黄蕾
[摘 要]电子商务是一种新型的商业运营模式。电子商务不但改变着传统商业交易模式,也改变着人们的交易习惯和思维方式。同时,也提出了一个十分严峻的问题,即如何保障电子商务环境下,交易主体的身份是否真实。将基于公钥理论的数字证书技术运用到电子商务中,确认电子商务参与者真实身份,保证交易安全。
[关键词]电子商务 加 解密技术 数字证书
我国电子商务的发展迅速,越来越多的人参与到电子商务活动中,目前电子商务已经成为一项重要的商务形式,给人们的生产生活带来了极大的便利,与此同时电子商务也伴随着各种新问题的出现。
电子商务系统是一个以信息技术为平台的网络商品交易系统。因为继承了互联网的特性,电子商务的交易是不谋面的交易。它不像传统的商品交易系统买卖双方一手交钱一手交货、面对面进行交易,而是通过计算机网络采用远程、异地方式进行商品交易。这样的交易模式,交易主体都面临着不同的安全威胁,身份认证又是电子商务安全的第一道防线,所以保障电子商务交易主体安全是电子商务正常进行的重要保证。
一、电子商务交易主体安全
在电子商务系统交易过程中参加交易的主体主要有商户、顾客、银行、物流公司、身份认证机构。在进行的每一个交易步骤都需要在相关两个地处不同地区的交易主体之间,通过计算机远程通讯的方式完成信息的交换与确认。同时为了保证每一个交易步骤、交易主体及交易内容都是真实、完整、有效的,必须对交易主体的身份进行认证,同时对交易中主体之间交换的数字单据进行验证。
在传统的商品交易过程中,交易主体的身份证明可以是:公安机关颁发的个人身份证明—居民身份证,工商管理局颁发的企业资格证明—营业执照。然而在电子商务环境下的交易过程,传统的身份证、营业执照等身份、资质证明资料已无法确认交易主体的真实身份。因为所有与商品交易有关的单据都是数字单据,在交易过程中无法确认交易主体的真实身份。为了实现对交易主体的身份进行有效确认,将基于公钥理论的数字证书技术运用到电子商务中,确认电子商务参与者真实身份,保证交易安全。
二、数字证书原理
1.数字证书的定义
数字证书也叫数字标识,是一种应用广泛的信息安全技术,一般由权威公正的第三方机构即CA认证中心签发,主要用于网上安全交往的身份认证,通俗地讲,数字证书就是个人或单位在网络上的身份证。数字证书以密码学为基础,采用公钥体制原理在Internet上建立安全有效的信任机制。
2.数字证书工作原理
(1)公钥密码体制。数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。公钥密码体制分为三个部分,公钥、私钥、加密解密算法,它的加密解密过程如下:
加密:通过加密算法和公钥对明文进行加密,得到密文。加密过程需要用到公钥。
解密:通过解密算法和私钥对密文进行解密,得到明文。解密过程需要用到解密算法和私钥。注意,由公钥加密的内容,只能由私钥进行解密,也就是说,由公钥加密的内容,如果不知道私钥,是无法解密的。
公钥密码体制的公钥和算法都是公开的,私钥是保密的。大家都可以使用公钥进行加密,但是只有私钥的持有者才能解密。在实际的使用中,申请者会得到生成一对公钥和私钥,把公钥发布出去给别人使用,自己保留私钥。
(2)数字证书原理。每个持有数字证书的用户自己有一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时有一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在公钥密码体制中,其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。电子商务交易主体可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
(3)数字证书的应用。①数据加密。数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候,会得到一把私钥和一把公钥。其中公钥可以发给他人使用,而私钥你应该保管好、不能泄露给其他人,否则别人将能用它以你的名义使用。
当你向朋友发送一份保密文件时,需要使用对方的公钥对数据加密,朋友收到文件后,则使用自己的私钥解密,如果对方没有私钥,就不能解密文件,从而保证数据的安全保密性。这种加密是不可逆的,即使你已知明文、密文和公钥,也无法推导出私钥。
②数字签名。利用数字证书也可以对文件进行数字签名,用户采用自己的私钥对信息加以处理,即用你的私钥对数据进行加密处理。由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。由于私钥仅为你一个人拥有、别人是无法仿造的,因此经过你签名的文件一定是你自己签名发送的。数据接收方则利用对方的公钥来解密收到的数字签名,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。在数字签名应用中,发送者的公钥可以很方便地得到,但他的私钥则需要严格保密。
(4)数字证书的类型。①从证书的使用者来看,数字证书可分为个人数字证书、机构数字证书和设备数字证书。 a.个人数字证书:证书中包含个人身份信息和个人的公开密钥,用于标识证书持有人的个人身份。 b.机构数字证书:证书中包含企业信息和企业的公开密钥,用于标识证书持有企业的身份。 c.设备数字证书:证书中包含服务器信息和服务器的公开密钥,用于标识证书持有服务器的身份。从证书的用途来看,数字证书可分为签名证书和加密证书。②签名证书:主要用于对用户信息进行签名,以保证信息的不可否认性。③加密证书:主要用于对用户传送的信息进行加密,以保证信息的真实性和完整性。
