浅析认证技术在电子商务安全中的应用
摘要:认证技术是建立电子商务安全交易系统必不可少的基本组
成部分。文中分析了电子商务的网络设施不完善、信用问题及交易
安全问题等存在的安全隐患,同时介绍了电子商务安全交易中常用
的身份认证技术和信息认证技术,并分析认证技术如何确保电子商
务信息机密性和完整性,从而为电子商务的信息安全提供理论基
础。
关键词:电子商务 身份认证 信息认证 pki
中图分类号:tp393.08 文献标识码:a 文章编号:
1007-9416(2012)08-0162-02
1、导入
电子商务是在因特网开放的网络环境下,基于浏览器/服务器应用
方式,买卖双方不谋面地进行各种商贸活动,同时,人们不再受地
域的限制,能以非常简捷的方式完成过去较为繁杂的商务活动。通
过这样的交易方式不仅降低了经营成本,而且大大地提高了生产效
率,优化了资源配置,所以电子商务现在已是全球化的发展趋势,
然而,这是商业模式给经济带来机遇的同时也带来了一定的挑战,
其中,交易的安全成为其核心和关键问题。
2、电子商务存在的安全隐患
电子商务中所有的交易都是基于开放的网络环境下进行的。这样,
开放网络环境下的网络安全隐患问题自然也是电子商务交易所存
在的问题,且这些安全隐患不能很好的解决,势必阻碍电子商务的
发展。
2.1 网络设施不完善
国内计算机网络设施与发达国家相比,有待进一步完善。近几年,
随着电子技术的发展,我国的计算机信息网络技术及设施也在不断
的发展。但是跟发达国家相比,依然存在一定的差距,例如容量不
是足够大,速度还有待进步提高,技术指标还存在差异,管理水平、
使用成本、安全性和协调性等也都存在较大差距,这样的硬件环境
本身就为电子商务安全交易隐患提供了土壤。
2.2 信用问题
一个完整的电子商务交易体系涉及买卖双方,因为互联网的存在,
买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成
熟,假冒伪劣商品泛滥,而网上交易又不能让消费者对商品亲自试
用鉴别,所以有许多消费者对电子商务望而却步。这样的话,网上
交易中买卖双钩相互信任就成了成交的根本保证。
2.3 交易安全
电子商务中核心的问题就是交易安全问题。由于网络的开放性,
一些虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种
违法违规行为屡屡发生,这样使电子商务面临种种风险。如何保障
电子商务的安全一直是电子商务的核心研究领域。
3、认证技术在电子商务中的应用
认证是建立网络安全系统必不可少的基本组成部分,它是网络安
全的基础。同样,认证在电子商务安全中也是必不可少的重要组成
部分。在电子商务交易安全中,认证技术主要包括身份认证和信息
认证。身份认证用于鉴别用户身份,验证信息的发送者是真的,而
不是冒充的;信息认证是验证信息的完整性,即验证数据在传送或
存储过程中未被窜改、重放或延迟等。在电子商务交易中,通过这
两种认证技术的结合,才能保证交易的顺利进行。
3.1 身份认证
在网上进行交易,身边认证是第一道防线,只有确认了对方的身
份才可能使交易流程顺利展开。所以,身份认证是电子商务交易中
首要的安全保证。网上交易进行身份认证最常用的有口令认证和基
于生物特征认证。
3.1.1 口令认证
口令认证分为静态口令认证和动态口令认证两种方式。静态口令
认证就是传统的用户名密码认证,是最简单的认证方法。采用此类
的认证方式,系统为每一个合法用户建立一个二元组信息(用户id、
口令),当用户登录系统时,提示用户输入自己的用户名和口令,
系统服务器通过核对用户输入的用户名、口令与系统维护的信息进
行匹配来判断用户身份的合法性。这种认证方法操作简单,但是系
统安全性极差,一旦口令泄露,后果将不堪设想。动态口令技术是
为解决传统的静态口令认证的缺陷而设计的一种认证方式,也称
“一次性口令认证”,在认证过程中,用户的密码按照时间或使用
的次数不断动态变化,且保证一次一密且任何人都无法预知,有效
抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性
[2]。
在电子商务交易中,由于密码口令很容易被遗忘或被其他人进行
攻击或破解,相对于其他保密技术,这种认证技术是安全级别相对
较低的一种。
3.1.2 基于生物学特征的认证
生物特征认证是依赖用户特有的生物信息的一种认证方式。这种
认证方式与口令认证最大的不同是,口令认证是依赖用户知道的某
个秘密信息,而生物特征认证依赖独一无二的用户特征生物信息,
且生物特征很难在个体之间传递。这种认证主要是通过计算机与光
学、声学、生物传感器和生物统计学原理等高科技手段密切结合,
利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征
的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以
及近来流行的基于虹膜识别的身份认证等。
