淺談電子商務環境下數字證書的安全作用

秦皇島職業技術學院 王福全

目前，電子商務已成為各行業擴展業務的有力方式，而由于互聯網的安全性、開放性、共享性、動態性發展，使得任何人都可以自由接入。電子商務在這樣的環境中，時時受到安全的威脅。目前制約著我國電子商務發展最重要的問題就是電子商務的安全問題。

電子商務在全球范圍內的迅猛發展，使電子商務中的網絡安全問題日漸突出。在傳統交易中，買賣雙方是面對面的，因此比較容易保證交易過程的安全性和建立起信任關系。但在電子商務過程中，消費者、商戶、銀行是通過網絡來聯系的，彼此遠隔千山萬水通過網絡來完成購物、支付等一系列的商務活動，如果系統安全性被破壞，入侵者就有可能假冒成合法用戶來改變用戶數據、解除用戶訂單或生成虛假訂單，使商戶遭受損失。消費者在將個人數據或自己的身份數據(如口令)發送給商戶時，這些信息也可能會在傳遞過程中被竊聽，使消費者受到損失。因此，電子商務系統中交易各方都面臨著安全威脅。

一般來說，電子商務安全中普遍存在著以下幾種安全隱患。(1)信息的泄漏。表現為商業機密的泄漏，交易雙方交易的內容被第三方竊取。(2)信息的篡改。表現為商業信息的真實性和完整性的破壞。(3)信息的假冒。表現為第三方假冒交易一方的身份，破壞交易、破壞被假冒方的信譽或盜取被假冒方的交易成果等。(4)交易的抵賴。交易抵賴包括多個方面，如發信者事后否認曾發送過某條信息，收信者事后否認曾收到過某條消息等。

1 電子商務中數字證書的必要性

電子商務隨時面臨的威脅，導致了對電子商務安全的需求，真正實現一個安全電子商務系統所要求做到的各個方面主要包括機密性、完整性、認證性和不可抵賴性等。即：如何保證電子商務中涉及的大量保密信息在公開網絡的傳輸中不被竊取；如何保證電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易；在電子商務的交易過程中，如何對雙方進行認證，以保證交易雙方身份的正確性；在電子商務的交易完成后，如何保證交易的任何一方無法否認已發生的交易。

因此，為了保證互聯網上電子交易及支付的安全性、保密性等，防范交易及支付過程中的欺詐行為，那么，就必須在網上建立一種信任機制。數字證書是一種權威性電子文檔，在互聯網交往中可以用它來證明自己的身份和識別對方的身份，數字證書具有廣泛的應用前景。

2 電子商務中數字證書的權威性與可信任性

2.1 證書認證中心CA

證書的頒發機構叫做認證中心(Certificate Authority),通常簡稱CA。認證中心承擔網上安全電子交易認證服務,它是能簽發數字證書并能確認用戶身份的服務機構,是一個具有權威性、公正性的第三方。用戶向CA提交自己的公開密鑰和代表自己身份的信息，CA驗證了用戶的有效身份之后，向用戶頒發一個經過CA私有密鑰簽名的證書。在數字證書認證過程中，CA作為權威的、公正的、可信賴的第三方，其作用是至關重要的，它負責發放和管理數字證書，同樣，認證中心也允許管理員撤銷發放的數字證書，在證書廢止列表CRL中添加新項并周期性地發布這一數字簽名的CRL。發放的數字證書可以存放于IC卡、硬盤、U盤等存儲介質中，以確保用戶信息不被非法讀取及篡改。

2.2 數字證書

電子商務的關鍵是安全,網上安全交易的基礎是數字證書(Digital ID),又稱數字憑證。它提供了一種在網絡上身份驗證的方式，是用來標志和證明網絡通信雙方身份的數字信息文件。在網上進行商務活動時，交易雙方需要使用數字證書來表明自己的身份，并使用數字證書來進行有效的交易操作。通俗地講，數字證書就是網絡身份證，數字證書將身份綁定到一對可以用來加密和簽名數字信息的電子密鑰，它能夠驗證一個人使用給定密鑰的權利，這樣有利于防止利用假密鑰冒充其他用戶的人，它與加密一起使用，可以提供一個更加完整的信息安全技術方案，確保交易中各方的身份。以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名的不可否認性，從而保障網絡應用的安全性。

