淺析認證技術(shù)在電子商務(wù)安全中的應(yīng)用

1、 淺析認證技術(shù)在電子商務(wù)安全中的應(yīng)用摘要：認證技術(shù)是建立電子商務(wù)安全交易系統(tǒng)必不可少的基本組成部分。文中分析了電子商務(wù)的網(wǎng)絡(luò)設(shè)施不完善、信用問題及交易安全問題等存在的安全隱患，同時介紹了電子商務(wù)安全交易中常用的身份認證技術(shù)和信息認證技術(shù)，并分析認證技術(shù)如何確保電子商務(wù)信息機密性和完整性，從而為電子商務(wù)的信息安全提供理論基礎(chǔ)。關(guān)鍵詞：電子商務(wù) 身份認證 信息認證 pki中圖分類號：tp393.08文獻標識碼：a 文章編號：1007-9416(2012)08-0162-021、導入電子商務(wù)是在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不謀面地進行各種商貿(mào)活動，同時，人們不再受地域

2、的限制，能以非常簡捷的方式完成過去較為繁雜的商務(wù)活動。通過這樣的交易方式不僅降低了經(jīng)營成本，而且大大地提高了生產(chǎn)效率，優(yōu)化了資源配置，所以電子商務(wù)現(xiàn)在已是全球化的發(fā)展趨勢，然而，這是商業(yè)模式給經(jīng)濟帶來機遇的同時也帶來了一定的挑戰(zhàn)，其中，交易的安全成為其核心和關(guān)鍵問題。2、電子商務(wù)存在的安全隱患電子商務(wù)中所有的交易都是基于開放的網(wǎng)絡(luò)環(huán)境下進行的。這樣，開放網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)安全隱患問題自然也是電子商務(wù)交易所存在的問題，且這些安全隱患不能很好的解決，勢必阻礙電子商務(wù)的發(fā)展。2.1 網(wǎng)絡(luò)設(shè)施不完善國內(nèi)計算機網(wǎng)絡(luò)設(shè)施與發(fā)達國家相比，有待進一步完善。近幾年，隨著電子技術(shù)的發(fā)展，我國的計算機信息網(wǎng)絡(luò)技術(shù)及設(shè)

3、施也在不斷的發(fā)展。但是跟發(fā)達國家相比，依然存在一定的差距，例如容量不是足夠大，速度還有待進步提高，技術(shù)指標還存在差異，管理水平、使用成本、安全性和協(xié)調(diào)性等也都存在較大差距，這樣的硬件環(huán)境本身就為電子商務(wù)安全交易隱患提供了土壤。2.2 信用問題一個完整的電子商務(wù)交易體系涉及買賣雙方，因為互聯(lián)網(wǎng)的存在，買賣雙方可以不見面進行大量的商業(yè)交易。然而由于市場還不很成熟，假冒偽劣商品泛濫，而網(wǎng)上交易又不能讓消費者對商品親自試用鑒別，所以有許多消費者對電子商務(wù)望而卻步。這樣的話，網(wǎng)上交易中買賣雙鉤相互信任就成了成交的根本保證。2.3 交易安全電子商務(wù)中核心的問題就是交易安全問題。由于網(wǎng)絡(luò)的開放性，一些虛假交

4、易、假冒行為、合同詐騙、侵犯消費者合法權(quán)益等各種違法違規(guī)行為屢屢發(fā)生，這樣使電子商務(wù)面臨種種風險。如何保障電子商務(wù)的安全一直是電子商務(wù)的核心研究領(lǐng)域。3、認證技術(shù)在電子商務(wù)中的應(yīng)用認證是建立網(wǎng)絡(luò)安全系統(tǒng)必不可少的基本組成部分，它是網(wǎng)絡(luò)安全的基礎(chǔ)。同樣，認證在電子商務(wù)安全中也是必不可少的重要組成部分。在電子商務(wù)交易安全中，認證技術(shù)主要包括身份認證和信息認證。身份認證用于鑒別用戶身份，驗證信息的發(fā)送者是真的，而不是冒充的；信息認證是驗證信息的完整性，即驗證數(shù)據(jù)在傳送或存儲過程中未被竄改、重放或延遲等。在電子商務(wù)交易中，通過這兩種認證技術(shù)的結(jié)合，才能保證交易的順利進行。3.1 身份認證在網(wǎng)上進行交易

