電子商務(wù)安全技術(shù)與認(rèn)證技術(shù)

河南司法警官職業(yè)學(xué)院畢業(yè)論文電子商務(wù)安全技術(shù)與認(rèn)證技術(shù)PAGEPAGEII電子商務(wù)安全技術(shù)與認(rèn)證技術(shù)學(xué)號(hào)：__________學(xué)生姓名：_________專業(yè)：計(jì)算機(jī)應(yīng)用技術(shù)指導(dǎo)教師：______________________學(xué)院信息技術(shù)系2012年4月河南司法警官職業(yè)學(xué)院畢業(yè)論文電子商務(wù)安全技術(shù)與認(rèn)證技術(shù)摘要隨著Internet的普及，人們通過(guò)因特網(wǎng)進(jìn)行溝通越來(lái)越多，相應(yīng)的通過(guò)網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)即電子商務(wù)也得到了廣泛的發(fā)展?；谝蛱鼐W(wǎng)之上的電子商務(wù)活動(dòng)，對(duì)電子商務(wù)安全技術(shù)及認(rèn)證技術(shù)提出了前所未有的要求，這二者成了影響電子商務(wù)安全健康發(fā)展的關(guān)鍵。本文在介紹電子商務(wù)安全威脅和安全需求的基礎(chǔ)上，給出了電子商務(wù)中所涉及到的主要技術(shù)，并針對(duì)我國(guó)的電子商務(wù)安全現(xiàn)狀，給出相應(yīng)的對(duì)策和建議。關(guān)鍵詞電子商務(wù)安全技術(shù)認(rèn)證技術(shù)加密技術(shù)數(shù)字簽名數(shù)字證書目錄TOC\o"1-3"\h\u摘要 I關(guān)鍵詞 I1. 引言 12. 電子商務(wù)安全威脅 13. 電子商務(wù)安全需求 34. 電子商務(wù)安全中的主要技術(shù) 44.1網(wǎng)絡(luò)安全技術(shù) 44.2加密技術(shù) 54.3數(shù)字簽名 64.4認(rèn)證機(jī)構(gòu)和數(shù)字證書 74.5身份認(rèn)證 85. 我國(guó)的電子商務(wù)安全現(xiàn)狀及對(duì)策 96. 結(jié)論 11謝辭 11參考文獻(xiàn) 12河南司法警官職業(yè)學(xué)院畢業(yè)論文電子商務(wù)安全技術(shù)與認(rèn)證技術(shù)PAGE11引言電子商務(wù)的發(fā)展給人們的工作和生活帶來(lái)了新的嘗試和便利性，但并沒(méi)有像人們想象的那樣普及和深入，除其他因素外，一個(gè)很重要的原因就是電子商務(wù)的安全性，它成為阻礙電子商務(wù)發(fā)展的瓶頸。美國(guó)密執(zhí)安大學(xué)一個(gè)調(diào)查機(jī)構(gòu)通過(guò)對(duì)23000名因特網(wǎng)用戶的調(diào)查顯示，超過(guò)60%的人由于擔(dān)心電子商務(wù)的安全問(wèn)題而不愿進(jìn)行網(wǎng)上購(gòu)物。任何個(gè)人、企業(yè)或商業(yè)機(jī)構(gòu)以及銀行都不會(huì)通過(guò)一個(gè)不安全的網(wǎng)絡(luò)進(jìn)行商務(wù)交易，這樣會(huì)導(dǎo)致商業(yè)機(jī)密信息或個(gè)人隱私的泄漏，從而導(dǎo)致巨大的利益損失。所以，研究和分析電子商務(wù)的安全性問(wèn)題，特別是針對(duì)我國(guó)自己的國(guó)情，充分借鑒國(guó)外的先進(jìn)技術(shù)和經(jīng)驗(yàn)，開發(fā)和研究出具有獨(dú)立知識(shí)產(chǎn)權(quán)的電子商務(wù)安全產(chǎn)品，這些都成為目前我國(guó)發(fā)展電子商務(wù)的關(guān)鍵。電子商務(wù)安全威脅隨著電子商務(wù)在全球范圍內(nèi)的迅猛發(fā)展，電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題日漸突出。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布的"中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（2000/1）"，在電子商務(wù)方面，52.26％的用戶最關(guān)心的是交易的安全可靠性。