浅议电子商务中的信息安全问题(2)

　　数字签名(digital signature)

　　数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。概括的说，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。

　　数字时间戳(digital time-stamp)交易文件中，时间是十分重要的信息。在电子交易中， 需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp) 是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS 收到文件的日期和时间；DTS的数字签名。

　　数字证书(digital certificate,digital ID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别，就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的拥有者，认证中心审查用户提供的信息后， 如果确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道， 就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业（ 服务器） 凭证、软件（ 开发者） 凭证；大部分认证中心提供前两类凭证。

　　2.身份认证技术

　　为解决Internet 的安全问题，初步形成了一套完整的Internet 安全解决方案，即被广泛采用的公钥基础设施（ PKI） 体系结构。PKI 体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（ 如名称、e-mail、身份证号等） 捆绑在一起，在Internet 网上验证用户的身份，PKI 体系结构把公钥密码和对称密码结合起来，在Internet 网上实现密钥的自动管理， 保证网上数据的机密性、完整性。

　　1 ） 认证系统的基本原理

　　利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA 为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。

　　2 ） 认证系统结构

　　整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA 和Web Publisher。

　　核心系统跟CA 放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA 的功能是在收到来自RA 的证书请求时，颁发证书。

　　证书的登记机构Register Authority，简称RA，分散在各个网上银行的地区中心。RA 与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过建设银行企业内部网发送给CA 中心。

　　证书的公布系统Web Publisher，简称WP，置于Internet 网上，是普通用户和CA 直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA 颁发之后，CA 用E－mail 通知用户， 然后用户须用浏览器从这里下载证书。