論數(shù)字證書(shū)有效保障電子商務(wù)交易主體的真實(shí)身份

黃蕾

[摘 要]電子商務(wù)是一種新型的商業(yè)運(yùn)營(yíng)模式。電子商務(wù)不但改變著傳統(tǒng)商業(yè)交易模式，也改變著人們的交易習(xí)慣和思維方式。同時(shí)，也提出了一個(gè)十分嚴(yán)峻的問(wèn)題，即如何保障電子商務(wù)環(huán)境下，交易主體的身份是否真實(shí)。將基于公鑰理論的數(shù)字證書(shū)技術(shù)運(yùn)用到電子商務(wù)中，確認(rèn)電子商務(wù)參與者真實(shí)身份，保證交易安全。

[關(guān)鍵詞]電子商務(wù) 加 解密技術(shù) 數(shù)字證書(shū)

我國(guó)電子商務(wù)的發(fā)展迅速，越來(lái)越多的人參與到電子商務(wù)活動(dòng)中，目前電子商務(wù)已經(jīng)成為一項(xiàng)重要的商務(wù)形式，給人們的生產(chǎn)生活帶來(lái)了極大的便利，與此同時(shí)電子商務(wù)也伴隨著各種新問(wèn)題的出現(xiàn)。

電子商務(wù)系統(tǒng)是一個(gè)以信息技術(shù)為平臺(tái)的網(wǎng)絡(luò)商品交易系統(tǒng)。因?yàn)槔^承了互聯(lián)網(wǎng)的特性，電子商務(wù)的交易是不謀面的交易。它不像傳統(tǒng)的商品交易系統(tǒng)買(mǎi)賣(mài)雙方一手交錢(qián)一手交貨、面對(duì)面進(jìn)行交易，而是通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)采用遠(yuǎn)程、異地方式進(jìn)行商品交易。這樣的交易模式，交易主體都面臨著不同的安全威脅，身份認(rèn)證又是電子商務(wù)安全的第一道防線，所以保障電子商務(wù)交易主體安全是電子商務(wù)正常進(jìn)行的重要保證。

一、電子商務(wù)交易主體安全

在電子商務(wù)系統(tǒng)交易過(guò)程中參加交易的主體主要有商戶(hù)、顧客、銀行、物流公司、身份認(rèn)證機(jī)構(gòu)。在進(jìn)行的每一個(gè)交易步驟都需要在相關(guān)兩個(gè)地處不同地區(qū)的交易主體之間，通過(guò)計(jì)算機(jī)遠(yuǎn)程通訊的方式完成信息的交換與確認(rèn)。同時(shí)為了保證每一個(gè)交易步驟、交易主體及交易內(nèi)容都是真實(shí)、完整、有效的，必須對(duì)交易主體的身份進(jìn)行認(rèn)證，同時(shí)對(duì)交易中主體之間交換的數(shù)字單據(jù)進(jìn)行驗(yàn)證。

在傳統(tǒng)的商品交易過(guò)程中，交易主體的身份證明可以是：公安機(jī)關(guān)頒發(fā)的個(gè)人身份證明—居民身份證，工商管理局頒發(fā)的企業(yè)資格證明—營(yíng)業(yè)執(zhí)照。然而在電子商務(wù)環(huán)境下的交易過(guò)程，傳統(tǒng)的身份證、營(yíng)業(yè)執(zhí)照等身份、資質(zhì)證明資料已無(wú)法確認(rèn)交易主體的真實(shí)身份。因?yàn)樗信c商品交易有關(guān)的單據(jù)都是數(shù)字單據(jù)，在交易過(guò)程中無(wú)法確認(rèn)交易主體的真實(shí)身份。為了實(shí)現(xiàn)對(duì)交易主體的身份進(jìn)行有效確認(rèn)，將基于公鑰理論的數(shù)字證書(shū)技術(shù)運(yùn)用到電子商務(wù)中，確認(rèn)電子商務(wù)參與者真實(shí)身份，保證交易安全。