(5)数字证书的意义。数字证书是一种权威性的电子文档,它提供了一种在互联网上验证身份的方式。数字证书在网络上类似于人在社会上持有的身份证等证件,用来在网络上证明数字证书持有者的身份。数字证书持有者可能是现实社会中的自然人、法人,也可能是网络设备。数字证书可以简单理解为“网络身份证”,用来在网络上证明自己的身份。在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。
三、数字证书保障电子商务交易主体的真实身份
在商品交易过程中,明示身份的目的是向对方表明自己的真实身份,如果交易的一方无法查明另外一方的身份,或者另外一方使用虚假身份,这样就很容易产生交易纠纷。
电子商务系统的交易步骤首先是顾客登录商户的网站,在网站上选购商品,在决定购买选中的商品后,向商户提交订购单,在该步骤中,需要进行数字身份认证的主体有商户与顾客。商户网站首先要向顾客展示自己的真实“数字身份”,用于顾客对商户的合法经营身份进行确认,从而防止顾客登录非法网站。另外顾客同时也要向商户网站展示自己的“身份”,应该采用“数字身份”的方式登录网站,对提交的订单进行数字签名后发送给商户。
1.数字证书保证网站身份
网站可以通过申请服务器数字证书,作为网站唯一的电子身份标识来确认网站身份,让所有访问网站的顾客都能确定网站是真实可靠的。服务器数字证书,证书中包含服务器信息和服务器的公钥,在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中,服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度。
2.数字证书保证顾客网上登录身份
采用数字证书校验登录的方式登录网站,网站建立数字证书登录平台,顾客为自己申请数字证书后,将数字证书安装在自己的电脑上,并将该数字证书与顾客账号进行绑定。在顾客登录网站时,系统将读取顾客的数字证书,由于数字证书私钥的唯一性,只有持有者本人才能通过数字证书登录网站,而在未安装数字证书的电脑上或非数字证书本人,该顾客将不能登录平台。
目前,阿里巴巴网站是我国最先进的B2B电子商务网上贸易平台,但是在平台上交易的买卖双方虚假身份问题任然存在。如果能把阿里巴巴网站建设成为我国第一个可用数字证书进行电子商务活动的操作平台,不仅可使阿里巴巴公司受益,更重要的是能为我国电子商务的发展打开一个突破口。
如果阿里巴巴网站,开辟“证书企业专区”。企业通过数字证书注册阿里巴巴会员,企业的身份就会得到非常有效的确认,就能很好解决阿里巴巴B2B电子商务中企业的身份一直不能得到有效的确认这一关键瓶颈,使用企业数字证书还能保证电子商务活动中要求信息的保密性、不可否认性、不可篡改性。企业用数字证书登录阿里巴巴网站,通过使用数字证书,还可以在其发布的供求信息中加盖电子公章。通过数字证书在网站上的应用,发展和完善我国电子商务平台,为企业间进行的身份确认、电子合同、电子交易等方面提供可认证、安全性高、不可抵赖的安全应用平台。
3.数字证书保证顾客网上支付身份
在顾客向银行提交支付申请及银行确认支付请求的交易步骤中,需要进行数字身份认证的主体有顾客与银行。一般情况下,顾客选择相应银行的官方网站进行在线支付是安全的,银行网站的真实性比较容易判断,同时,顾客也要向银行展明自己的身份,保证支付者身份的真实性。因为是远距离的网络操作,银行对确保支付者身份的监控能力相对在银行柜台的操作是比较低的,这要求必须有一种方法可以有效的保证支付者身份的真实性和唯一性。
数字证书作为“网上身份证”,为银行的网上支付提供了保障,各银行为支付者提供该银行的数字证书申请,将支付者的银行卡信息与数字证书进行绑定,保证支付者银行卡信息与数字证书的唯一关联性。虽然各银行数字证书名称各不相同,但均是基于数字证书原理,各银行以外形各异的U盘作为存储介质,主要保存数字证书,U盘内置的物理加密芯片可以确保数字证书不被木马病毒轻易盗取,从安全性上来看是完全可靠的。银行的数字证书通过硬件加密的方式验证客户的身份。客户有关信息一经下载到数字证书内,即具有惟一性和不可复制性,网上所有涉及账户资金的对外转移都必须事先通过支付者数字证书进行惟一性认证。当支付的时候将存放数字证书的U盘插入计算机接口,进行支付者身份信息匹配,匹配成功便可进行支付,反之,将不能完成。数字证书支付方式,即使支付者不小心丢失了账号、密码,也没有关系,没有这个数字证书是无法成功实现网上支付的。
电子商务安全是电子商务正常进行的重要保证,身份认证又是电子商务安全的第一道防线。基于公钥技术的数字证书能够确认交易主体的身份认证,实现身份的真实性、唯一性以及不可否认性,运用数字证书,更好地保障了交易的安全,将极大地推动电子商务的发展。
参考文献:
[1]张文光.电子商务身份认证的根本之道-无线印鉴认证.电子商务,2006年第9期,第58页
[2]张昕楠.身份认证:摆脱困境.软件世界,2006年第4期,第68页
[3]钟红山.电子商务系统交易主体身份认证研究.商业时代.2009年第6期,第42页