目前,在保密性较高的系统中采用基于生物特征的认证技术,在
电子商务交易中,这种认证技术由于高成本性等原因还没有广泛的
应用。
3.2 信息认证
信息认证技术是电子商务系统中的重要组成部分,是确保电子商
务安全、可靠以及一致性。在电子商务交易中,由于开放的网络环
境下,网络上传输的信息很容易被篡改、伪造,或者被冒充,或信
息接收方事后否认,同时,通过电子数据方式达成的交易文件又必
须与传统的商务交易一样,必须具有严肃性和公正性,且是不能被
否认的,为实现这一目标,除了采用身份认证起到确保网上交易者
身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵
赖性,以及信息访问的权限控制。
3.2.1 基于密钥体制的认证体制
在密钥体制中,主要包括基于对称的密钥体制和基于非对称的密
钥体制两种认证体制。
(1)对称密钥体制又称私有密钥体制,是一种传统、简单的密钥体
制,即加密和解密使用同一个密钥的密码技术,且通信双方必须保
存好他们共同的密钥,同时通信各方必须得相互信任,对方不会把
密钥泄露出去。以一个具体例子来说明其加密原理:假设用户a需
要把一份明文为m的资料发给用户b,但是因为担心资料在传输的
中途被窃听或者篡改,故用户a用了对称加密法将m经过一个加密
函数fk处理后生成m’’加密文,而用户b接受到加密文后通过事
先商定好的fk函数再次处理m’’便可以还原成明文m,从而达到
安全传输信息的目的。
用户a:m’’=fk(m)
用户b:m=fk(m’’)
在该体制中,需要强大的加密算法,一旦密钥泄露,且知道了算
法,那么使用此密匙的所有通信便都是可读取的,这样就没有任何
安全可言,后果可想而知。
(2)非对称密钥机制也叫公开密钥体制,在该体制中有两个不同的
密钥:公钥和私钥,使用公钥(私钥)加密的数据,只能使用其对
应的私钥(公钥)解密,且公钥和私钥不能由一个推出另一个。以
一个具体例子来说明其加密原理:假设用户a需要把一份明文为m
的资料发给用户b,但是因为担心资料在传输的中途被窃听或者篡
改,故用户a用了加密算法ek将m处理后生成m’’加密文,而用
户b接受到m’’加密文后,通过解密算法dk再次处理m’’便可
以还原成明文m,从而达到安全传输信息的目的。其中,加密算法
ek实质就是利用公钥进行加密,而解密算法就是利用私钥dk解密。
客户a:m’’=ek(m)
客户b:m=dk(m’’)
在电子商务交易中,买卖双方之间的交易都是建立在相互“信任”
的基础之上的,而公钥基础设施pki(public-key infrastru cture,
简称pki)就是是一种遵循标准的利用公钥加密技术为电子商务的
开展提供一套安全基础平台的技术和规范。在pki中,用户之间的
通信都是建立在相互“信任”的基础之上的,通过对通信对方证书
的认证达到建立“信任”的目的。在严格的层次结构中,由于证书
的声称者(用户)与证书的验证者具有相同的可信任第三方根
ca(certification authority,简称ca),因此,对用户证书的验
证只需找到根ca的公钥即可进行认证。
在电子商务交易中,只有对称和非对称加密体制有机的相结合,
能够确保电子商务信息的完整性和机密性。
3.2.2 数字签名技术
在电子商务交易中,除了要防止他人破坏传输的数据之外,还要
确定发送信息人的身份,这就需要采取另外一种手段——数字签
名。数字签名技术是指接收者通过计算机网络接收数据时,可以利
用它来确认所接收的数据确实是由发送者发送的,并且能够确认该
接收的数据并没有被篡改。具体实现是报文的发送方从报文文本中
生成一个128位的单向散列值(即hash函数根据报文文本而产生的
具有固定长度的单向hash值),有时这个单向hash值也叫做报文
摘要,它与报文文本的数字指纹或标准校验相似。数字签名工作流
程如下:(1)发送方首先用公开的散列函数对报文进行一次变换,得
到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后
同时发送给接收方;(2)接收方用发送方的公开密钥对数字签名进
行解密,得到一个数字签名的明文;(3)接收方将得到的明文通过散
列函数进行计算,也得到一个数字签名,再将两个数字签名比较,如
果相同,则证明签名有效;如果不同,则说明签名无效。
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签
名机制提供了一种鉴别方法,用于解决伪造、抵赖、冒充、篡改等
问题。
4、结语
认证技术是电子商务安全交易中必不可少的基本组成部分。其中,
身份认证是确保电子商务交易中首要的安全保证,用来防止非法用
户假冒合法用户窃取敏感数据;而信息认证技术是确保电子商务交
易中信息机密性、完整性及不可否认性。在电子商务交易中,身份
认证和信息认证的有效结合是电子商务交易安全的基础,也是电子
商务交易顺利的重要的保障。
参考文献
[1]张建兵,程财军.电子商务安全问题探析[j].现代商贸工
业,2009,23.
