浅析认证技术在电子商务安全中的应用

1、 浅析认证技术在电子商务安全中的应用摘要：认证技术是建立电子商务安全交易系统必不可少的基本组成部分。文中分析了电子商务的网络设施不完善、信用问题及交易安全问题等存在的安全隐患，同时介绍了电子商务安全交易中常用的身份认证技术和信息认证技术，并分析认证技术如何确保电子商务信息机密性和完整性，从而为电子商务的信息安全提供理论基础。关键词：电子商务 身份认证 信息认证 pki中图分类号：tp393.08文献标识码：a 文章编号：1007-9416(2012)08-0162-021、导入电子商务是在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，同时，人们不再受地域

2、的限制，能以非常简捷的方式完成过去较为繁杂的商务活动。通过这样的交易方式不仅降低了经营成本，而且大大地提高了生产效率，优化了资源配置，所以电子商务现在已是全球化的发展趋势，然而，这是商业模式给经济带来机遇的同时也带来了一定的挑战，其中，交易的安全成为其核心和关键问题。2、电子商务存在的安全隐患电子商务中所有的交易都是基于开放的网络环境下进行的。这样，开放网络环境下的网络安全隐患问题自然也是电子商务交易所存在的问题，且这些安全隐患不能很好的解决，势必阻碍电子商务的发展。2.1 网络设施不完善国内计算机网络设施与发达国家相比，有待进一步完善。近几年，随着电子技术的发展，我国的计算机信息网络技术及设

3、施也在不断的发展。但是跟发达国家相比，依然存在一定的差距，例如容量不是足够大，速度还有待进步提高，技术指标还存在差异，管理水平、使用成本、安全性和协调性等也都存在较大差距，这样的硬件环境本身就为电子商务安全交易隐患提供了土壤。2.2 信用问题一个完整的电子商务交易体系涉及买卖双方，因为互联网的存在，买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成熟，假冒伪劣商品泛滥，而网上交易又不能让消费者对商品亲自试用鉴别，所以有许多消费者对电子商务望而却步。这样的话，网上交易中买卖双钩相互信任就成了成交的根本保证。2.3 交易安全电子商务中核心的问题就是交易安全问题。由于网络的开放性，一些虚假交

4、易、假冒行为、合同诈骗、侵犯消费者合法权益等各种违法违规行为屡屡发生，这样使电子商务面临种种风险。如何保障电子商务的安全一直是电子商务的核心研究领域。3、认证技术在电子商务中的应用认证是建立网络安全系统必不可少的基本组成部分，它是网络安全的基础。同样，认证在电子商务安全中也是必不可少的重要组成部分。在电子商务交易安全中，认证技术主要包括身份认证和信息认证。身份认证用于鉴别用户身份，验证信息的发送者是真的，而不是冒充的；信息认证是验证信息的完整性，即验证数据在传送或存储过程中未被窜改、重放或延迟等。在电子商务交易中，通过这两种认证技术的结合，才能保证交易的顺利进行。3.1 身份认证在网上进行交易

5、，身边认证是第一道防线，只有确认了对方的身份才可能使交易流程顺利展开。所以，身份认证是电子商务交易中首要的安全保证。网上交易进行身份认证最常用的有口令认证和基于生物特征认证。3.1.1 口令认证口令认证分为静态口令认证和动态口令认证两种方式。静态口令认证就是传统的用户名密码认证，是最简单的认证方法。采用此类的认证方式，系统为每一个合法用户建立一个二元组信息（用户id、口令），当用户登录系统时，提示用户输入自己的用户名和口令，系统服务器通过核对用户输入的用户名、口令与系统维护的信息进行匹配来判断用户身份的合法性。这种认证方法操作简单，但是系统安全性极差，一旦口令泄露，后果将不堪设想。动态口令技术

6、是为解决传统的静态口令认证的缺陷而设计的一种认证方式，也称“一次性口令认证”，在认证过程中，用户的密码按照时间或使用的次数不断动态变化，且保证一次一密且任何人都无法预知，有效抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性2。在电子商务交易中，由于密码口令很容易被遗忘或被其他人进行攻击或破解，相对于其他保密技术，这种认证技术是安全级别相对较低的一种。3.1.2 基于生物学特征的认证生物特征认证是依赖用户特有的生物信息的一种认证方式。这种认证方式与口令认证最大的不同是，口令认证是依赖用户知道的某个秘密信息，而生物特征认证依赖独一无二的用户特征生物信息，且生物特征很难在个体之间传递。这种

7、认证主要是通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以及近来流行的基于虹膜识别的身份认证等。目前，在保密性较高的系统中采用基于生物特征的认证技术，在电子商务交易中，这种认证技术由于高成本性等原因还没有广泛的应用。3.2 信息认证信息认证技术是电子商务系统中的重要组成部分，是确保电子商务安全、可靠以及一致性。在电子商务交易中，由于开放的网络环境下，网络上传输的信息很容易被篡改、伪造，或者被冒充，或信息接收方事后否认，同时，通过电子数据方式达成的交易文件又

