秦皇岛职业技术学院 王福全
目前,电子商务已成为各行业扩展业务的有力方式,而由于互联网的安全性、开放性、共享性、动态性发展,使得任何人都可以自由接入。电子商务在这样的环境中,时时受到安全的威胁。目前制约着我国电子商务发展最重要的问题就是电子商务的安全问题。
电子商务在全球范围内的迅猛发展,使电子商务中的网络安全问题日渐突出。在传统交易中,买卖双方是面对面的,因此比较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,消费者、商户、银行是通过网络来联系的,彼此远隔千山万水通过网络来完成购物、支付等一系列的商务活动,如果系统安全性被破坏,入侵者就有可能假冒成合法用户来改变用户数据、解除用户订单或生成虚假订单,使商户遭受损失。消费者在将个人数据或自己的身份数据(如口令)发送给商户时,这些信息也可能会在传递过程中被窃听,使消费者受到损失。因此,电子商务系统中交易各方都面临着安全威胁。
一般来说,电子商务安全中普遍存在着以下几种安全隐患。(1)信息的泄漏。表现为商业机密的泄漏,交易双方交易的内容被第三方窃取。(2)信息的篡改。表现为商业信息的真实性和完整性的破坏。(3)信息的假冒。表现为第三方假冒交易一方的身份,破坏交易、破坏被假冒方的信誉或盗取被假冒方的交易成果等。(4)交易的抵赖。交易抵赖包括多个方面,如发信者事后否认曾发送过某条信息,收信者事后否认曾收到过某条消息等。
电子商务随时面临的威胁,导致了对电子商务安全的需求,真正实现一个安全电子商务系统所要求做到的各个方面主要包括机密性、完整性、认证性和不可抵赖性等。即:如何保证电子商务中涉及的大量保密信息在公开网络的传输中不被窃取;如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易;在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性;在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易。
因此,为了保证互联网上电子交易及支付的安全性、保密性等,防范交易及支付过程中的欺诈行为,那么,就必须在网上建立一种信任机制。数字证书是一种权威性电子文档,在互联网交往中可以用它来证明自己的身份和识别对方的身份,数字证书具有广泛的应用前景。
证书的颁发机构叫做认证中心(Certificate Authority),通常简称CA。认证中心承担网上安全电子交易认证服务,它是能签发数字证书并能确认用户身份的服务机构,是一个具有权威性、公正性的第三方。用户向CA提交自己的公开密钥和代表自己身份的信息,CA验证了用户的有效身份之后,向用户颁发一个经过CA私有密钥签名的证书。在数字证书认证过程中,CA作为权威的、公正的、可信赖的第三方,其作用是至关重要的,它负责发放和管理数字证书,同样,认证中心也允许管理员撤销发放的数字证书,在证书废止列表CRL中添加新项并周期性地发布这一数字签名的CRL。发放的数字证书可以存放于IC卡、硬盘、U盘等存储介质中,以确保用户信息不被非法读取及篡改。
电子商务的关键是安全,网上安全交易的基础是数字证书(Digital ID),又称数字凭证。它提供了一种在网络上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。在网上进行商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有效的交易操作。通俗地讲,数字证书就是网络身份证,数字证书将身份绑定到一对可以用来加密和签名数字信息的电子密钥,它能够验证一个人使用给定密钥的权利,这样有利于防止利用假密钥冒充其他用户的人,它与加密一起使用,可以提供一个更加完整的信息安全技术方案,确保交易中各方的身份。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名的不可否认性,从而保障网络应用的安全性。
电子商务中,数字证书的安全性在于:它采用公钥体制,利用一对互相匹配的密钥进行加密和解密。所谓的相互匹配是指:一个公钥对应一个私钥。每个证书持有人都有一对公钥和私钥。公钥是公开的,大家都知道的,不需要保密的。私钥是不能告诉大家只能自己持有、自己知道的。而且,如果用其中一个密钥加密数据,则只有对应的那个密钥才可以解密。假设甲为发送方,乙为接收方,甲需向乙发送一份保密文件。此时,发送方甲使用乙方的公钥对数据进行加密,而接收方乙则用自己持有的与此公钥配对的私钥进行解密,这样信息就可以安全无误地到达目的地了。这是一个不可逆过程。
数字证书的安全性不仅如此,数字证书在公开密钥密码体制中,还采用了一种RSA体制。RSA体制的数学原理如下:将一个大数分解成两个质数的乘积,因为加密和解密用的是两个不同的密钥,所以,即使明文、密文和公钥均被第三方获知,第三方想要推导出解密密钥即私钥,在计算上也是不可能的。因为,目前采用的是1024位RSA密钥,按现在的计算机水平,至少需要上千年的计算时间才能破解1024位RSA密钥。那么,在电子商务环境下,商户就可以公开公钥,而保留配对的私钥,这时,购物者用人人皆知的公钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私钥进行解密。
数字证书的安全性,还体现在它的认证过程。身份认证和加密不同。身份认证也就是鉴别用户的真伪。对于用户真伪的认证过程,主要是能够鉴别其私钥的正确性,就可以鉴别这个用户的真伪了。我们仍以甲方和乙方来说明。甲想向乙证明自己的真实性,而不是假冒的,甲需要用他的私人密钥对文件加密,从而对文件签名。甲将签名后的文件发送给乙,乙在收到有甲签名的文件后,用甲的公钥对文件进行解密,如果解密成功,则证明甲的私钥是正确的,从而也就证明了甲身份的真实性,也就完成了对甲的身份签别。简单地说,就是甲使用自己的私钥加密,乙使用甲的公钥进行解密。这样的过程不仅使签发者对于发送的信息不能否认而且难以否认,而且还保证了信息自签发至收到为止,未曾作过任何修改,保证了签发文件的真实性。
甲准备好要传送的数字信息(简称明文),并对数字信息进行哈希运算,得到一个信息摘要。甲用自己的私钥对信息摘要进行加密得到数字签名,并将其附在数字信息上。此时会随机产生一个加密密钥(DES密钥),并且此密钥对要发送的信息进行加密,形成密文。甲用乙的公钥对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。乙收到甲传送过来的密文和加过密的DES密钥,先用自己的私钥对加密的DES密钥进行解密,得到DES密钥。乙然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后对DES密钥抛弃(即DES密钥作废)。乙用甲的公钥对甲的数字签名进行解密,得到信息摘要。乙用相同的哈希算法对收到的明文再进行一次哈希运算,得到一个新的信息摘要。乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。
电子商务以其独有的魅力正在成为我们日常生活中不可缺少的一部分,而电子商务的安全从电子商务诞生的那一刻开始就一直伴随其左右。数字证书被比喻成个人或单位在网络上的身份证,数字证书还含有数字签名,因此,我们不仅能够完成用户的身份认证,而且还能实现网络信息的保密性、完整性以及不可否认性。了解数字证书,有助于我们更好地运用它来保障电子商务的信息安全。
[1]张炯明.电子商务实用技术[M].清华大学出版社.
[2]周华祥.网络及电子商务安全[M].中国电力出版社.
[3]杨晓燕.信息安全导论[M].机械工业出版社.
[4]陈广山.网络与信息安全技术[M].机械工业出版社.