由此可見，電子商務(wù)中的網(wǎng)絡(luò)安全和交易安全問(wèn)題是實(shí)現(xiàn)電子商務(wù)的關(guān)鍵之所在?？蛻艨蛻羯碳抑Ц毒W(wǎng)關(guān)收單銀行發(fā)卡銀行CA認(rèn)證中心認(rèn)證認(rèn)證認(rèn)證6、批準(zhǔn)5、審核4、請(qǐng)求7、確認(rèn)3、審核8、確認(rèn)9、確認(rèn)1、磋商2、訂貨電子商務(wù)安全交易過(guò)程1983年10月24日美國(guó)著名的計(jì)算機(jī)安全專家、AT&T貝爾實(shí)驗(yàn)室的計(jì)算機(jī)科學(xué)家RoberMorris在美國(guó)眾議院科學(xué)技術(shù)會(huì)議運(yùn)輸、航空、材料專業(yè)委員會(huì)上作了關(guān)于計(jì)算機(jī)安全重要性的報(bào)告，從此計(jì)算機(jī)安全成了國(guó)際上研究的熱點(diǎn)。現(xiàn)在隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成了新的安全研究熱點(diǎn)。網(wǎng)絡(luò)安全就是如何保證網(wǎng)絡(luò)上存儲(chǔ)和傳輸?shù)男畔⒌陌踩浴５怯捎谠诨ヂ?lián)網(wǎng)絡(luò)設(shè)計(jì)之初，只考慮方便性、開放性，使得互聯(lián)網(wǎng)絡(luò)非常脆弱，極易受到黑客的攻擊或有組織的群體的入侵，也會(huì)由于系統(tǒng)內(nèi)部人員的不規(guī)范使用和惡意破壞，使得網(wǎng)絡(luò)信息系統(tǒng)遭到破壞，信息泄露。電子商務(wù)中的安全隱患可分為如下幾類：1）信息的截獲和竊取。如果沒(méi)有采用加密措施或加密強(qiáng)度不夠，攻擊者可能通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)、搭線、電磁波輻射范圍內(nèi)安裝截收裝置或在數(shù)據(jù)包通過(guò)的網(wǎng)關(guān)和路由器上屆截獲數(shù)據(jù)等方式，獲取輸?shù)臋C(jī)密信息，或通過(guò)對(duì)信息流量和流向、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如消費(fèi)者的銀行帳號(hào)、密碼以及企業(yè)的商業(yè)機(jī)密等。2）信息的篡改。當(dāng)攻擊者熟悉了網(wǎng)絡(luò)信息格式以后，通過(guò)各種技術(shù)方法和手段對(duì)網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行中途修改，并發(fā)往目的地，從而破壞信息的完整性。這種破壞手段主要有三個(gè)方面：篡改－改變信息流的次序，更改信息的內(nèi)容，如購(gòu)買商品的出貨地址；刪除－刪除某個(gè)消息或消息的某些部分；插入－在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。3）信息假冒。當(dāng)攻擊者掌握了網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密了商務(wù)信息以后，可以假冒合法用戶或發(fā)送假冒信息來(lái)欺騙其他用戶，主要有兩種方式。一是偽造電子郵件，虛開網(wǎng)站和商店，給用戶發(fā)電子郵件，收定貨單；偽造大量用戶，發(fā)電子郵件，窮盡商家資源，使合法用戶不能正常訪問(wèn)網(wǎng)絡(luò)資源，使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)；偽造用戶，發(fā)大量的電子郵件，竊取商家的商品信息和用戶信用等信息。另外一種為假冒他人身份，如冒充領(lǐng)導(dǎo)發(fā)布命令、調(diào)閱密件；冒充他人消費(fèi)、栽贓；冒充主機(jī)欺騙合法主機(jī)及合法用戶；冒充網(wǎng)絡(luò)控制程序，套取或修改使用權(quán)限、通行字、密鑰等信息；接管合法用戶，欺騙系統(tǒng)，占用合法用戶的資源。