二、數(shù)字證書(shū)原理

1.數(shù)字證書(shū)的定義

數(shù)字證書(shū)也叫數(shù)字標(biāo)識(shí)，是一種應(yīng)用廣泛的信息安全技術(shù)，一般由權(quán)威公正的第三方機(jī)構(gòu)即CA認(rèn)證中心簽發(fā)，主要用于網(wǎng)上安全交往的身份認(rèn)證，通俗地講，數(shù)字證書(shū)就是個(gè)人或單位在網(wǎng)絡(luò)上的身份證。數(shù)字證書(shū)以密碼學(xué)為基礎(chǔ)，采用公鑰體制原理在Internet上建立安全有效的信任機(jī)制。

2.數(shù)字證書(shū)工作原理

（1）公鑰密碼體制。數(shù)字證書(shū)采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。公鑰密碼體制分為三個(gè)部分，公鑰、私鑰、加密解密算法，它的加密解密過(guò)程如下：

加密：通過(guò)加密算法和公鑰對(duì)明文進(jìn)行加密，得到密文。加密過(guò)程需要用到公鑰。

解密：通過(guò)解密算法和私鑰對(duì)密文進(jìn)行解密，得到明文。解密過(guò)程需要用到解密算法和私鑰。注意，由公鑰加密的內(nèi)容，只能由私鑰進(jìn)行解密，也就是說(shuō)，由公鑰加密的內(nèi)容，如果不知道私鑰，是無(wú)法解密的。

公鑰密碼體制的公鑰和算法都是公開(kāi)的，私鑰是保密的。大家都可以使用公鑰進(jìn)行加密，但是只有私鑰的持有者才能解密。在實(shí)際的使用中，申請(qǐng)者會(huì)得到生成一對(duì)公鑰和私鑰，把公鑰發(fā)布出去給別人使用，自己保留私鑰。

（2）數(shù)字證書(shū)原理。每個(gè)持有數(shù)字證書(shū)的用戶(hù)自己有一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)有一把公共密鑰（公鑰）并由本人公開(kāi)，為一組用戶(hù)所共享，用于加密和驗(yàn)證簽名。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。

在公鑰密碼體制中，其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開(kāi)密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位密鑰，需要上千年的計(jì)算時(shí)間。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，商戶(hù)可以公開(kāi)其公開(kāi)密鑰，而保留其私有密鑰。電子商務(wù)交易主體可以用人人皆知的公開(kāi)密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送給商戶(hù)，然后由商戶(hù)用自己的私有密鑰進(jìn)行解密。

（3）數(shù)字證書(shū)的應(yīng)用。①數(shù)據(jù)加密。數(shù)字證書(shū)技術(shù)利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。當(dāng)你申請(qǐng)證書(shū)的時(shí)候，會(huì)得到一把私鑰和一把公鑰。其中公鑰可以發(fā)給他人使用，而私鑰你應(yīng)該保管好、不能泄露給其他人，否則別人將能用它以你的名義使用。

當(dāng)你向朋友發(fā)送一份保密文件時(shí)，需要使用對(duì)方的公鑰對(duì)數(shù)據(jù)加密，朋友收到文件后，則使用自己的私鑰解密，如果對(duì)方?jīng)]有私鑰，就不能解密文件，從而保證數(shù)據(jù)的安全保密性。這種加密是不可逆的，即使你已知明文、密文和公鑰，也無(wú)法推導(dǎo)出私鑰。

②數(shù)字簽名。利用數(shù)字證書(shū)也可以對(duì)文件進(jìn)行數(shù)字簽名，用戶(hù)采用自己的私鑰對(duì)信息加以處理，即用你的私鑰對(duì)數(shù)據(jù)進(jìn)行加密處理。由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。由于私鑰僅為你一個(gè)人擁有、別人是無(wú)法仿造的，因此經(jīng)過(guò)你簽名的文件一定是你自己簽名發(fā)送的。數(shù)據(jù)接收方則利用對(duì)方的公鑰來(lái)解密收到的數(shù)字簽名，以確認(rèn)簽名的合法性。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實(shí)過(guò)程中的“親筆簽字”，在技術(shù)和法律上有保證。在數(shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密。

