钟红山
中图分类号:F724 文献标识码:A
内容摘要:目前,电子商务已经成为人们通过网络进行交易的商品交易模式,与此同时,网络交易的安全性、完整性、有效性、真实性问题凸显。具体表现为:交易主体的数字身份是否真实,交易主体使用的数字签名是否有效,交易过程是否安全。本文从应用的角度,阐述了电子商务系统中交易主体的数字身份认证过程,以期对电子商务系统的有序发展有所借鉴。
关键词:电子商务系统 身份认证 数字身份 数字签名 RSA
电子商务系统与传统商品交易系统的比较
电子商务系统是一个以信息技术为平台的商品交易系统。它不像传统的商品交易系统买卖双方一手交钱一手交货、面对面进行交易,而是通过计算机网络采用远程、异地方式进行商品交易。虽然传统商品交易系统与电子商务系统采用的交易方式不同,但是他们的交易过程与交易内容是完全相同的:由买方与卖方作为交易主体进行商品交易,由买方提出商品交易请求,由卖方接受交易请求,由买方支付货款,由卖方确认支付后将交易商品配送给买方指定的配送地点,由买方对交易的商品进行签收确认。为了保证商品交易的正常进行,参与交易的各方的身份必须真实、有效。
在传统的商品交易过程中,交易主体的身份证明可以是:公安机关颁发的个人身份证明——居民身份证、工商管理局颁发的企业资格证明——营业执照。为了能够明示身份证明(企业资格证明)持有者(持有单位)的真实性、有效性,在个人身份证明(企业资格证明)中融入能够有效区分持有者(持有单位)的元素,如个人照片、手写签名、公章等。
然而对于电子商务环境下的商品交易来说,传统的身份证、营业执照等身份、资质证明资料已无法确认交易主体的真实身份。因为所有与商品交易有关的单据都是数字单据(包括数字订单、数字在线支付凭证、交易确认数字单据等),在交易过程中无法确认交易主体(如商品购买者、商品销售者、承担在线支付的银行机构等)的真实身份。为了实现对交易主体的身份进行有效确认,可以采用非对称加密解密算法、PKI公钥基础设施、认证机构CA等相关技术。本文从应用的角度诠释电子商务系统中交易主体的数字身份认证过程,阐述了数字身份的特点、重要性以及实际应用中从颁发到认证的过程。
电子商务系统存在的不安全因素
系统安全是电子商务系统维持正常运转的关键。一个安全的环境可以促进电子商务的发展,相反,缺少安全的环境则会制约电子商务的发展。电子商务系统的不安全因素包括外部因素和内部因素:
外部因素指在电子商务系统交易过程中除去买方、卖方、银行、物流公司等与商品交易有直接关系的各方主体外,存在一个或几个非正常主体侵入交易,导致交易过程中的关键信息泄露。通常这些非正常主体采用克隆网站、植入木马程序等方法获取关键信息,如用户名、密码等。
内部因素指在交易进行当中一个合法交易主体无法正常履行交易职责,导致交易出现异常,这种异常可能是下了订单不付款、收了货款不配送商品等。
电子商务系统交易主体的数字身份认证
身份是每一个主体拥有的标识,这种标识必须具有唯一性,一般的身份标识要素包括照片、指纹、巩膜、手写签字、身份证、数字身份、驾驶执照、军官证、护照、印章、营业执照等。这些身份标识当中有一些是主体与生俱来的,被称为自然属性,如照片、指纹、巩膜、手写签字等。另一些标识则是由专门的机构颁发的用于鉴别主体身份的标识,被称为非自然属性,如身份证、数字身份、驾驶执照、军官证、护照、印章、营业执照等。在商品交易过程中,明示身份的目的是向对方表明自己的真实身份,如果交易的一方无法查明另外一方的身份,或者另外一方使用虚假身份,这样就很容易产生交易纠纷。
传统商品的交易步骤包括订货请求、支付货款、交货。在传统商品交易过程中支付货款分两种情况:一种情况是采用现金支付,交易一次货款两清,任何一个主体都可以参与交易,并且不需要出具任何身份证明;另一种情况是采用信用卡支付,则只需顾客出示信用卡,并且在银行指定的POS机上进行刷卡完成货款支付,一般情况下要求顾客划款时在POS机打印的支付单据上进行签名,收款员对签字进行鉴别,然后售货员将货品提交给顾客。
电子商务系统的交易步骤包括顾客向商家提交订货申请、顾客向银行提交支付申请、银行确认支付请求、商家确认订货请求、商家确认货款到账、商家配送商品给顾客、顾客签收商品。在电子商务系统交易过程中参加交易的主体可能有顾客、商户、银行、物流公司、身份认证机构。在进行的每一个交易步骤都需要在相关两个地处不同地区的交易主体之间,通过计算机远程通讯的方式完成信息的交换与确认。同时为了保证每一个交易步骤、交易主体及交易内容都是真实、完整、有效的,必须对交易主体的身份进行认证,同时对交易中主体之间交换的数字单据进行验证。
在顾客向商家提交订货申请及商家确认订货请求的交易步骤中,需要进行数字身份认证的主体有顾客与商户,顾客在商户的网站上选购商品,在决定购买选中的商品后,向商户提交订货申请(订购单)。在该步骤中,顾客首先要向商户网站展示自己的“身份”,应该采用“显式”的方式展示自己的“数字身份”,即对提交的数字订单进行数字签名后发送给商户。另外商户网站同时也要向顾客展示自己的真实“数字身份”,用于顾客对商户的合法经营身份进行确认,从而防止顾客登录非法网站导致在注册过程中泄露个人关键信息。