4）交易抵賴。交易抵賴包括多個(gè)方面，如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某條信息或內(nèi)容；收信者事后否認(rèn)曾經(jīng)收到過(guò)某條消息或內(nèi)容；購(gòu)買者做了定貨單不承認(rèn)；商家賣出的商品因價(jià)格差而不承認(rèn)原有的交易。電子商務(wù)安全需求電子商務(wù)面臨的威脅的出現(xiàn)導(dǎo)致了對(duì)電子商務(wù)安全的需求，也是真正實(shí)現(xiàn)一個(gè)安全電子商務(wù)系統(tǒng)所要求做到的各個(gè)方面，主要包括機(jī)密性、完整性、認(rèn)證性、不可抵賴性和有效性。1)機(jī)密性。電子商務(wù)作為交易的一種手段，其信息直接代表著個(gè)人、企業(yè)或國(guó)家的商業(yè)機(jī)密。傳統(tǒng)的紙面貿(mào)易都是通過(guò)郵寄封裝的信件或通過(guò)可靠的通信渠道發(fā)送商業(yè)報(bào)文來(lái)達(dá)到保守機(jī)密的目的。電子商務(wù)是建立在一個(gè)較為開放的網(wǎng)絡(luò)環(huán)境上的（尤其Internet是更為開放的網(wǎng)絡(luò)），維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過(guò)程中被非法竊取。機(jī)密性一般通過(guò)密碼技術(shù)來(lái)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來(lái)實(shí)現(xiàn)。2）完整性。電子商務(wù)簡(jiǎn)化了貿(mào)易過(guò)程，減少了人為的干預(yù)，同時(shí)也帶來(lái)維護(hù)貿(mào)易各方商業(yè)信息的完整、統(tǒng)一的問(wèn)題。由于數(shù)據(jù)輸入時(shí)的意外差錯(cuò)或欺詐行為，可能導(dǎo)致貿(mào)易各方信息的差異。此外，數(shù)據(jù)傳輸過(guò)程中信息的丟失、信息重復(fù)或信息傳送的次序差異也會(huì)導(dǎo)致貿(mào)易各方信息的不同。貿(mào)易各方信息的完整性將影響到貿(mào)易各方的交易和經(jīng)營(yíng)策略，保持貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ)。因此，要預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過(guò)程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。完整性一般可通過(guò)提取信息消息摘要的方式來(lái)獲得。3）認(rèn)證性。由于網(wǎng)絡(luò)電子商務(wù)交易系統(tǒng)的特殊性，企業(yè)或個(gè)人的交易通常都是在虛擬的網(wǎng)絡(luò)環(huán)境中進(jìn)行，所以對(duì)個(gè)人或企業(yè)實(shí)體進(jìn)行身份性確認(rèn)成了電子商務(wù)中得很重要的一環(huán)。對(duì)人或?qū)嶓w的身份進(jìn)行鑒別，為身份的真實(shí)性提供保證，即交易雙方能夠在相互不見面的情況下確認(rèn)對(duì)方的身份。這意味著當(dāng)某人或?qū)嶓w聲稱具有某個(gè)特定的身份時(shí)，鑒別服務(wù)將提供一種方法來(lái)驗(yàn)證其聲明的正確性，一般都通過(guò)證書機(jī)構(gòu)CA和證書來(lái)實(shí)現(xiàn)。4）不可抵賴性。電子商務(wù)可能直接關(guān)系到貿(mào)易雙方的商業(yè)交易，如何確定要進(jìn)行交易的貿(mào)易方正是進(jìn)行交易所期望的貿(mào)易方這一問(wèn)題則是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。在傳統(tǒng)的紙面貿(mào)易中，貿(mào)易雙方通過(guò)在交易合同、契約或貿(mào)易單據(jù)等書面文件上手寫簽名或印章來(lái)鑒別貿(mào)易伙伴，確定合同、契約、單據(jù)的可靠性并預(yù)防抵賴行為的發(fā)生。這也就是人們常說(shuō)的"白紙黑字"。在無(wú)紙化的電子商務(wù)方式下，通過(guò)手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。因此，要在交易信息的傳輸過(guò)程中為參與交易的個(gè)人、企業(yè)或國(guó)家提供可靠的標(biāo)識(shí)。不可抵賴性可通過(guò)對(duì)發(fā)送的消息進(jìn)行數(shù)字簽名來(lái)獲取。5）有效性。電子商務(wù)以電子形式取代了紙張，那么如何保證這種電子形式的貿(mào)易信息的有效性則是開展電子商務(wù)的前提。