電子商務中的身份認證技術及實現

[摘要] 電子商務的安全問題是電子商務發展的核心問題。本文針對電子商務的安全問題，分析了基于CA體系的電子商務安全體系結構。深入闡述了CA安全技術中的加解密技術、CA數字證書技術、數字信封、數字簽名技術，以及電子商務中的信息加密和身份認證的一般過程，并對數字簽名過程用JAVA進行了實現。

[關鍵詞] 電子商務 信息安全 加/解密 CA數字證書 數字信封 數字簽名

一、引言

電子商務指的是利用簡單、決捷、低成本的電子通訊方式，買賣雙方不見面地進行各種商貿活動。目前電子商務工程正在全國迅速發展，實現電子商務的關鍵是要保證商務活動過程中系統的安全性。電子商務的安全是通過使用加密手段來達到的，非對稱密鑰加密技術(公開密鑰加密技術)是電子商務系統中主要的加密技術。CA體系為用戶的公鑰簽發證書，以實現公鑰的分發并證明其有效性。本文深入研究了CA安全技術，分析了CA安全技術實現的主要過程和原理。

二、CA 基本安全技術

CA就是認證中心(Certificate Authority)，它是提供身份驗證的第三方機構， 認證中心通常是企業性的服務機構，主要任務是受理數字憑證的申請、簽發及對數字憑證的管理。認證中心依據認證操作規定(CPS:CertificationPracticeStatement)來實施服務操作。例如，持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開密鑰，但持卡人無法確定商家不是冒充的(有信譽)，于是持卡人請求CA對商家認證，CA對商家進行調查、驗證和鑒別后，將包含商家PublicKey(公鑰)的證書傳給持卡人。同樣，商家也可對持卡人進行。證書一般包含擁有者的標識名稱和公鑰，并且由CA進行過數字簽名。

1.數字信封

數字信封技術結合了秘密密鑰加密技術和公開密鑰加密技術的優點，可克服秘密密鑰加密中秘密密鑰分發困難和公開密鑰加密中加密時間長的問題，使用兩個層次的加密來獲得公開密鑰技術的靈活性和秘密密鑰技術的高效性，保證信息的安全性。數字信封的具體實現步驟如下：

(1)當發信方需要發送信息時，首先生成一個對稱密鑰，用該對稱密鑰加密要發送的報文。

(2)發信方用收信方的公鑰加密上述對稱密鑰，生成數字信封。

(3)發信方將第一步和第二步的結果傳給收信方。

(4)收信方使用自己的私鑰解密數字信封，得到被加密的對稱密鑰。

(5)收信方用得到的對稱密鑰解密被發信方加密的報文，得到真正的報文。

數字信封技術在外層使用公開密鑰加密技術，享受到公開密鑰技術的靈活性；由于內層的對稱密鑰長度通常較短，從而使得公開密鑰加密的相對低效率被限制在最低限度；而且由于可以在每次傳送中使用不同的對稱密鑰，系統有了額外的安全保證。

2.數字簽名

數字簽名用來保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。使用公開密鑰算法是實現數字簽名的主要技術。使用公開密鑰算法實現數字簽名技術，類似于公開密鑰加密技術。它有兩個密鑰：一個是簽名密鑰，它必須保持秘密，因此稱為私有密鑰，簡稱私鑰；另一個是驗證密鑰，它是公開的，因此稱為公開密鑰，簡稱公鑰。公開密鑰算法的運算速度比較慢，因此可使用安全的單向散列函數對要簽名的信息進行摘要處理，減小使用公開密鑰算法的運算量。實現數字簽名的過程如下：

(1)信息發送者使用一單向散列函數(Hash算法)對信息生成信息摘要。

(2)信息發送者使用自己的私鑰簽名信息摘要。

(3)信息發送者把信息本身和已簽名的信息摘要一起發送出去。

(4)任何接收者通過使用與信息發送者使用的同一個單向散列函數對接收的信息生成新的信息摘要，再使用信息發送者的公鑰對信息摘要進行驗證，以確認信息發送者的身份和信息是否被修改過。