8、必须与传统的商务交易一样，必须具有严肃性和公正性，且是不能被否认的，为实现这一目标，除了采用身份认证起到确保网上交易者身份的真实可信外，信息认证就用来确保交流的信息完整、不可抵赖性，以及信息访问的权限控制。3.2.1 基于密钥体制的认证体制在密钥体制中，主要包括基于对称的密钥体制和基于非对称的密钥体制两种认证体制。(1)对称密钥体制又称私有密钥体制，是一种传统、简单的密钥体制，即加密和解密使用同一个密钥的密码技术，且通信双方必须保存好他们共同的密钥，同时通信各方必须得相互信任，对方不会把密钥泄露出去。以一个具体例子来说明其加密原理：假设用户a需要把一份明文为m的资料发给用户b，但是因为担心资料

9、在传输的中途被窃听或者篡改，故用户a用了对称加密法将m经过一个加密函数fk处理后生成m加密文，而用户b接受到加密文后通过事先商定好的fk函数再次处理m便可以还原成明文m，从而达到安全传输信息的目的。用户a：m=fk(m)用户b：m=fk(m)在该体制中，需要强大的加密算法，一旦密钥泄露，且知道了算法，那么使用此密匙的所有通信便都是可读取的，这样就没有任何安全可言，后果可想而知。(2)非对称密钥机制也叫公开密钥体制，在该体制中有两个不同的密钥：公钥和私钥，使用公钥（私钥）加密的数据，只能使用其对应的私钥（公钥）解密，且公钥和私钥不能由一个推出另一个。以一个具体例子来说明其加密原理：假设用户a需要

10、把一份明文为m的资料发给用户b，但是因为担心资料在传输的中途被窃听或者篡改，故用户a用了加密算法ek将m处理后生成m加密文，而用户b接受到m加密文后,通过解密算法dk再次处理m便可以还原成明文m，从而达到安全传输信息的目的。其中，加密算法ek实质就是利用公钥进行加密，而解密算法就是利用私钥dk解密。客户a：m=ek(m)客户b：m=dk(m)在电子商务交易中，买卖双方之间的交易都是建立在相互“信任”的基础之上的，而公钥基础设施pki（public-key infrastru cture，简称pki）就是是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。在pki中

11、，用户之间的通信都是建立在相互“信任”的基础之上的，通过对通信对方证书的认证达到建立“信任”的目的。在严格的层次结构中，由于证书的声称者(用户)与证书的验证者具有相同的可信任第三方根ca(certification authority，简称ca)，因此，对用户证书的验证只需找到根ca的公钥即可进行认证。在电子商务交易中，只有对称和非对称加密体制有机的相结合，能够确保电子商务信息的完整性和机密性。3.2.2 数字签名技术在电子商务交易中，除了要防止他人破坏传输的数据之外，还要确定发送信息人的身份，这就需要采取另外一种手段数字签名。数字签名技术是指接收者通过计算机网络接收数据时，可以利用它来确认所

12、接收的数据确实是由发送者发送的，并且能够确认该接收的数据并没有被篡改。具体实现是报文的发送方从报文文本中生成一个128位的单向散列值(即hash函数根据报文文本而产生的具有固定长度的单向hash值)，有时这个单向hash值也叫做报文摘要，它与报文文本的数字指纹或标准校验相似。数字签名工作流程如下：(1)发送方首先用公开的散列函数对报文进行一次变换,得到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后同时发送给接收方；(2)接收方用发送方的公开密钥对数字签名进行解密,得到一个数字签名的明文；(3)接收方将得到的明文通过散列函数进行计算,也得到一个数字签名,再将两个数字签名比较，如果相同，

13、则证明签名有效；如果不同，则说明签名无效。通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签名机制提供了一种鉴别方法，用于解决伪造、抵赖、冒充、篡改等问题。4、结语认证技术是电子商务安全交易中必不可少的基本组成部分。其中，身份认证是确保电子商务交易中首要的安全保证，用来防止非法用户假冒合法用户窃取敏感数据；而信息认证技术是确保电子商务交易中信息机密性、完整性及不可否认性。在电子商务交易中，身份认证和信息认证的有效结合是电子商务交易安全的基础，也是电子商务交易顺利的重要的保障。参考文献1张建兵,程财军.电子商务安全问题探析j.现代商贸工业,2009,23.2尉永青,刘培德.电子商务环境下主要的身份认证分析j.商城现代化,2005,13.3鲁军,汪同庆,任莉.身份认证系统的设计与实现j.网络安全技术与应用,2004,30(2):24-26.4陈云,彭春山,邓亚平.ke