電子商務(wù)作為貿(mào)易的一種形式，其信息的有效性將直接關(guān)系到個(gè)人、企業(yè)或國(guó)家的經(jīng)濟(jì)利益和聲譽(yù)。因此，要對(duì)網(wǎng)絡(luò)故障、操作錯(cuò)誤、應(yīng)用程序錯(cuò)誤、硬件故障、系統(tǒng)軟件錯(cuò)誤及計(jì)算機(jī)病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時(shí)刻、確定的地點(diǎn)是有效的。電子商務(wù)安全中的主要技術(shù)4.1網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全是電子商務(wù)安全的基礎(chǔ)，一個(gè)完整的電子商務(wù)系統(tǒng)應(yīng)建立在安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施之上。網(wǎng)絡(luò)安全所涉及到的方面比較，如操作系統(tǒng)安全、防火墻技術(shù)、虛擬專用網(wǎng)VPN技術(shù)和各種反黑客技術(shù)和漏洞檢測(cè)技術(shù)等。其中最重要的就是防火墻技術(shù)。防火墻是建立在通信技術(shù)和信息安全技術(shù)之上，它用于在網(wǎng)絡(luò)之間建立一個(gè)安全屏障，根據(jù)指定的策略對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾、分析和審計(jì)，并對(duì)各種攻擊提供有效的防范。主要用于Internet接入和專用網(wǎng)與公用網(wǎng)之間的安全連接。目前國(guó)內(nèi)使用的需到防火墻產(chǎn)品都是國(guó)外一些大廠商提供的，國(guó)內(nèi)在防火墻技術(shù)方面的研究和產(chǎn)品開發(fā)方面相對(duì)比較簿弱，起步也晚。由于國(guó)外對(duì)加密技術(shù)的限制和保護(hù)，國(guó)內(nèi)無(wú)法得到急需的安全而實(shí)用的網(wǎng)絡(luò)安全系統(tǒng)和數(shù)據(jù)加密軟件。因此即使國(guó)外優(yōu)秀的防火墻產(chǎn)品也不能完全在國(guó)內(nèi)市場(chǎng)上使用，同時(shí)由于政治、軍事、經(jīng)濟(jì)上的原因，我國(guó)也應(yīng)研制開發(fā)并采用自己的防火墻系統(tǒng)和數(shù)據(jù)加密軟件，以滿足用戶和市場(chǎng)的巨大需要，也對(duì)我國(guó)的信息安全基礎(chǔ)設(shè)施建設(shè)有巨大的作用。VPN也使一項(xiàng)保證網(wǎng)絡(luò)安全的技術(shù)之一，它是指在公共網(wǎng)絡(luò)中建立一個(gè)專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)建立好的虛擬安全通道在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，其各地的分支機(jī)構(gòu)就可以互相之間安全傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問(wèn)、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。4.2加密技術(shù)加密技術(shù)是保證電子商務(wù)安全的重要手段，許多密碼算法現(xiàn)已成為網(wǎng)絡(luò)安全和商務(wù)信息安全的基礎(chǔ)。密碼算法利用密秘密鑰（secretkeys）來(lái)對(duì)敏感信息進(jìn)行加密，然后把加密好的數(shù)據(jù)和密鑰（要通過(guò)安全方式）發(fā)送給接收者，接收者可利用同樣的算法和傳遞來(lái)的密鑰對(duì)數(shù)據(jù)進(jìn)行解密，從而獲取敏感信息并保證了網(wǎng)絡(luò)數(shù)據(jù)的機(jī)密性。利用另外一種稱為數(shù)字簽名（digitalsignature）的密碼技術(shù)可同時(shí)保證網(wǎng)絡(luò)數(shù)據(jù)的完整性和真實(shí)性。利用密碼技術(shù)可以達(dá)到對(duì)電子商務(wù)安全的需求，保證商務(wù)交易的機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性等。