3.雙重數字簽名

雙重簽名是為了保證在事務處理過程中三方安全傳輸信息的一種技術，用于三方通信時的身份認證和信息完整性、交易防抵賴的保護。為理解雙重簽名的必要性，可考慮以下情況：某人A購買商品，B為商家，C為銀行，A的付款賬戶在C處。交易過程中，A需要給B發送購買信息和A的付款賬戶信息(如果B接受購買信息后用于轉賬)，但A不愿讓B看到自己的付款賬戶信息(即A不希望商家看到自己的銀行賬戶信息)，也不愿讓處理A付款信息的C看到訂購信息(即A不希望銀行看到自己的購買商品信息)。此時A使用雙重簽名技術對兩種信息做數字簽名，來完成以上功能。雙重數字簽名的實現步驟如下：

(1)信息發送者A對發給B的信息1生成信息摘要1。

(2)信息發送者A對發給C的信息2生成信息摘要2。

(3)信息發送者A把信息摘要1和信息摘要2合在一起，對其生成信息摘要3，并使用自己的私鑰簽名信息摘要3。

(4)信息發送者A把信息1、信息摘要2和信息摘要3的簽名發給B，B不能得到信息2。

(5)信息發送者A把信息2、信息摘要1和信息摘要3的簽名發給C，C不能得到信息1。

(6)B接收信息后，對信息1生成信息摘要，把這信息摘要和收到的信息摘要2合在一起，并對其生成新的信息摘要，同時使用信息發送者A的公鑰對信息摘要3的簽名進行驗證，以確認信息發送者A的身份和信息是否被修改過。

(7)C接收信息后，對信息2生成信息摘要，把這信息摘要和收到的信息摘要1合在一起，并對其生成新的信息摘要，同時使用信息發送者A的公鑰對信息摘要3的簽名進行驗證，以確認信息發送者A的身份和信息是否被修改過。

三、實現數字簽名認證過程

這里提供一種對傳遞信息進行簽名的方法。用戶在提交定單和個人賬號信息時，同時生成一個私鑰和證書，即可以對傳遞的重要數據需要簽署的信息進行數字簽名，然后把該賬號連同生成的證書和對該文件的簽名文件作為一個簽名文件包傳輸給接受方。

而接受方獲得發送方的簽名賬號信息后，可以首先到某個可以信任的CA中心去驗證該證書的合法性，來確定發送方所宣稱的身份是否可信。如果可信則可以用證書中所包含的公鑰來驗證傳輸來的文件是否為發送方所簽署的。

接受方得到發送方的簽名文件包后，執行的操作與簽名相仿，不同的是需要用證書（也許需要通過某個CA的驗證)里的公鑰初始化簽名對象，最后調用verify(signature)來驗簽，這種方法便于用戶的擴展和重用代碼。

四、結束語

電子商務業務系統架構在基于CA 體系的安全基礎之上。業務系統主要采用對稱加密密鑰加密傳送重要信息或敏感信息；對稱密鑰利用數字信封進行分發，數字信封采用非對稱密鑰加密實現；采用數字簽名或雙重數字簽名實現身份認證、信息的完整性檢驗、交易不可抵賴，而數字簽名是采用單向散列函數和非對稱密鑰加密實現的。因此，基本加密技術和CA 證書技術共同構成電子商務的安全基礎。本文對電子商務安全體系的研究對于開發電子商務安全系統和業務系統具有重要參考價值。

參考文獻：

[1]高建華:電子商務安全技術分析與研究[J].計算機與數字工程2007（2）l08～109

[2]蘭麗娜劉辛越:電子商務安全體系研究[J].學術研究.2007(4)8～85

[3]謝紅燕: 電子商務的安全問題及對策研究[J].哈爾濱商業大學學報(自然科學版) 2007(6) 350～351

[4]張慧:數字簽名在電子商務中的應用[J].湖北教育學院學報，2005（2）53～56