信息認證在電子商務(wù)中應(yīng)用

[摘 要] 隨著電子商務(wù)的發(fā)展，交易的安全成為其核心和關(guān)鍵問題。本文著重介紹了信息認證中的信息加密技術(shù)及數(shù)字簽名技術(shù)。

[關(guān)鍵詞] 電子商務(wù) 信息認證 身份認證 數(shù)字簽名

隨著通信網(wǎng)絡(luò)技術(shù)的快速發(fā)展，電子商務(wù)給人們的工作和生活帶來了新的嘗試和便利，也帶來了一些問題，由于網(wǎng)絡(luò)本身的開放性，使電子商務(wù)面臨種種風(fēng)險，也由此提出了安全控制要求?？蛻粽J證是保證電子商務(wù)交易安全的一項重要技術(shù)，主要包括身份認證和信息認證。身份認證用于鑒別用戶身份，而信息認證用于保證通信雙方的不可抵賴性和信息的完整性。在某此情況下，信息認證顯得比信息保密更為重要。

一、身份認證

身份認證是通過身份識別技術(shù)及其他附加程序?qū)τ脩舻纳矸葸M行確認的全部過程。要在網(wǎng)上使交易安全、成功，首先要能夠確認對方的身份。電子商務(wù)環(huán)境對身份識別技術(shù)的基本要求有： 1.身份的認證必須數(shù)字化；2.安全、健康，對人的身體不會造成傷害；3.快速、方便、易使用；4.性能價格比高，適合普及推廣。用于身份認證的技術(shù)較多，最常用的是密碼，使用身份標(biāo)識碼加密碼來進行安全防范，如用戶口令；還有使用物理載體的方式，例如使用證件、鑰匙、各種卡等有形的載體來識別身份；另外還有生物特征身份識別方式，使用指紋、面像、視網(wǎng)膜、DNA、語音等特征來識別身份。

二、信息認證

信息認證的目的是防止信息被篡改、偽造，或信息接收方事后否認。確保電子商務(wù)的安全、可靠、一致性十分重要。信息認證技術(shù)是電子商務(wù)系統(tǒng)中的重要組成部分。由于網(wǎng)絡(luò)上的信息是容易修改、復(fù)制的，通過電子數(shù)據(jù)方式達成的交易文件是不能被否認的，因此確保電子交易的信息都必須是不可否認的、不可被修改的，否則網(wǎng)上的交易就沒有嚴(yán)肅和公正性。為實現(xiàn)這一目標(biāo)，除了采用身份認證起到確保網(wǎng)上交易者身份的真實可信外，信息認證就用來確保交流的信息完整、不可抵賴性，以及信息訪問的權(quán)限控制。

信息認證主要有兩種方式：信息加密和數(shù)字簽名。而實現(xiàn)這些技術(shù)都要應(yīng)用數(shù)據(jù)加密技術(shù)。

1.加密技術(shù)

加密技術(shù)是保證電子商務(wù)安全的重要手段，它包括私鑰加密和公鑰加密。私鑰加密又稱對稱密鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對稱加密技術(shù)的最大優(yōu)勢是加密或解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。公鑰密鑰加密，又稱非對稱密鑰加密系統(tǒng)，它需要兩個密鑰——公開密鑰(Public-Key)和私有密鑰（Private-Key）。如果用公開對密鑰進行加密，只有用對應(yīng)的私有密鑰才能進行解密；如果用私有密鑰對數(shù)據(jù)進行加密，那么只有用對應(yīng)的公開才能解密。非對稱加密常用的算法是RSA。RSA算法利用兩個足夠大的質(zhì)數(shù)與被加密原文相乘生產(chǎn)的積來加密或解密。這兩個質(zhì)數(shù)無論是用哪一個與被加密的原文相乘(模乘)，即對原文件加密，均可由另一個質(zhì)數(shù)再相乘來進行解密。但是求解幾乎是不可能的。非對稱加密算法的保密性比較好，消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，不適合對文件加密而只適用于對少量數(shù)據(jù)進行加密。

信息發(fā)送方采用對稱來加密信息，然后將對稱密鑰用接收方的公開密鑰來加密，這部分稱為數(shù)字信封(Digital Envelope)。之后，再分別和密文一起發(fā)送給接收方。接收方先用自己的私鑰打開數(shù)字信封，得到對稱密鑰，然后使用對稱密鑰解開信息。

2.數(shù)字簽名技術(shù)

對信息進行加密只解決了電子商務(wù)安全的第一個問題，而要防止他人破壞傳輸?shù)臄?shù)據(jù)，還要確定發(fā)送信息人的身份，這就需要采取另外一種手段——數(shù)字簽名。數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防抵賴。

把HASH函數(shù)和公鑰算法結(jié)合起來，可以在提供數(shù)據(jù)完整性的同時，也可以保證數(shù)據(jù)的真實性。完整性保證傳輸?shù)臄?shù)據(jù)沒有被修改，而真實性則保證是由確定的合法者產(chǎn)生的HASH。把這兩種機制結(jié)合起來就可以產(chǎn)生所謂的數(shù)字簽名（Digital Signature）。將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要(Mes-sage Digest)值。只要改動報文的任何一位，重新計算出的報文摘要就會與原先值不符。然后把該報文的摘要值用發(fā)送者的私人密鑰加密，將該密文同原報文一起發(fā)送給接收者，所產(chǎn)生的報文即稱數(shù)字簽名。

在電子商務(wù)的發(fā)展過程中，數(shù)字簽名技術(shù)也有所發(fā)展，以適應(yīng)不同的需要。數(shù)字時間戳就是一種變種的應(yīng)用。在交易文件中，時間是十分重要的信息，在書面合同中，文件簽署的日期和簽名一樣均是十分重要的防止文件被和篡改的關(guān)鍵內(nèi)容。時間戳是一個經(jīng)過加密后形成的憑證文檔，它包括三個部分：需加時間戳的文件的摘要，DTS收到文件的日期和時間及DTS的數(shù)字簽名。

3.認證機構(gòu)

在電子交易中，無論是數(shù)字簽字的簽別還是數(shù)字時間戳服務(wù)都不是僅靠交易的雙方自己能完成的，需要一個具有權(quán)威性和公正性的第三方來幫助實現(xiàn)。認證中心CA就是承擔(dān)網(wǎng)上安全電子交易的認證服務(wù)、簽發(fā)數(shù)字證書、確認用戶身份的服務(wù)機構(gòu)。認證中心通常是企業(yè)性的服務(wù)機構(gòu)，具有半官方的身份，主要任務(wù)是受理數(shù)字證書的申請、簽發(fā)及對數(shù)字證書的管理。通過認證機構(gòu)來認證買賣雙方的身份和信息，是保證電子商務(wù)交易安全的重要措施。

總之，安全是電子商務(wù)的核心和靈魂，沒有安全保障的電子商務(wù)應(yīng)用只是虛偽的炒作或欺騙，任何獨立的個人或團體都不會愿意讓自己的敏感信息在不安全的電子商務(wù)流程中傳輸。而信息認證能夠支持電子商務(wù)應(yīng)用的主要模式，確保交易信息的安全性，從而極大地推動電子商務(wù)的發(fā)展。

參考文獻:

[1]傅鉛生:電子商務(wù)教程[M].國防工業(yè)出版社，2006.8

[2]陳景艷 茍娟瓊:電子商務(wù)技術(shù)基本[M].電子工業(yè)出版社，2003.9

[3]劉繼州:信息安全技術(shù)在電子商務(wù)中的應(yīng)用[J].商場現(xiàn)代化，2007（6）