密碼技術(shù)雖然在第二次世界大戰(zhàn)期間才開始流行，在當(dāng)前才廣泛應(yīng)用于網(wǎng)絡(luò)安全和電子商務(wù)安全之中，但其起源可追溯到幾千年前，其思想目前還在使用，只是在處理過(guò)程中增加了數(shù)學(xué)上的復(fù)雜性。加密技術(shù)包括私鑰加密和公鑰加密。私鑰加密，又稱對(duì)稱密鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)，目前常用的私鑰加密算法包括DES和IDEA等。對(duì)稱加密技術(shù)的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。對(duì)稱加密技術(shù)要求通信雙方事先交換密鑰，當(dāng)系統(tǒng)用戶多時(shí)，例如，在網(wǎng)上購(gòu)物的環(huán)境中，商戶需要與成千上萬(wàn)的購(gòu)物者進(jìn)行交易，若采用簡(jiǎn)單的對(duì)陳密鑰加密技術(shù)，商戶需要管理成千上萬(wàn)的密鑰與不同的對(duì)象通信，除了存儲(chǔ)開銷以外，密鑰管理是一個(gè)幾乎不可能解決的問(wèn)題；另外，雙方如何交換密鑰？通過(guò)傳統(tǒng)手段？通過(guò)因特網(wǎng)？無(wú)論何者都會(huì)遇到密鑰傳送的安全性問(wèn)題。另外，環(huán)境中，密鑰通常會(huì)經(jīng)常更換，更為極端的是，每次傳送都使用不同的密鑰，對(duì)稱技術(shù)的密鑰管理和發(fā)布都是遠(yuǎn)遠(yuǎn)無(wú)法滿足使用要求的。公鑰密鑰加密，又稱不對(duì)稱密鑰加密系統(tǒng)，它需要使用一對(duì)密鑰來(lái)分別完整家密和解密操作，一個(gè)公開發(fā)布，稱為公開密鑰（Public-Key）；另一個(gè)由用戶自己秘密保存，稱為私有密鑰（Private-Key）。信息發(fā)送者人用公開密鑰去加密，而信息接收者則用私有密鑰去解密。通過(guò)數(shù)學(xué)的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即用公鑰加密的信息只能是用與該公鑰配對(duì)的私有密鑰才能解密。常用的算法是RSA、ElGamal等。公鑰機(jī)制靈活，但加密和解密速度卻比對(duì)稱密鑰加密慢的多。為了充分利用公鑰密碼和對(duì)稱密碼算法的優(yōu)點(diǎn)，克服其缺點(diǎn)，解決每次傳送更換密鑰的問(wèn)題，提出混合密碼系統(tǒng)，即所謂的電子信封（envelope）技術(shù)。發(fā)送者自動(dòng)生成對(duì)稱密鑰，用對(duì)稱密鑰加密鑰發(fā)送的信息，將生成的密文連同用接收方的公鑰加密后的對(duì)稱密鑰一起傳送出去。收信者用其秘密密鑰解密被加密的密鑰來(lái)得到對(duì)稱密鑰，并用它來(lái)解密密文。這樣保證每次傳送都可由發(fā)送方選定不同密鑰進(jìn)行，更好的保證了數(shù)據(jù)通信的安全性。使用混合密碼系統(tǒng)可同時(shí)提供機(jī)密性保障和存取控制。利用對(duì)稱加密算法加密大量輸入數(shù)據(jù)可提供機(jī)密性保障，然后利用公鑰加密對(duì)稱密鑰。如果想使多個(gè)接收者都能使用該信息，可以對(duì)每一個(gè)接收者利用其公鑰加密一份對(duì)稱密鑰即可，從而提供存取控制功能。4.3數(shù)字簽名數(shù)字簽名中很常用的就是散列（HASH）函數(shù)，也稱消息摘要(MessageDigest)、哈希函數(shù)或雜湊函數(shù)等，其輸入為一可變長(zhǎng)輸入，返回一固定長(zhǎng)度串，該串被稱為輸入的散列值。日常生活中，通常通過(guò)對(duì)某一文檔進(jìn)行簽名來(lái)保證文檔的真實(shí)有效性，可以對(duì)簽字方進(jìn)行約束，防止其抵賴行為，并把文檔與簽名同時(shí)發(fā)送以作為日后查證的依據(jù)。在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，從而為電子商務(wù)提供不可否認(rèn)服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。完整性保證傳輸?shù)臄?shù)據(jù)沒(méi)有被修改，而真實(shí)性則保證是由確定的合法者產(chǎn)生的HASH，而不是由其他人假冒。