在顾客向银行提交支付申请及银行确认支付请求的交易步骤中,涉及的需要进行数字身份认证的主体有顾客与银行。一般情况下,顾客要选择相应的银行通过网络进行在线支付,目前,接受在线支付的银行能够掌握支付主体顾客的个人资料,而支付主体顾客却无法得到银行的资质资料,银行与顾客之间的身份认证是一种不对称的认证。对于顾客来讲,为了防止受非法主体的欺骗,进行在线支付时需要对银行资质进行确认,也就是说银行应该采用“显式”的方式向支付主体出示自己的“数字身份”,该方式可以作为出现纠纷时顾客掌握交易中银行身份的第一手真凭实据。
第三方认证机构参与的必要性
第三方认证机构也称作数字身份认证机构,在信息交换过程中为了保证信息交换主体的数字身份的真实性,交换的双方彼此之间要进行数字身份相互认证,就是认证需求方经过认证确认被认证方的数字身份是否真实。数字身份认证是指由需求方提出认证需求给认证机构,由认证机构返回被认证方的数字身份认证结果。因为身份认证结果既不能由需求方给出,也不能由被认证方给出,只能由需求方和被认证方以外的机构给出,该机构即第三方认证机构。
第三方认证机构是一个认证网络用户数字身份的机构,该认证机构保存每一个合法用户用于数字身份鉴别的数字证书,以及有选择的保存相关认证结果资料。数字证书持有者如果是个人,被称为“数字身份证”;如果是企业,则可以被称为“数字营业执照”。为了保证数字身份认证的公正、公平、安全,数字身份认证工作必须独立于认证需求方与被认证方,认证结果应该具有法律效力。因此,数字身份认证机构应该是一个具有政府职能的管理机构,而不能是一个带有任何商业特色、以盈利为目的的机构。
交易主体数字身份认证的实施
认证在电子商务系统交易过程中是一项非常重要的工作,包括数字身份认证和数字单据认证。数字单据记录了交易内容的真实性,数字身份表示了交易主体的真实性。目前,在电子商务平台进行商品交易时,各个交易环节没有任何数字实物单据作记录,如数字订购单、数字汇款单、数字身份证明等,买方与卖方、买方与银行相互之间的数字身份认证是不对称的,卖方与银行可以要求买方在交易或划款时提供相应身份证明资料,而买方却无法掌握卖方或银行的资质证明。
出于安全、公平等因素考虑,本文设计的交易过程中每一个环节不仅要确认交易主体的数字身份,同时还要保存经过数字签名的相关数字单据。电子商务系统中每一个交易步骤都要采用“显式”的方式用数字单据进行记录,对交易主体也采用“显式”的方式对其数字身份进行认证。为了保证主体身份的真实性及记录内容的真实性,要对交易主体的数字身份通过第三方认证机构进行认证,并且对所有数字单据进行数字签名及认证。
本文以RSA算法为基础阐述数字证书(格式为X.509)的颁发、对数字文档的签名和对数字证书持有者的身份认证。采用RSA算法,每一个数字用户拥有一对密钥,公钥PK、私钥SK和公共模N,通过指数取模运算完成加密和解密。其中用户的公钥PK和公共模N完全公开,并作为数字证书持有者的数字身份关键要素保存在第三方认证机构,私钥SK只能由数字用户自己掌握。
RSA算法应用过程包括以下方面:
公钥颁发。由第三方认证机构选择一个素数PK作为公钥颁发给一个用户US,该公钥是一个不重复的、唯一的密钥。
私钥生成。用户US收到PK后,选择两个素数P和Q,计算一个公共模N=P*Q,计算针对PK和(P-1)*(Q-1)的模逆元,得到私钥SK。私钥生成过程应该使用独立于计算机的专用私钥生成器(该生成器可以是一个单片机系统),从而确保私钥只有持有者自己掌握,有效的防止木马程序的危害和黑客的攻击。
注册数字证书。用户US将公钥PK和公共模N作为必备的、唯一的、不重复的数字身份标识(可以把PK+N称作数字身份证号)发送给第三方认证机构申请数字证书,该数字证书可以向任何一方公开。为了保证数字证书真实、有效,可以有选择的在数字证书中添加用户相应的其他身份标识元素,例如照片、指纹、巩膜、居民身份证号、营业执照编号、军官证编号、护照编号、驾驶执照编号等。数字证书的格式可以采用X.509,其他身份标识元素可以作为数字证书的附加部分。
数字签名。用户US使用自己的私钥SK和公共模N对数字文档采用指数取模运算进行加密运算,完成对数字文档进行的数字签名SI,然后再使用公钥PK和公共模N对SI采用指数取模进行解密运算验证数字签名。
数字身份认证。用户US以外的任何一方可以要求验证用户US的数字身份,具体做法就是需求方将US公开的数字证书提交给第三方认证机构,认证机构将认证结果反馈给对US提出认证需求的需求方,主要数字身份认证依据是用户US的公钥PK和公共模N。
综上所述,使用数字签名和数字身份是网络环境下保证数字文档交换安全运行的基本保证。一方面,要有效确定交换主体的数字身份,有效鉴别数字文档的数字签名;另一方面,使用计算机外联部件维护密钥、进行加密解密运算主要目的就是抵抗黑客的攻击、防止木马程序窃取密钥。总之,在现有的环境下要构筑一个安全的交易平台,保证交易主体和交易过程真实、有效、安全。
参考文献:
1.梁晋著.电子商务核心技术.西安电子科技大学出版社,2000
2.Bruce Schneier著,吴世忠等译.应用密码学.机械工业出版社,2000
3.马建峰著.计算机系统安全.西安电子科技大学出版社,2007