（4）數(shù)字證書(shū)的類(lèi)型。①?gòu)淖C書(shū)的使用者來(lái)看，數(shù)字證書(shū)可分為個(gè)人數(shù)字證書(shū)、機(jī)構(gòu)數(shù)字證書(shū)和設(shè)備數(shù)字證書(shū)。 a.個(gè)人數(shù)字證書(shū)：證書(shū)中包含個(gè)人身份信息和個(gè)人的公開(kāi)密鑰，用于標(biāo)識(shí)證書(shū)持有人的個(gè)人身份。 b.機(jī)構(gòu)數(shù)字證書(shū)：證書(shū)中包含企業(yè)信息和企業(yè)的公開(kāi)密鑰，用于標(biāo)識(shí)證書(shū)持有企業(yè)的身份。 c.設(shè)備數(shù)字證書(shū)：證書(shū)中包含服務(wù)器信息和服務(wù)器的公開(kāi)密鑰，用于標(biāo)識(shí)證書(shū)持有服務(wù)器的身份。從證書(shū)的用途來(lái)看，數(shù)字證書(shū)可分為簽名證書(shū)和加密證書(shū)。②簽名證書(shū)：主要用于對(duì)用戶(hù)信息進(jìn)行簽名，以保證信息的不可否認(rèn)性。③加密證書(shū)：主要用于對(duì)用戶(hù)傳送的信息進(jìn)行加密，以保證信息的真實(shí)性和完整性。

（5）數(shù)字證書(shū)的意義。數(shù)字證書(shū)是一種權(quán)威性的電子文檔，它提供了一種在互聯(lián)網(wǎng)上驗(yàn)證身份的方式。數(shù)字證書(shū)在網(wǎng)絡(luò)上類(lèi)似于人在社會(huì)上持有的身份證等證件，用來(lái)在網(wǎng)絡(luò)上證明數(shù)字證書(shū)持有者的身份。數(shù)字證書(shū)持有者可能是現(xiàn)實(shí)社會(huì)中的自然人、法人，也可能是網(wǎng)絡(luò)設(shè)備。數(shù)字證書(shū)可以簡(jiǎn)單理解為“網(wǎng)絡(luò)身份證”，用來(lái)在網(wǎng)絡(luò)上證明自己的身份。在數(shù)字證書(shū)認(rèn)證的過(guò)程中，證書(shū)認(rèn)證中心（CA）作為權(quán)威的、公正的、可信賴(lài)的第三方，其作用是至關(guān)重要的。

由于Internet網(wǎng)電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購(gòu)物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時(shí)也增加了對(duì)某些敏感或有價(jià)值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過(guò)程中的欺詐行為，必須在網(wǎng)上建立一種信任機(jī)制。這就要求參加電子商務(wù)的買(mǎi)方和賣(mài)方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無(wú)誤的被進(jìn)行驗(yàn)證。

三、數(shù)字證書(shū)保障電子商務(wù)交易主體的真實(shí)身份

在商品交易過(guò)程中，明示身份的目的是向?qū)Ψ奖砻髯约旱恼鎸?shí)身份，如果交易的一方無(wú)法查明另外一方的身份，或者另外一方使用虛假身份，這樣就很容易產(chǎn)生交易糾紛。

電子商務(wù)系統(tǒng)的交易步驟首先是顧客登錄商戶(hù)的網(wǎng)站，在網(wǎng)站上選購(gòu)商品，在決定購(gòu)買(mǎi)選中的商品后，向商戶(hù)提交訂購(gòu)單，在該步驟中，需要進(jìn)行數(shù)字身份認(rèn)證的主體有商戶(hù)與顧客。商戶(hù)網(wǎng)站首先要向顧客展示自己的真實(shí)“數(shù)字身份”，用于顧客對(duì)商戶(hù)的合法經(jīng)營(yíng)身份進(jìn)行確認(rèn)，從而防止顧客登錄非法網(wǎng)站。另外顧客同時(shí)也要向商戶(hù)網(wǎng)站展示自己的“身份”，應(yīng)該采用“數(shù)字身份”的方式登錄網(wǎng)站，對(duì)提交的訂單進(jìn)行數(shù)字簽名后發(fā)送給商戶(hù)。