而把這兩種機(jī)制結(jié)合起來(lái)就可以產(chǎn)生所謂的數(shù)字簽名（DigitalSignature）。將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要（Mes-sageDigest）值。在數(shù)學(xué)上保證：只要改動(dòng)報(bào)文的任何一位，重新計(jì)算出的報(bào)文摘要就會(huì)與原先值不符。這樣就保證了報(bào)文的不可更改。然后把該報(bào)文的摘要值用發(fā)送者的私人密鑰加密，然后將該密文同原報(bào)文一起發(fā)送給接收者，所產(chǎn)生的報(bào)文即稱數(shù)字簽名。接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開密鑰進(jìn)行解密解開的報(bào)文摘要值相比較。如相等則說(shuō)明報(bào)文確實(shí)來(lái)自發(fā)送者，因?yàn)橹挥杏冒l(fā)送者的簽名私鑰加密的信息才能用發(fā)送者的公鑰解開，從而保證了數(shù)據(jù)的真實(shí)性。數(shù)字簽名相對(duì)于手寫簽名在安全性方面具有如下好處：數(shù)字簽名不僅與簽名者的私有密鑰有關(guān)，而且與報(bào)文的內(nèi)容有關(guān)，因此不能將簽名者對(duì)一份報(bào)文的簽名復(fù)制到另一份報(bào)文上，同時(shí)也能防止篡改報(bào)文的內(nèi)容。4.4認(rèn)證機(jī)構(gòu)和數(shù)字證書對(duì)數(shù)字簽名和公開密鑰加密技術(shù)來(lái)說(shuō)，都會(huì)面臨公開密鑰的分發(fā)問(wèn)題，即如果把一個(gè)用戶的公鑰以一種安全可靠的方式發(fā)送給需要的另一方。這就要求管理這些公鑰的系統(tǒng)必須是值得信賴的。在這樣的系統(tǒng)中，如果Alice想要給Bob發(fā)送一些加密數(shù)據(jù)，Alice需要知道Bob的公開密鑰；如果Bob想要檢驗(yàn)Alice發(fā)來(lái)的文檔的數(shù)字簽名，Bob需要知道Alice的公開密鑰。所以，必須有一項(xiàng)技術(shù)來(lái)解決公鑰與合法擁有者身份的綁定問(wèn)題。假設(shè)由一個(gè)人自稱某一個(gè)公鑰是自己的，必須有一定的措施和技術(shù)來(lái)對(duì)其進(jìn)行驗(yàn)證。數(shù)字證書是解決這一問(wèn)題的有效方法。它通常是一個(gè)簽名文檔，標(biāo)記特定對(duì)象的公開密鑰。電子證書由一個(gè)認(rèn)證中心（CA）簽發(fā)，認(rèn)證中心類似于現(xiàn)實(shí)生活中公證人的角色，它具有權(quán)威性，是一個(gè)普遍可信的第三方。當(dāng)通信雙方都信任同一個(gè)CA時(shí)，兩者就可以得到對(duì)方的公開密鑰從而能進(jìn)行秘密通信、簽名和檢驗(yàn)。用戶申請(qǐng)用戶申請(qǐng)業(yè)務(wù)受理注冊(cè)機(jī)構(gòu)RACA服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器LADP服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器LADP服務(wù)器證書用戶證書下載或查詢安全服務(wù)器安全服務(wù)器典型的CA中心證書機(jī)構(gòu)CA（CertificationAuthority）是一個(gè)可信的第三方實(shí)體，其主要職責(zé)是保證用戶的真實(shí)性。本質(zhì)上，CA的作用同政府機(jī)關(guān)的護(hù)照頒發(fā)機(jī)構(gòu)類似，用于證實(shí)公民是否是其所宣稱的那樣（正確身份），而信任這個(gè)國(guó)家政府機(jī)關(guān)護(hù)照頒發(fā)機(jī)構(gòu)的其他國(guó)家，則信任該公民，認(rèn)為其護(hù)照是可信的，這也是第三方信任的一個(gè)很好實(shí)例。同護(hù)照類似，網(wǎng)絡(luò)用戶的電子身份（electronicidentity）是由CA來(lái)發(fā)布的，也就是說(shuō)他是被CA所信任的，該電子身份就成為數(shù)字證書。因此，所有信任CA的其他用戶同樣也信任該用戶。護(hù)照頒發(fā)機(jī)構(gòu)和證書機(jī)構(gòu)CA都是由策略和物理元素構(gòu)成。