5、，身邊認證是第一道防線，只有確認了對方的身份才可能使交易流程順利展開。所以，身份認證是電子商務(wù)交易中首要的安全保證。網(wǎng)上交易進行身份認證最常用的有口令認證和基于生物特征認證。3.1.1 口令認證口令認證分為靜態(tài)口令認證和動態(tài)口令認證兩種方式。靜態(tài)口令認證就是傳統(tǒng)的用戶名密碼認證，是最簡單的認證方法。采用此類的認證方式，系統(tǒng)為每一個合法用戶建立一個二元組信息（用戶id、口令），當用戶登錄系統(tǒng)時，提示用戶輸入自己的用戶名和口令，系統(tǒng)服務(wù)器通過核對用戶輸入的用戶名、口令與系統(tǒng)維護的信息進行匹配來判斷用戶身份的合法性。這種認證方法操作簡單，但是系統(tǒng)安全性極差，一旦口令泄露，后果將不堪設(shè)想。動態(tài)口令技術(shù)

6、是為解決傳統(tǒng)的靜態(tài)口令認證的缺陷而設(shè)計的一種認證方式，也稱“一次性口令認證”，在認證過程中，用戶的密碼按照時間或使用的次數(shù)不斷動態(tài)變化，且保證一次一密且任何人都無法預知，有效抵御重放攻擊行為。這種認證技術(shù)有效地保證了用戶身份的安全性2。在電子商務(wù)交易中，由于密碼口令很容易被遺忘或被其他人進行攻擊或破解，相對于其他保密技術(shù)，這種認證技術(shù)是安全級別相對較低的一種。3.1.2 基于生物學特征的認證生物特征認證是依賴用戶特有的生物信息的一種認證方式。這種認證方式與口令認證最大的不同是，口令認證是依賴用戶知道的某個秘密信息，而生物特征認證依賴獨一無二的用戶特征生物信息，且生物特征很難在個體之間傳遞。這種

7、認證主要是通過計算機與光學、聲學、生物傳感器和生物統(tǒng)計學原理等高科技手段密切結(jié)合，利用人體固有的生理特性來進行個人身份的鑒定?；谏飳W特征的認證包括基于指紋識別的身份認證、基于聲音識別的身份認證以及近來流行的基于虹膜識別的身份認證等。目前，在保密性較高的系統(tǒng)中采用基于生物特征的認證技術(shù)，在電子商務(wù)交易中，這種認證技術(shù)由于高成本性等原因還沒有廣泛的應(yīng)用。3.2 信息認證信息認證技術(shù)是電子商務(wù)系統(tǒng)中的重要組成部分，是確保電子商務(wù)安全、可靠以及一致性。在電子商務(wù)交易中，由于開放的網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)上傳輸?shù)男畔⒑苋菀妆淮鄹?、偽造，或者被冒充，或信息接收方事后否認，同時，通過電子數(shù)據(jù)方式達成的交易文件又

8、必須與傳統(tǒng)的商務(wù)交易一樣，必須具有嚴肅性和公正性，且是不能被否認的，為實現(xiàn)這一目標，除了采用身份認證起到確保網(wǎng)上交易者身份的真實可信外，信息認證就用來確保交流的信息完整、不可抵賴性，以及信息訪問的權(quán)限控制。3.2.1 基于密鑰體制的認證體制在密鑰體制中，主要包括基于對稱的密鑰體制和基于非對稱的密鑰體制兩種認證體制。(1)對稱密鑰體制又稱私有密鑰體制，是一種傳統(tǒng)、簡單的密鑰體制，即加密和解密使用同一個密鑰的密碼技術(shù)，且通信雙方必須保存好他們共同的密鑰，同時通信各方必須得相互信任，對方不會把密鑰泄露出去。以一個具體例子來說明其加密原理：假設(shè)用戶a需要把一份明文為m的資料發(fā)給用戶b，但是因為擔心資料

9、在傳輸?shù)闹型颈桓`聽或者篡改，故用戶a用了對稱加密法將m經(jīng)過一個加密函數(shù)fk處理后生成m加密文，而用戶b接受到加密文后通過事先商定好的fk函數(shù)再次處理m便可以還原成明文m，從而達到安全傳輸信息的目的。用戶a：m=fk(m)用戶b：m=fk(m)在該體制中，需要強大的加密算法，一旦密鑰泄露，且知道了算法，那么使用此密匙的所有通信便都是可讀取的，這樣就沒有任何安全可言，后果可想而知。(2)非對稱密鑰機制也叫公開密鑰體制，在該體制中有兩個不同的密鑰：公鑰和私鑰，使用公鑰（私鑰）加密的數(shù)據(jù)，只能使用其對應(yīng)的私鑰（公鑰）解密，且公鑰和私鑰不能由一個推出另一個。以一個具體例子來說明其加密原理：假設(shè)用戶a需要

