常用的安全电子交易手段.docxVIP

常用的安全电子交易手段一、电子商务的安全控制要求概述　　电子商务发展的核心和关键问题是交易的安全性。由于Internet本身的开放性，使网上交易面临了种种危险，也由此提出了相应的安全控制要求。　　（1）信息保密性　　交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款和信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。　　（2）交易者身份的确定性　　网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。　　（3）不可否认性　　由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认收到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。　　（4）不可修改性　　交易的文件是不可被修改的，如上例所举的订购黄金。供货单位在收到订单后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益，那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。二、常用的安全电子交易手段在近年来发表的多个安全电子交易协议或标准中，均采纳了一些常用的安全电子交易的方法和手段。典型的方法和手段有以下几种：　　（1）密码技术　　采用密码技术对信息加密，是最常用的安全交易手段。在电子商务中获得广泛应用的加密技术有以下两种：　　公共密钥和私用密钥（public key and private key ）　　这一加密方法亦称为RSA 编码法，是由Rivest， Shamir和 Adlernan 三人所研究发明的。它利用两个很大的质数相乘所产生的乘积来加密。这两个质数无论哪一个先与原文件编码相乘，对文件加密，均可由另一个质数再相乘来解密。但要用一个质数来求出另一个质数，则是十分困难的。因此将这一对质数称为密钥对 (Key Pair)。在加密应用时，某个用户总是将一个密钥公开，让需发信的人员将信息用其公共密钥加密后发给该用户，而一旦信息加密后，只有该用户一个人知道的私用密钥才能解密。具有数字证书身份的人员的公共密钥可在网上查到，亦可在请对方发信息时罚动将公共密钥传给对方，这样保证在Internet 上转输信息的保密和安全。　　数字摘要(digital digest)　　这一加密方法亦称安全Hash编码法（SHA: Secure Hash Algorithm）或MD5 (MD Standards for Message Digest )，由 Ron Rivest 所设计。该编码法采用单向Hash函数将需加密的明文摘要成一串128bit的密文，这一串密文亦称为数字指纹 (Finger Print) ，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是真身的指纹了。　　上述两种方法可结合起来使用，数字签名就是上述两法结合使用的实例。　　（2）数字签名(digital signature)　　在书面文件上签名是确认文件的一种手段，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：　　·信息是由签名者发送的。　　·信息自签名后到收到为止未曾作过任何修改。　　这样数字签名就可用来防止电子信息因易被修改而有人作伪；或冒用别人名义发送信息；或发出（收到）信件后又加以否认等情况发生。　　数字签名并非用手书签名类型的图型标志，它采用了双重加密的方法来实现防伪、防赖。其原理为：　　①　被发送文件用SHA编码加密产生128BIT的数字摘要。　　②　发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。　　③　将原文和加密的摘要同时传给对方。　　④　对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。　　⑤　将解密后的摘要和收到的文件在接收方重新加密产生的摘要互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。　　（3）数字时间戳（digital time-stamp）　　交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。　　在电子交易中，同样需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务（DTS：digital time-stamp se