在護(hù)照頒發(fā)機(jī)構(gòu)，有一套由政府確定的政策來(lái)判定那些人可信任為公民，以及護(hù)照的頒發(fā)過(guò)程。一個(gè)CA系統(tǒng)也可以看成由許多人組成的一個(gè)組織，它用于指定網(wǎng)絡(luò)安全策略，并決定組織中的那些人可以發(fā)給一個(gè)在網(wǎng)絡(luò)上使用的電子身份。CA1CA1CA2CA4CA3CA5CA6使用者B使用者ACA認(rèn)證中心的分級(jí)示意4.5身份認(rèn)證在真實(shí)世界，對(duì)用戶的身份認(rèn)證基本方法可以分為這三種：(1)根據(jù)你所知道的信息來(lái)證明你的身份(whatyouknow，你知道什么)；(2)根據(jù)你所擁有的東西來(lái)證明你的身份(whatyouhave，你有什么)；(3)直接根據(jù)獨(dú)一無(wú)二的身體特征來(lái)證明你的身份(whoyouare，你是誰(shuí))，比如指紋、面貌等。在網(wǎng)絡(luò)世界中手段與真實(shí)世界中一致，為了達(dá)到更高的身份認(rèn)證安全性，某些場(chǎng)景會(huì)將上面3種挑選2中混合使用，即所謂的雙因素認(rèn)證。以下羅列幾種常見的認(rèn)證形式：1）網(wǎng)絡(luò)身份認(rèn)證。VIEID是互聯(lián)網(wǎng)身份認(rèn)證的工具之一，也是未來(lái)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基本構(gòu)成之一。VIEID即是俗稱的網(wǎng)絡(luò)身份證，互聯(lián)網(wǎng)絡(luò)信息世界中標(biāo)識(shí)用戶身份的工具，用于在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份及表明我們的身份或某種資格。3）動(dòng)態(tài)口令牌身份認(rèn)證。動(dòng)態(tài)口令牌是客戶手持用來(lái)生成動(dòng)態(tài)密碼的終端，主流的是基于時(shí)間同步方式的，每60秒變換一次動(dòng)態(tài)口令，口令一次有效，它產(chǎn)生6位動(dòng)態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證由于它使用起來(lái)非常便捷，85%以上的世界500強(qiáng)企業(yè)運(yùn)用它保護(hù)登錄安全，廣泛應(yīng)用在VPN、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)等領(lǐng)域。動(dòng)態(tài)口令是應(yīng)用最廣的一種身份識(shí)別方式，一般是長(zhǎng)度為5~8的字符串，由數(shù)字、字母、特殊字符、控制字符等組成。用戶名和口令的方法幾十年來(lái)一直用于提供所屬權(quán)和準(zhǔn)安全的認(rèn)證來(lái)對(duì)服務(wù)器提供一定程度的保護(hù)。當(dāng)你每天訪問(wèn)自己的電子郵件服務(wù)器、服務(wù)器要采用用戶名與動(dòng)態(tài)口令對(duì)用戶進(jìn)行認(rèn)證的，一般還要提供動(dòng)態(tài)口令更改工具?，F(xiàn)在系統(tǒng)（尤其是互聯(lián)網(wǎng)上新興的系統(tǒng)）通常還提供用戶提醒工具以防忘記口令。\o"查看圖片"動(dòng)態(tài)口令牌3）智能卡身份認(rèn)證。一種內(nèi)置集成電路的芯片，芯片中存有與用戶身份相關(guān)的數(shù)據(jù)，智能卡由專門的廠商通過(guò)專門的設(shè)備生產(chǎn)，是不可復(fù)制的硬件。智能卡由合法用戶隨身攜帶，登錄時(shí)必須將智能卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。智能卡認(rèn)證是通過(guò)智能卡硬件不可復(fù)制來(lái)保證用戶身份不會(huì)被仿冒。然而由于每次從智能卡中讀取的數(shù)據(jù)是靜態(tài)的，通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息，因此還是存在安全隱患。它利用whatyouhave方法。我國(guó)的電子商務(wù)安全現(xiàn)狀及對(duì)策當(dāng)前電子商務(wù)所面臨的網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀。