電子商務數字認證技術

前言：本站為你精心整理了電子商務數字認證技術范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]構筑安全電子商務信息環境是網絡時展到一定階段的“瓶頸”性課題,本文側重研究了電子商務環境下的信息安全技術，數字認證技術以及身份鑒別和數字證書的安全性等核心問題。

[關鍵詞]電子商務信息安全PKI數字認證密碼

一、電子商務環境下網絡通信的安全威脅

電子商務環境下網絡通信的安全威脅，即信息傳輸安全，指電子商務運行過程中，物流、資金流匯成信息流后動態傳輸過程中的安全。其安全隱患主要包括泄漏或者竊取商業機密;偽造;消息篡改;行為抵賴等。

二、電子商務環境下的數字認證需求

電子商務環境下要保護數據的完整性以及防止信息的不可抵賴，數字認證可以解決這兩類的安全問題。即數據在從發送者傳遞到接受者的推進過程中，前后是否一致；以及在交易信息的傳輸過程中為參與交易的個人、企業或國家提供可靠的標識，使原發方對已發送的數據、接收方對已接收的數據都不能否認。

三、基于PKI體系的數字認證技術

數字認證(Authentication)是防止主動攻擊的重要技術,對開發系統安全性有重要作用，認證的主要目的有兩個，一是實體認證即防止信息的發送者的身份的冒充；二是消息認證即驗證和鑒別信息的完整性，確保數據在發送的過程中沒有被篡改。

基于PKI體系的數字認證技術，主要結合基于公鑰密碼理論的數字簽名以及散列函數來實現身份認證和消息的認證。

數字簽名結合數字認證技術幾乎可以解決電子商務對信息安全的所有需求，數字認證技術可以提供信息的完整性保護，實現數字認證的重要手段是數字簽名和散列函數。

1.數字摘要與散列函數

數字摘要是指通過單向Hash函數，將需加密的明文“摘要”成一串固定長度的散列值，不同的明文摘要成的密文其結果總是不相同，同樣的明文其摘要必定一致，并且由摘要不能反推明文。數字摘要將原本可變的很長的消息明文進行壓縮變成與消息明文惟一映射的符號序列，使得在此基礎上進行數字簽名非常高效快捷。

2.數字簽名與數字證書

數字簽名技術是將摘要用發送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。數字證書含有證書持有者的有關信息，以標識他的身份。數字證書克服了密碼在安全性和方便性方面的局限性，可以控制哪些數據庫能夠被查看，因此提高了總體的保密性。

四、身份鑒別及數字證書的安全性

安全服務的基礎主要是基于用戶鑒別和認證。只有合法的用戶才能授予訪問的權限。最常見的方法是通過提供用戶名稱或者標識ID。通常可能有多種形式：用戶姓名、序列號碼、甚至x.500的全限定名稱。而用戶的身份認證方式則根據采取的不同認證方法而不同。

基于PKI的電子商務環境下，有很多的措施保護數字證書的傳輸及分發安全，如Https/SSL協議，VPN/IPSec協議等；然而這些安全機制卻不能保證數字證書在用戶終端上的存儲和使用安全。數字證書的存儲方式有:

1.無安全措施的直接存儲

用戶把數字證書直接存儲在硬盤，軟盤，以及其他的移動設備上，無任何的安全措施，其信息很容易病毒，黑客獲取，只能針對低級別安全的用戶。

2.采用口令以及密碼的方式保存

數字證書在存取和使用的過程中采用直接的口令機制保護私鑰的安全，簡單的方式采用常規口令字符串，也可以使用一次性口令，即在數字證書的存取和使用過程中加入隨機因素，使每次驗證的過程中傳送的信息都不相同，以提高口令的安全性；還有基于硬件技術的動態密碼鎖采用一種稱之為動態令牌的專用硬件，內置電源、密碼生成芯片和顯示屏，使用該硬件可以產生動態的一次性口令，該密碼鎖的使用前必須輸入靜態的PIN碼才能進入產生密碼，只有密碼鎖的持有者且知道PIN碼的用戶才能產生動態口令，采用硬件的不可復制特性，使得口令的產生與終端分離，安全性高于軟件方式。

3.基于硬件的令牌

直接把數字證書進行加密然后放入相應的移動存儲設備或者智能卡中進行存儲而產生令牌；如智能卡令牌，將數字證書和私鑰存儲在智能卡上進行認證，但是需要讀卡器設備，其成本相對較高；USBKEY令牌采用雙鑰加密的認證模式，USBKey是一種USB接口的硬件設備，內置單片機或智能卡芯片，有一定的存儲空間，可以存儲用戶的私鑰以及數字證書，利用USBKey內置的公鑰算法實現對用戶身份的認證。由于用戶私鑰保存在密碼鎖中，理論上使用任何方式都無法讀取，因此保證了用戶認證的安全性，用戶在使用USBKEY前也必須由靜態的PIN碼進行確認，優點是具有很高的安全性以及攜帶方便，缺點是PIN碼是在客戶的終端上輸入容易被黑客獲取，因此使用后應立即拔除，目前國內的網銀系統普遍采用這種方式。

4.漫游證書

漫游證書通過第三方軟件提供，只需在任何系統中正確地配置，該軟件或者插件就可以允許用戶訪問自己的公鑰/私鑰對。其基本原理很簡單，即將用戶的證書和私鑰放在一個安全的中央服務器上，當用戶登錄到一個本地系統時，從服務器安全地檢索出公鑰私鑰對，并將其放在本地系統的內存中以備后用，當用戶完成工作并從本地系統注銷后，該軟件自動刪除存放在本地系統中的用戶證書和私鑰。

5.基于主體生物特征的認證

采用基于用戶固有的某些特征進行認證，如指紋、視網膜、聲音或簽字。基于生物特征的識別能夠通過生物特征識別技術，可以將原有的私鑰的管理難題和脆弱性得到解決，并且可以通過中心化策略和客戶端策略來進行。前者能夠在最大控制基礎上，解決安全的密碼分發和管理問題。而后者則更加靈活，與現有PKI架構無縫集成。基于生物特征識別的PKI，從邏輯上和技術上都加強了PKI。其優點是生物識別絕不可能丟失和被偷竊，絕對無法冒充的身份認證技術。

五、結束語

基于PKI的電子商務環境下，采用何種方式進行實體以及消息的數字認證技術是電子商務安全的根本，根據系統的特征以及電子商務的安全需求而選擇合適的數字認證模式，以保證電子商務的雙方進行安全的電子交易。

參考文獻:

[1]徐雪梅:淺談保障電子商務活動中的信息安全[J].科技情報開發與經濟，2003

[2]祁明:電子商務安全與保密[M].北京:高等教育出版社,2001

[3]徐漢超:計算機網絡安全與數據完整性技術[M].北京:北京電子工業出版社,1999