[2]尉永青,刘培德.电子商务环境下主要的身份认证分析[j].商
城现代化,2005,13.
[3]鲁军,汪同庆,任莉.身份认证系统的设计与实现[j].网络安全
技术与应用,2004,30(2):24-26.
[4]陈云,彭春山,邓亚平.kerberos认证协议的研究和改进[j].电
子技术学报,2006,32(10):206-209.
[5]孙鹏,黄鑫,庄雷.认证技术在p2p网络中的应用研究[j].计算
机应用与软件,2005,22(6):115-118.
[6]史创明,王立新.数字签名及技术原理与应用[j].微计算机信
息,2005,21(8):122-124.
[7]刘知贵,杨立春,蒲洁等.基于pki技术的数字签名身份认证系
统[j].计算机应用研究,2004,21(9):158-160.
浅析认证技术在电子商务安全中的应用
摘要:认证技术是建立电子商务安全交易系统必不可少的基本组
成部分。文中分析了电子商务的网络设施不完善、信用问题及交易
安全问题等存在的安全隐患,同时介绍了电子商务安全交易中常用
的身份认证技术和信息认证技术,并分析认证技术如何确保电子商
务信息机密性和完整性,从而为电子商务的信息安全提供理论基
础。
关键词:电子商务 身份认证 信息认证 pki
中图分类号:tp393.08 文献标识码:a 文章编号:
1007-9416(2012)08-0162-02
1、导入
电子商务是在因特网开放的网络环境下,基于浏览器/服务器应用
方式,买卖双方不谋面地进行各种商贸活动,同时,人们不再受地
域的限制,能以非常简捷的方式完成过去较为繁杂的商务活动。通
过这样的交易方式不仅降低了经营成本,而且大大地提高了生产效
率,优化了资源配置,所以电子商务现在已是全球化的发展趋势,
然而,这是商业模式给经济带来机遇的同时也带来了一定的挑战,
其中,交易的安全成为其核心和关键问题。
2、电子商务存在的安全隐患
电子商务中所有的交易都是基于开放的网络环境下进行的。这样,
开放网络环境下的网络安全隐患问题自然也是电子商务交易所存
在的问题,且这些安全隐患不能很好的解决,势必阻碍电子商务的
发展。
2.1 网络设施不完善
国内计算机网络设施与发达国家相比,有待进一步完善。近几年,
随着电子技术的发展,我国的计算机信息网络技术及设施也在不断
的发展。但是跟发达国家相比,依然存在一定的差距,例如容量不
是足够大,速度还有待进步提高,技术指标还存在差异,管理水平、
使用成本、安全性和协调性等也都存在较大差距,这样的硬件环境
本身就为电子商务安全交易隐患提供了土壤。
2.2 信用问题
一个完整的电子商务交易体系涉及买卖双方,因为互联网的存在,
买卖双方可以不见面进行大量的商业交易。然而由于市场还不很成
熟,假冒伪劣商品泛滥,而网上交易又不能让消费者对商品亲自试
用鉴别,所以有许多消费者对电子商务望而却步。这样的话,网上
交易中买卖双钩相互信任就成了成交的根本保证。
2.3 交易安全
电子商务中核心的问题就是交易安全问题。由于网络的开放性,
一些虚假交易、假冒行为、合同诈骗、侵犯消费者合法权益等各种
违法违规行为屡屡发生,这样使电子商务面临种种风险。如何保障
电子商务的安全一直是电子商务的核心研究领域。
3、认证技术在电子商务中的应用
认证是建立网络安全系统必不可少的基本组成部分,它是网络安
全的基础。同样,认证在电子商务安全中也是必不可少的重要组成
部分。在电子商务交易安全中,认证技术主要包括身份认证和信息
认证。身份认证用于鉴别用户身份,验证信息的发送者是真的,而
不是冒充的;信息认证是验证信息的完整性,即验证数据在传送或
存储过程中未被窜改、重放或延迟等。在电子商务交易中,通过这
两种认证技术的结合,才能保证交易的顺利进行。
