信息認證在電子商務中應用

[摘 要] 隨著電子商務的發展，交易的安全成為其核心和關鍵問題。本文著重介紹了信息認證中的信息加密技術及數字簽名技術。

[關鍵詞] 電子商務 信息認證 身份認證 數字簽名

隨著通信網絡技術的快速發展，電子商務給人們的工作和生活帶來了新的嘗試和便利，也帶來了一些問題，由于網絡本身的開放性，使電子商務面臨種種風險，也由此提出了安全控制要求。客戶認證是保證電子商務交易安全的一項重要技術，主要包括身份認證和信息認證。身份認證用于鑒別用戶身份，而信息認證用于保證通信雙方的不可抵賴性和信息的完整性。在某此情況下，信息認證顯得比信息保密更為重要。

一、身份認證

身份認證是通過身份識別技術及其他附加程序對用戶的身份進行確認的全部過程。要在網上使交易安全、成功，首先要能夠確認對方的身份。電子商務環境對身份識別技術的基本要求有： 1.身份的認證必須數字化；2.安全、健康，對人的身體不會造成傷害；3.快速、方便、易使用；4.性能價格比高，適合普及推廣。用于身份認證的技術較多，最常用的是密碼，使用身份標識碼加密碼來進行安全防范，如用戶口令；還有使用物理載體的方式，例如使用證件、鑰匙、各種卡等有形的載體來識別身份；另外還有生物特征身份識別方式，使用指紋、面像、視網膜、DNA、語音等特征來識別身份。

二、信息認證

信息認證的目的是防止信息被篡改、偽造，或信息接收方事后否認。確保電子商務的安全、可靠、一致性十分重要。信息認證技術是電子商務系統中的重要組成部分。由于網絡上的信息是容易修改、復制的，通過電子數據方式達成的交易文件是不能被否認的，因此確保電子交易的信息都必須是不可否認的、不可被修改的，否則網上的交易就沒有嚴肅和公正性。為實現這一目標，除了采用身份認證起到確保網上交易者身份的真實可信外，信息認證就用來確保交流的信息完整、不可抵賴性，以及信息訪問的權限控制。

信息認證主要有兩種方式：信息加密和數字簽名。而實現這些技術都要應用數據加密技術。

1.加密技術

加密技術是保證電子商務安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，即信息的發送方和接收方用一個密鑰去加密和解密數據，目前常用的私鑰加密算法包括DES和IDEA等。對稱加密技術的最大優勢是加密或解密速度快，適合于對大數據量進行加密，但密鑰管理困難。公鑰密鑰加密，又稱非對稱密鑰加密系統，它需要兩個密鑰——公開密鑰(Public-Key)和私有密鑰（Private-Key）。如果用公開對密鑰進行加密，只有用對應的私有密鑰才能進行解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開才能解密。非對稱加密常用的算法是RSA。RSA算法利用兩個足夠大的質數與被加密原文相乘生產的積來加密或解密。這兩個質數無論是用哪一個與被加密的原文相乘(模乘)，即對原文件加密，均可由另一個質數再相乘來進行解密。但是求解幾乎是不可能的。非對稱加密算法的保密性比較好，消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，不適合對文件加密而只適用于對少量數據進行加密。

信息發送方采用對稱來加密信息，然后將對稱密鑰用接收方的公開密鑰來加密，這部分稱為數字信封(Digital Envelope)。之后，再分別和密文一起發送給接收方。接收方先用自己的私鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。

2.數字簽名技術

對信息進行加密只解決了電子商務安全的第一個問題，而要防止他人破壞傳輸的數據，還要確定發送信息人的身份，這就需要采取另外一種手段——數字簽名。數字簽名采用了雙重加密的方法來實現防偽、防抵賴。

把HASH函數和公鑰算法結合起來，可以在提供數據完整性的同時，也可以保證數據的真實性。完整性保證傳輸的數據沒有被修改，而真實性則保證是由確定的合法者產生的HASH。把這兩種機制結合起來就可以產生所謂的數字簽名（Digital Signature）。將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要(Mes-sage Digest)值。只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符。然后把該報文的摘要值用發送者的私人密鑰加密，將該密文同原報文一起發送給接收者，所產生的報文即稱數字簽名。

在電子商務的發展過程中，數字簽名技術也有所發展，以適應不同的需要。數字時間戳就是一種變種的應用。在交易文件中，時間是十分重要的信息，在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被和篡改的關鍵內容。時間戳是一個經過加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要，DTS收到文件的日期和時間及DTS的數字簽名。

3.認證機構

在電子交易中，無論是數字簽字的簽別還是數字時間戳服務都不是僅靠交易的雙方自己能完成的，需要一個具有權威性和公正性的第三方來幫助實現。認證中心CA就是承擔網上安全電子交易的認證服務、簽發數字證書、確認用戶身份的服務機構。認證中心通常是企業性的服務機構，具有半官方的身份，主要任務是受理數字證書的申請、簽發及對數字證書的管理。通過認證機構來認證買賣雙方的身份和信息，是保證電子商務交易安全的重要措施。

總之，安全是電子商務的核心和靈魂，沒有安全保障的電子商務應用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務流程中傳輸。而信息認證能夠支持電子商務應用的主要模式，確保交易信息的安全性，從而極大地推動電子商務的發展。

參考文獻:

[1]傅鉛生:電子商務教程[M].國防工業出版社，2006.8

[2]陳景艷 茍娟瓊:電子商務技術基本[M].電子工業出版社，2003.9

[3]劉繼州:信息安全技術在電子商務中的應用[J].商場現代化，2007（6）