(shí)現(xiàn)防偽、防抵賴(lài)。

把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒(méi)有被修改，而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH。把這兩種機(jī)制結(jié)合起來(lái)就可以產(chǎn)生所謂的數(shù)字簽名（Digital Signature）。將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要(Mes-sage Digest)值。只要改動(dòng)報(bào)文的任何一位，重新計(jì)算出的報(bào)文摘要就會(huì)與原先值不符。然后把該報(bào)文的摘要值用發(fā)送者的私人密鑰加密，將該密文同原報(bào)文一起發(fā)送給接收者，所產(chǎn)生的報(bào)文即稱(chēng)數(shù)字簽名。

在電子商務(wù)的發(fā)展過(guò)程中，數(shù)字簽名技術(shù)也有所發(fā)展，以適應(yīng)不同的需要。數(shù)字時(shí)間戳就是一種變種的應(yīng)用。在交易文件中，時(shí)間是十分重要的信息，在書(shū)面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被和篡改的關(guān)鍵內(nèi)容。時(shí)間戳是一個(gè)經(jīng)過(guò)加密后形成的憑證文檔，它包括三個(gè)部分：需加時(shí)間戳的文件的摘要，DTS收到文件的日期和時(shí)間及DTS的數(shù)字簽名。

3.認(rèn)證機(jī)構(gòu)

在電子交易中，無(wú)論是數(shù)字簽字的簽別還是數(shù)字時(shí)間戳服務(wù)都不是僅靠交易的雙方自己能完成的，需要一個(gè)具有權(quán)威性和公正性的第三方來(lái)幫助實(shí)現(xiàn)。認(rèn)證中心CA就是承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶(hù)身份的服務(wù)機(jī)構(gòu)。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，具有半官方的身份，主要任務(wù)是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)的管理。通過(guò)認(rèn)證機(jī)構(gòu)來(lái)認(rèn)證買(mǎi)賣(mài)雙方的身份和信息，是保證電子商務(wù)交易安全的重要措施。

總之，安全是電子商務(wù)的核心和靈魂，沒(méi)有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨(dú)立的個(gè)人或團(tuán)體都不會(huì)愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。而信息認(rèn)證能夠支持電子商務(wù)應(yīng)用的主要模式，確保交易信息的安全性，從而極大地推動(dòng)電子商務(wù)的發(fā)展。

參考文獻(xiàn):

[1]傅鉛生:電子商務(wù)教程[M].國(guó)防工業(yè)出版社，2006.8

[2]陳景艷 茍娟瓊:電子商務(wù)技術(shù)基本[M].電子工業(yè)出版社，2003.9

[3]劉繼州:信息安全技術(shù)在電子商務(wù)中的應(yīng)用[J].商場(chǎng)現(xiàn)代化，2007（6）