1.數(shù)字證書(shū)保證網(wǎng)站身份

網(wǎng)站可以通過(guò)申請(qǐng)服務(wù)器數(shù)字證書(shū)，作為網(wǎng)站唯一的電子身份標(biāo)識(shí)來(lái)確認(rèn)網(wǎng)站身份，讓所有訪問(wèn)網(wǎng)站的顧客都能確定網(wǎng)站是真實(shí)可靠的。服務(wù)器數(shù)字證書(shū)，證書(shū)中包含服務(wù)器信息和服務(wù)器的公鑰，在網(wǎng)絡(luò)通訊中用于標(biāo)識(shí)和驗(yàn)證服務(wù)器的身份。數(shù)字安全證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)于 E-key 中，服務(wù)器軟件利用證書(shū)機(jī)制保證與其他服務(wù)器或客戶(hù)端通信時(shí)雙方身份的真實(shí)性、安全性、可信任度。

2.數(shù)字證書(shū)保證顧客網(wǎng)上登錄身份

采用數(shù)字證書(shū)校驗(yàn)登錄的方式登錄網(wǎng)站，網(wǎng)站建立數(shù)字證書(shū)登錄平臺(tái)，顧客為自己申請(qǐng)數(shù)字證書(shū)后，將數(shù)字證書(shū)安裝在自己的電腦上，并將該數(shù)字證書(shū)與顧客賬號(hào)進(jìn)行綁定。在顧客登錄網(wǎng)站時(shí)，系統(tǒng)將讀取顧客的數(shù)字證書(shū)，由于數(shù)字證書(shū)私鑰的唯一性，只有持有者本人才能通過(guò)數(shù)字證書(shū)登錄網(wǎng)站，而在未安裝數(shù)字證書(shū)的電腦上或非數(shù)字證書(shū)本人，該顧客將不能登錄平臺(tái)。

目前，阿里巴巴網(wǎng)站是我國(guó)最先進(jìn)的B2B電子商務(wù)網(wǎng)上貿(mào)易平臺(tái)，但是在平臺(tái)上交易的買(mǎi)賣(mài)雙方虛假身份問(wèn)題任然存在。如果能把阿里巴巴網(wǎng)站建設(shè)成為我國(guó)第一個(gè)可用數(shù)字證書(shū)進(jìn)行電子商務(wù)活動(dòng)的操作平臺(tái)，不僅可使阿里巴巴公司受益，更重要的是能為我國(guó)電子商務(wù)的發(fā)展打開(kāi)一個(gè)突破口。

如果阿里巴巴網(wǎng)站，開(kāi)辟“證書(shū)企業(yè)專(zhuān)區(qū)”。企業(yè)通過(guò)數(shù)字證書(shū)注冊(cè)阿里巴巴會(huì)員，企業(yè)的身份就會(huì)得到非常有效的確認(rèn)，就能很好解決阿里巴巴B2B電子商務(wù)中企業(yè)的身份一直不能得到有效的確認(rèn)這一關(guān)鍵瓶頸，使用企業(yè)數(shù)字證書(shū)還能保證電子商務(wù)活動(dòng)中要求信息的保密性、不可否認(rèn)性、不可篡改性。企業(yè)用數(shù)字證書(shū)登錄阿里巴巴網(wǎng)站，通過(guò)使用數(shù)字證書(shū)，還可以在其發(fā)布的供求信息中加蓋電子公章。通過(guò)數(shù)字證書(shū)在網(wǎng)站上的應(yīng)用，發(fā)展和完善我國(guó)電子商務(wù)平臺(tái)，為企業(yè)間進(jìn)行的身份確認(rèn)、電子合同、電子交易等方面提供可認(rèn)證、安全性高、不可抵賴(lài)的安全應(yīng)用平臺(tái)。