3.1 身份认证
在网上进行交易,身边认证是第一道防线,只有确认了对方的身
份才可能使交易流程顺利展开。所以,身份认证是电子商务交易中
首要的安全保证。网上交易进行身份认证最常用的有口令认证和基
于生物特征认证。
3.1.1 口令认证
口令认证分为静态口令认证和动态口令认证两种方式。静态口令
认证就是传统的用户名密码认证,是最简单的认证方法。采用此类
的认证方式,系统为每一个合法用户建立一个二元组信息(用户id、
口令),当用户登录系统时,提示用户输入自己的用户名和口令,
系统服务器通过核对用户输入的用户名、口令与系统维护的信息进
行匹配来判断用户身份的合法性。这种认证方法操作简单,但是系
统安全性极差,一旦口令泄露,后果将不堪设想。动态口令技术是
为解决传统的静态口令认证的缺陷而设计的一种认证方式,也称
“一次性口令认证”,在认证过程中,用户的密码按照时间或使用
的次数不断动态变化,且保证一次一密且任何人都无法预知,有效
抵御重放攻击行为。这种认证技术有效地保证了用户身份的安全性
[2]。
在电子商务交易中,由于密码口令很容易被遗忘或被其他人进行
攻击或破解,相对于其他保密技术,这种认证技术是安全级别相对
较低的一种。
3.1.2 基于生物学特征的认证
生物特征认证是依赖用户特有的生物信息的一种认证方式。这种
认证方式与口令认证最大的不同是,口令认证是依赖用户知道的某
个秘密信息,而生物特征认证依赖独一无二的用户特征生物信息,
且生物特征很难在个体之间传递。这种认证主要是通过计算机与光
学、声学、生物传感器和生物统计学原理等高科技手段密切结合,
利用人体固有的生理特性来进行个人身份的鉴定。基于生物学特征
的认证包括基于指纹识别的身份认证、基于声音识别的身份认证以
及近来流行的基于虹膜识别的身份认证等。
目前,在保密性较高的系统中采用基于生物特征的认证技术,在
电子商务交易中,这种认证技术由于高成本性等原因还没有广泛的
应用。
3.2 信息认证
信息认证技术是电子商务系统中的重要组成部分,是确保电子商
务安全、可靠以及一致性。在电子商务交易中,由于开放的网络环
境下,网络上传输的信息很容易被篡改、伪造,或者被冒充,或信
息接收方事后否认,同时,通过电子数据方式达成的交易文件又必
须与传统的商务交易一样,必须具有严肃性和公正性,且是不能被
否认的,为实现这一目标,除了采用身份认证起到确保网上交易者
身份的真实可信外,信息认证就用来确保交流的信息完整、不可抵
赖性,以及信息访问的权限控制。
3.2.1 基于密钥体制的认证体制
在密钥体制中,主要包括基于对称的密钥体制和基于非对称的密
钥体制两种认证体制。
(1)对称密钥体制又称私有密钥体制,是一种传统、简单的密钥体
制,即加密和解密使用同一个密钥的密码技术,且通信双方必须保
存好他们共同的密钥,同时通信各方必须得相互信任,对方不会把
密钥泄露出去。以一个具体例子来说明其加密原理:假设用户a需
要把一份明文为m的资料发给用户b,但是因为担心资料在传输的
中途被窃听或者篡改,故用户a用了对称加密法将m经过一个加密
函数fk处理后生成m’’加密文,而用户b接受到加密文后通过事
先商定好的fk函数再次处理m’’便可以还原成明文m,从而达到
安全传输信息的目的。
用户a:m’’=fk(m)
用户b:m=fk(m’’)
在该体制中,需要强大的加密算法,一旦密钥泄露,且知道了算
法,那么使用此密匙的所有通信便都是可读取的,这样就没有任何
安全可言,后果可想而知。
(2)非对称密钥机制也叫公开密钥体制,在该体制中有两个不同的
密钥:公钥和私钥,使用公钥(私钥)加密的数据,只能使用其对
应的私钥(公钥)解密,且公钥和私钥不能由一个推出另一个。以
一个具体例子来说明其加密原理:假设用户a需要把一份明文为m
