本文作者：陳小軍

網絡環境中的電子商務需要大量的信息，包括商品生產和供應信息(商品的產地、價格、產量、質量、規格、品種等)、商品需求信息(消費群體、購買力水平、消費水平和消費結構、購買傾向等)、商品競爭信息(新產品開發、銷售渠道、價格策略、競購和競銷能力、促銷策略等)、財務信息(價格撮合、支付方式、收支款項等)、市場環境信息(政治狀況、經濟狀況、自然條件等)、客戶個人信息(姓名、家庭地址、聯系方式、銀行帳號等)。這些信息通過合同、定單、文件、財務核算、憑證、標準、條例等形式在交易雙方及參與交易的其他各方之間不斷傳遞。為了保證交易過程的順利完成，必須保證上述信息在傳遞過程中的安全性。任何成功的電子商務必須提供足夠的安全性、可靠性、可用性，才能贏得客戶的信賴和歡迎。

一、電子商務中的信息安全因素

一個安全的電子商務系統主要包括信息的機密性、完整性、不可抵賴性、有效性和認證性。1.機密性預防信息在傳輸過程中被非法竊取。機密性一般通過密碼技術對傳輸的信息進行加密處理實現。2完整性預防對信息的隨意生成、修改。完整性一般通過提取信息的數字摘要以及數字簽名方式來實現。3.不可抵賴性對參與電子商務交易的個人和實體進行真實身份標識，防止其對傳輸的信息進行抵賴。不可抵賴性通過對發送的信息進行數字簽名來實現。4.有效性以保證貿易數據在確定的時刻、確定的地點是有效的。有效性可以用數字時間戳來實現。5.認證性數字簽名、數字時間戳本身不能證明提供者的真實身份。對個人或實體的身份進行鑒別，為身份的真實性提供保證，這意味著當某人或某實體聲稱具有某個特定的身份時，鑒別服務將提供一種方法來驗證其聲明的正確性。認證性一般通過證書機構CA和數字證書來實現。

二、數字證書與認證機構CA

數字證書簡稱證書，是由認證機構CA(Cer-tifieateAuthority)簽發的一份電子文件，證明證書主體(“證書申請者”擁有證書后即為“證書主體”)與證書中所包含的公鑰的惟一對應關系。它是數字簽名的技術基礎保障。數字證書采用公開密鑰密碼體制技術，證書上的公鑰惟一與實體身份綁定，是網上實體身份的身份證，證明某一實體的身份以及其公鑰的合法性。證書的主要內容及格式遵循X.509國際標準，一個標準的X.509數字證書包含以下一些內容(參見圖1):(l)證書的版本信息;(2)證書的序列號，每個證書都有一個惟一的證書序列號;(3)證書所使用的簽名算法;(4)證書的發行機構名稱，命名規則一般采用X.509格式;(5)證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950一2049，證書的有效期為一年;(6)證書所有人的名稱，命名規則一般采用X.509格式;(7)證書所有人的公開密鑰;(8)證書發行者對證書的數字簽名。

三、非對稱加密技術(公開密鑰密碼體制)

公開密鑰密碼體制是美國在1976年制定的。最有名的公開密碼體制技術是RSA算法，它是以三個發明人的名字命名的(凡vest，Shahar，Adellnan)。它與傳統的對稱密鑰算法有本質的區別，對稱密鑰算法常用的是DES(L勝taEnc卿tionStandard)算法，加/解密時用的是同一個密鑰。而公鑰算法采用的是非對稱的密鑰(一對密鑰)，每對密鑰由一個公鑰和一個私鑰組成。密鑰對中的每個密鑰都可用于加密和解密，但只能成對使用，即用公鑰加密的密文只能用對應的私鑰解密，反之亦然。RSA算法的基本原理是，利用兩個足夠大的質數與被加密原文相乘生產的積來加密/解密。這兩個質數無論是用哪一個與被加密的原文相乘(模乘)，即對原文件加密，均可由另一個質數再相乘來進行解密。但是，若想用這個乘積來求出另一個質數，就要進行對大數分解質因子，分解一個大數的質因子是十分困難的，若選用的質數足夠大，這種求解幾乎是不可能的(根據目前計算機的計算能力，破解RSA算法的密鑰大概需要1016年)。因此，將這兩個質數作為密鑰對，其中一個采用私密的安全介質保密存儲起來，不對任何外人泄露，簡稱為“私鑰”;另一個密鑰可以公開發表，這個密鑰稱之為“公鑰”。公/私密鑰對的用途，①公鑰加密私鑰解密主要用于發信，當發方向收方通信時，發方用收方的公鑰對原文進行加密，收方收到發方的密文后，用自己的私鑰進行解密，其他人是無法解密的;②私鑰加密公鑰解密主要用于簽名，當發方向收方簽發文件時，發方用自己的私鑰加密文件傳送給收方，收方用發方的公鑰進行解密，可確保信息來源于發方。因此，私鑰可保證信息來源的不可抵賴性，公鑰可保證信息的機密性。密鑰對的產生可由認證機構的密鑰管理中心負責提供，也可由用戶離線產生。密鑰對一經產生便自動將其銷毀或者為了以后密鑰的恢復的需要而將其存人離線的安全黑庫里，以上這此工作都由程序自動完成。在密鑰對產主以后，公鑰通過簽證中心CA以證書的形式向用戶發放，私鑰經加密后用PIN卡(或IC卡)等形式攜帶分發至用戶。

四、數字簽名技術

數字簽名用于電子文檔，就像親筆簽名用于印刷文檔。數字簽名是一條不能偽造的信息，表示一個具名人寫了或同意該附帶簽名的文檔。數字簽名信息的接收者可以驗證該信息源于簽名的人以及該信息在簽名后未被有意或無意的更改過。換句話說，數字簽名支持數字信息的“鑒定”，向數字信息的接收者保證發送者的身份和該信息的完整性。數字簽名在1507498一2標準中定義為:“附加在數據單元上的一些數據，或是對數據單元所作的密碼變換，這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，并保護數據，防止被人(例如接收者)進行偽造”。實際應用時，數字簽名是通過一個單向函數(稱為哈希算法、HASH算法)對要傳送的電子文件進行處理得到數字摘要(也稱為報文摘要或信息摘要)，再用私鑰對摘要加密得到數字簽名。數字簽名的具體做法是:首先，將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位，重新計算出的報文摘其次，將該報文摘要值用發方的私人密鑰加密，然后連同原報文一起發送給收件人，而加密后的報文摘要即為數字簽名。最后，收件人收到報文后，用同樣的HASH算法對報文計算摘要，然后與用發件人的公鑰進行解密得到的報文摘要相比較。如兩者相等則說明報文確實來自發件人。采用數字簽名，能夠確認以下兩點:第一，保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認;第二，保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。因此，數字簽名技術可以解決信息傳輸過程中的否認、偽造、篡改及冒充等問題。