3.數(shù)字證書(shū)保證顧客網(wǎng)上支付身份

在顧客向銀行提交支付申請(qǐng)及銀行確認(rèn)支付請(qǐng)求的交易步驟中，需要進(jìn)行數(shù)字身份認(rèn)證的主體有顧客與銀行。一般情況下，顧客選擇相應(yīng)銀行的官方網(wǎng)站進(jìn)行在線支付是安全的，銀行網(wǎng)站的真實(shí)性比較容易判斷，同時(shí)，顧客也要向銀行展明自己的身份，保證支付者身份的真實(shí)性。因?yàn)槭沁h(yuǎn)距離的網(wǎng)絡(luò)操作，銀行對(duì)確保支付者身份的監(jiān)控能力相對(duì)在銀行柜臺(tái)的操作是比較低的，這要求必須有一種方法可以有效的保證支付者身份的真實(shí)性和唯一性。

數(shù)字證書(shū)作為“網(wǎng)上身份證”，為銀行的網(wǎng)上支付提供了保障，各銀行為支付者提供該銀行的數(shù)字證書(shū)申請(qǐng)，將支付者的銀行卡信息與數(shù)字證書(shū)進(jìn)行綁定，保證支付者銀行卡信息與數(shù)字證書(shū)的唯一關(guān)聯(lián)性。雖然各銀行數(shù)字證書(shū)名稱(chēng)各不相同，但均是基于數(shù)字證書(shū)原理，各銀行以外形各異的U盤(pán)作為存儲(chǔ)介質(zhì)，主要保存數(shù)字證書(shū)，U盤(pán)內(nèi)置的物理加密芯片可以確保數(shù)字證書(shū)不被木馬病毒輕易盜取，從安全性上來(lái)看是完全可靠的。銀行的數(shù)字證書(shū)通過(guò)硬件加密的方式驗(yàn)證客戶(hù)的身份。客戶(hù)有關(guān)信息一經(jīng)下載到數(shù)字證書(shū)內(nèi)，即具有惟一性和不可復(fù)制性，網(wǎng)上所有涉及賬戶(hù)資金的對(duì)外轉(zhuǎn)移都必須事先通過(guò)支付者數(shù)字證書(shū)進(jìn)行惟一性認(rèn)證。當(dāng)支付的時(shí)候?qū)⒋娣艛?shù)字證書(shū)的U盤(pán)插入計(jì)算機(jī)接口，進(jìn)行支付者身份信息匹配，匹配成功便可進(jìn)行支付，反之，將不能完成。數(shù)字證書(shū)支付方式，即使支付者不小心丟失了賬號(hào)、密碼，也沒(méi)有關(guān)系，沒(méi)有這個(gè)數(shù)字證書(shū)是無(wú)法成功實(shí)現(xiàn)網(wǎng)上支付的。

電子商務(wù)安全是電子商務(wù)正常進(jìn)行的重要保證，身份認(rèn)證又是電子商務(wù)安全的第一道防線。基于公鑰技術(shù)的數(shù)字證書(shū)能夠確認(rèn)交易主體的身份認(rèn)證，實(shí)現(xiàn)身份的真實(shí)性、唯一性以及不可否認(rèn)性，運(yùn)用數(shù)字證書(shū)，更好地保障了交易的安全，將極大地推動(dòng)電子商務(wù)的發(fā)展。

參考文獻(xiàn)：

[1]張文光.電子商務(wù)身份認(rèn)證的根本之道-無(wú)線印鑒認(rèn)證.電子商務(wù)，2006年第9期，第58頁(yè)

[2]張昕楠.身份認(rèn)證：擺脫困境.軟件世界，2006年第4期，第68頁(yè)

[3]鐘紅山.電子商務(wù)系統(tǒng)交易主體身份認(rèn)證研究.商業(yè)時(shí)代.2009年第6期，第42頁(yè)