10、把一份明文為m的資料發(fā)給用戶b，但是因為擔心資料在傳輸?shù)闹型颈桓`聽或者篡改，故用戶a用了加密算法ek將m處理后生成m加密文，而用戶b接受到m加密文后,通過解密算法dk再次處理m便可以還原成明文m，從而達到安全傳輸信息的目的。其中，加密算法ek實質(zhì)就是利用公鑰進行加密，而解密算法就是利用私鑰dk解密。客戶a：m=ek(m)客戶b：m=dk(m)在電子商務(wù)交易中，買賣雙方之間的交易都是建立在相互“信任”的基礎(chǔ)之上的，而公鑰基礎(chǔ)設(shè)施pki（public-key infrastru cture，簡稱pki）就是是一種遵循標準的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。在pki中

11、，用戶之間的通信都是建立在相互“信任”的基礎(chǔ)之上的，通過對通信對方證書的認證達到建立“信任”的目的。在嚴格的層次結(jié)構(gòu)中，由于證書的聲稱者(用戶)與證書的驗證者具有相同的可信任第三方根ca(certification authority，簡稱ca)，因此，對用戶證書的驗證只需找到根ca的公鑰即可進行認證。在電子商務(wù)交易中，只有對稱和非對稱加密體制有機的相結(jié)合，能夠確保電子商務(wù)信息的完整性和機密性。3.2.2 數(shù)字簽名技術(shù)在電子商務(wù)交易中，除了要防止他人破壞傳輸?shù)臄?shù)據(jù)之外，還要確定發(fā)送信息人的身份，這就需要采取另外一種手段數(shù)字簽名。數(shù)字簽名技術(shù)是指接收者通過計算機網(wǎng)絡(luò)接收數(shù)據(jù)時，可以利用它來確認所

12、接收的數(shù)據(jù)確實是由發(fā)送者發(fā)送的，并且能夠確認該接收的數(shù)據(jù)并沒有被篡改。具體實現(xiàn)是報文的發(fā)送方從報文文本中生成一個128位的單向散列值(即hash函數(shù)根據(jù)報文文本而產(chǎn)生的具有固定長度的單向hash值)，有時這個單向hash值也叫做報文摘要，它與報文文本的數(shù)字指紋或標準校驗相似。數(shù)字簽名工作流程如下：(1)發(fā)送方首先用公開的散列函數(shù)對報文進行一次變換,得到數(shù)字簽名,然后利用私有密鑰對數(shù)字簽名進行加密后附在報文后同時發(fā)送給接收方；(2)接收方用發(fā)送方的公開密鑰對數(shù)字簽名進行解密,得到一個數(shù)字簽名的明文；(3)接收方將得到的明文通過散列函數(shù)進行計算,也得到一個數(shù)字簽名,再將兩個數(shù)字簽名比較，如果相同，

13、則證明簽名有效；如果不同，則說明簽名無效。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和不可抵賴性。數(shù)字簽名機制提供了一種鑒別方法，用于解決偽造、抵賴、冒充、篡改等問題。4、結(jié)語認證技術(shù)是電子商務(wù)安全交易中必不可少的基本組成部分。其中，身份認證是確保電子商務(wù)交易中首要的安全保證，用來防止非法用戶假冒合法用戶竊取敏感數(shù)據(jù)；而信息認證技術(shù)是確保電子商務(wù)交易中信息機密性、完整性及不可否認性。在電子商務(wù)交易中，身份認證和信息認證的有效結(jié)合是電子商務(wù)交易安全的基礎(chǔ)，也是電子商務(wù)交易順利的重要的保障。參考文獻1張建兵,程財軍.電子商務(wù)安全問題探析j.現(xiàn)代商貿(mào)工業(yè),2009,23.2尉永青,劉培德.電子商務(wù)環(huán)境下主要的身份認證分析j.商城現(xiàn)代化,2005,13.3魯軍,汪同慶,任莉.身份認證系統(tǒng)的設(shè)計與實現(xiàn)j.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004,30(2):24-26.4陳云,彭春山,鄧亞平.ke