3 電子商務中數字證書的安全性

電子商務中，數字證書的安全性在于：它采用公鑰體制，利用一對互相匹配的密鑰進行加密和解密。所謂的相互匹配是指：一個公鑰對應一個私鑰。每個證書持有人都有一對公鑰和私鑰。公鑰是公開的，大家都知道的，不需要保密的。私鑰是不能告訴大家只能自己持有、自己知道的。而且，如果用其中一個密鑰加密數據，則只有對應的那個密鑰才可以解密。假設甲為發送方，乙為接收方，甲需向乙發送一份保密文件。此時，發送方甲使用乙方的公鑰對數據進行加密，而接收方乙則用自己持有的與此公鑰配對的私鑰進行解密，這樣信息就可以安全無誤地到達目的地了。這是一個不可逆過程。

數字證書的安全性不僅如此，數字證書在公開密鑰密碼體制中，還采用了一種RSA體制。RSA體制的數學原理如下：將一個大數分解成兩個質數的乘積，因為加密和解密用的是兩個不同的密鑰，所以，即使明文、密文和公鑰均被第三方獲知，第三方想要推導出解密密鑰即私鑰，在計算上也是不可能的。因為，目前采用的是1024位RSA密鑰，按現在的計算機水平，至少需要上千年的計算時間才能破解1024位RSA密鑰。那么，在電子商務環境下，商戶就可以公開公鑰，而保留配對的私鑰，這時，購物者用人人皆知的公鑰對發送的信息進行加密，安全地傳送給商戶，然后由商戶用自己的私鑰進行解密。

數字證書的安全性，還體現在它的認證過程。身份認證和加密不同。身份認證也就是鑒別用戶的真偽。對于用戶真偽的認證過程，主要是能夠鑒別其私鑰的正確性，就可以鑒別這個用戶的真偽了。我們仍以甲方和乙方來說明。甲想向乙證明自己的真實性，而不是假冒的，甲需要用他的私人密鑰對文件加密，從而對文件簽名。甲將簽名后的文件發送給乙，乙在收到有甲簽名的文件后，用甲的公鑰對文件進行解密，如果解密成功，則證明甲的私鑰是正確的，從而也就證明了甲身份的真實性，也就完成了對甲的身份簽別。簡單地說，就是甲使用自己的私鑰加密，乙使用甲的公鑰進行解密。這樣的過程不僅使簽發者對于發送的信息不能否認而且難以否認，而且還保證了信息自簽發至收到為止，未曾作過任何修改，保證了簽發文件的真實性。

4 數字證書的應用

甲準備好要傳送的數字信息(簡稱明文)，并對數字信息進行哈希運算，得到一個信息摘要。甲用自己的私鑰對信息摘要進行加密得到數字簽名，并將其附在數字信息上。此時會隨機產生一個加密密鑰(DES密鑰)，并且此密鑰對要發送的信息進行加密，形成密文。甲用乙的公鑰對剛才隨機產生的加密密鑰進行加密，將加密后的DES密鑰連同密文一起傳送給乙。乙收到甲傳送過來的密文和加過密的DES密鑰，先用自己的私鑰對加密的DES密鑰進行解密，得到DES密鑰。乙然后用DES密鑰對收到的密文進行解密，得到明文的數字信息，然后對DES密鑰拋棄(即DES密鑰作廢)。乙用甲的公鑰對甲的數字簽名進行解密，得到信息摘要。乙用相同的哈希算法對收到的明文再進行一次哈希運算，得到一個新的信息摘要。乙將收到的信息摘要和新產生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。

5 結語

電子商務以其獨有的魅力正在成為我們日常生活中不可缺少的一部分，而電子商務的安全從電子商務誕生的那一刻開始就一直伴隨其左右。數字證書被比喻成個人或單位在網絡上的身份證，數字證書還含有數字簽名，因此，我們不僅能夠完成用戶的身份認證，而且還能實現網絡信息的保密性、完整性以及不可否認性。了解數字證書，有助于我們更好地運用它來保障電子商務的信息安全。

[1]張炯明.電子商務實用技術[M].清華大學出版社.

[2]周華祥.網絡及電子商務安全[M].中國電力出版社.

[3]楊曉燕.信息安全導論[M].機械工業出版社.

[4]陳廣山.網絡與信息安全技術[M].機械工業出版社.