1999年7月刊發(fā)布的《1999年信息安全業(yè)調(diào)查》表明，和那些不從事在線商務(wù)的公司比起來(lái)，從事電子商務(wù)的公司網(wǎng)站遭遇黑客非法入侵的可能性要高出57％。而據(jù)國(guó)內(nèi)的統(tǒng)計(jì)資料顯示，過(guò)去一年中，約有64％的公司信息系統(tǒng)受到黑客的危害性攻擊，其中金融業(yè)占總數(shù)的57％。從2000年2月7日至2月9日，短短三天時(shí)間內(nèi)，美國(guó)幾大主要網(wǎng)上站點(diǎn)遭受不明黑客攻擊，其中包括著名的電子商務(wù)網(wǎng)站eBay和Amazon。在黑客開始所謂"拒絕服務(wù)"（DenialofService）式的攻擊后，亞馬遜（Amazon）站點(diǎn)容納顧客的能力急劇下降。數(shù)分鐘后訪客數(shù)量只有平時(shí)同一時(shí)段訪客數(shù)量的1.5％，大約一小時(shí)后亞馬遜網(wǎng)站才恢復(fù)正常。B的一臺(tái)服務(wù)器在兩三個(gè)小時(shí)內(nèi)速度減慢，而E－TRADE則癱瘓了3個(gè)小時(shí)。據(jù)統(tǒng)計(jì)，三天來(lái)黑客襲擊各大網(wǎng)站所造成的直接或間接的經(jīng)濟(jì)損失高達(dá)數(shù)十億美元以上。在國(guó)內(nèi)也有類似的黑客報(bào)道。98年8月２２日，江西省中國(guó)公用多媒體信息網(wǎng)（１６９臺(tái)）被電腦"黑客"攻擊，整個(gè)系統(tǒng)癱瘓。98年4月25日下午5時(shí)30分左右，一神秘的電腦"黑客"非法侵入中國(guó)公眾多媒體信息網(wǎng)（CHINANET）貴州站點(diǎn)的WWW主機(jī)，該"黑客"將"貴州省情"的WEB頁(yè)面改換成一幅不堪入目的淫穢畫面。98年6月16日，黑客入侵了上海某信息網(wǎng)的8臺(tái)服務(wù)器，破譯了網(wǎng)絡(luò)大部分工作人員的口令和500多個(gè)合法用戶的帳號(hào)和密碼，其中包括兩臺(tái)服務(wù)器上超級(jí)用戶的帳號(hào)和密碼。98年10月27日，剛剛開通的，由中國(guó)人權(quán)研究會(huì)與中國(guó)國(guó)際互連網(wǎng)新聞中心聯(lián)合創(chuàng)辦的"中國(guó)人權(quán)研究會(huì)"網(wǎng)頁(yè)，被"黑客"嚴(yán)重纂改。實(shí)際上我們所能了解到的只是黑客案例中很少的一部分，有相當(dāng)大的一部分沒(méi)有被報(bào)道。要么是所受到的攻擊沒(méi)有被發(fā)現(xiàn)，要么是由于各種原因沒(méi)有被公布。特別是最近幾年，由于網(wǎng)絡(luò)應(yīng)用的不斷增加和人們對(duì)網(wǎng)絡(luò)安全的忽視，黑客攻擊事件更是層出不窮，且由越演越烈之勢(shì)，其危害程度也越來(lái)越大。黑客攻擊是威脅網(wǎng)絡(luò)安全和電子商務(wù)安全的一個(gè)方面，而我國(guó)在電子商務(wù)安全方面的基礎(chǔ)設(shè)施和觀念意識(shí)也令人堪憂。目前，很多的電子商務(wù)網(wǎng)站（包括電子支付）的安全機(jī)制還依賴于瀏覽器和Web服務(wù)器提供的SSL安全協(xié)議。而由于出口限制，SSL協(xié)議所采用的安全算法密鑰長(zhǎng)度只有40位或56位，以目前的技術(shù)水平，破譯這種安全強(qiáng)度的信息只需幾分鐘或更少時(shí)間，而不知內(nèi)情的用戶還以為自己的敏感信息（如信用卡號(hào)）在整個(gè)交易中是絕對(duì)安全的。另外，國(guó)內(nèi)幾乎所有的計(jì)算機(jī)主機(jī)、網(wǎng)絡(luò)交換機(jī)、路由器和網(wǎng)絡(luò)操作系統(tǒng)都來(lái)自國(guó)外，這種系統(tǒng)有沒(méi)有留下后門或其他缺陷，用戶或國(guó)家的機(jī)密信息會(huì)不會(huì)被非法竊取，這些都要求我國(guó)下大力氣研究和發(fā)展獨(dú)立自主的網(wǎng)絡(luò)安全和電子商務(wù)安全產(chǎn)品。因此，從長(zhǎng)遠(yuǎn)來(lái)看，為保證我國(guó)電子商務(wù)的正常發(fā)展，對(duì)電子商務(wù)中的安全技術(shù)進(jìn)行研究，發(fā)展自主的電子商務(wù)安全技術(shù)是重中之中。我國(guó)信息安全研究經(jīng)歷了多