的资料发给用户b,但是因为担心资料在传输的中途被窃听或者篡
改,故用户a用了加密算法ek将m处理后生成m’’加密文,而用
户b接受到m’’加密文后,通过解密算法dk再次处理m’’便可
以还原成明文m,从而达到安全传输信息的目的。其中,加密算法
ek实质就是利用公钥进行加密,而解密算法就是利用私钥dk解密。
客户a:m’’=ek(m)
客户b:m=dk(m’’)
在电子商务交易中,买卖双方之间的交易都是建立在相互“信任”
的基础之上的,而公钥基础设施pki(public-key infrastru cture,
简称pki)就是是一种遵循标准的利用公钥加密技术为电子商务的
开展提供一套安全基础平台的技术和规范。在pki中,用户之间的
通信都是建立在相互“信任”的基础之上的,通过对通信对方证书
的认证达到建立“信任”的目的。在严格的层次结构中,由于证书
的声称者(用户)与证书的验证者具有相同的可信任第三方根
ca(certification authority,简称ca),因此,对用户证书的验
证只需找到根ca的公钥即可进行认证。
在电子商务交易中,只有对称和非对称加密体制有机的相结合,
能够确保电子商务信息的完整性和机密性。
3.2.2 数字签名技术
在电子商务交易中,除了要防止他人破坏传输的数据之外,还要
确定发送信息人的身份,这就需要采取另外一种手段——数字签
名。数字签名技术是指接收者通过计算机网络接收数据时,可以利
用它来确认所接收的数据确实是由发送者发送的,并且能够确认该
接收的数据并没有被篡改。具体实现是报文的发送方从报文文本中
生成一个128位的单向散列值(即hash函数根据报文文本而产生的
具有固定长度的单向hash值),有时这个单向hash值也叫做报文
摘要,它与报文文本的数字指纹或标准校验相似。数字签名工作流
程如下:(1)发送方首先用公开的散列函数对报文进行一次变换,得
到数字签名,然后利用私有密钥对数字签名进行加密后附在报文后
同时发送给接收方;(2)接收方用发送方的公开密钥对数字签名进
行解密,得到一个数字签名的明文;(3)接收方将得到的明文通过散
列函数进行计算,也得到一个数字签名,再将两个数字签名比较,如
果相同,则证明签名有效;如果不同,则说明签名无效。
通过数字签名能够实现对原始报文的鉴别和不可抵赖性。数字签
名机制提供了一种鉴别方法,用于解决伪造、抵赖、冒充、篡改等
问题。
4、结语
认证技术是电子商务安全交易中必不可少的基本组成部分。其中,
身份认证是确保电子商务交易中首要的安全保证,用来防止非法用
户假冒合法用户窃取敏感数据;而信息认证技术是确保电子商务交
易中信息机密性、完整性及不可否认性。在电子商务交易中,身份
认证和信息认证的有效结合是电子商务交易安全的基础,也是电子
商务交易顺利的重要的保障。
参考文献
[1]张建兵,程财军.电子商务安全问题探析[j].现代商贸工
业,2009,23.
[2]尉永青,刘培德.电子商务环境下主要的身份认证分析[j].商
城现代化,2005,13.
[3]鲁军,汪同庆,任莉.身份认证系统的设计与实现[j].网络安全
技术与应用,2004,30(2):24-26.
[4]陈云,彭春山,邓亚平.kerberos认证协议的研究和改进[j].电
子技术学报,2006,32(10):206-209.
[5]孙鹏,黄鑫,庄雷.认证技术在p2p网络中的应用研究[j].计算
机应用与软件,2005,22(6):115-118.
[6]史创明,王立新.数字签名及技术原理与应用[j].微计算机信
息,2005,21(8):122-124.
[7]刘知贵,杨立春,蒲洁等.基于pki技术的数字签名身份认证系
统[j].计算机应用研究,2004,21(9):158-160.