8.3.5　數(shù)字證書技術

1.什么是數(shù)字證書？

數(shù)字證書就是網絡通信中標志通訊各方身份信息的一系列數(shù)據，其作用類似于現(xiàn)實生活中的身份證。它是由一個權威機構發(fā)行的，人們可以在交往中用它來識別對方的身份。

最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間、發(fā)證機關（證書授權中心）的名稱、該證書的序列號等信息，證書的格式遵循ITUT X.509國際標準。

2.為什么要使用數(shù)字證書？

由于Internet網電子商務系統(tǒng)技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時也增加了對某些敏感或有價值的數(shù)據被濫用的風險。買方和賣方都必須保證在因特網上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對的信心，因而因特網電子商務系統(tǒng)必須保證具有十分可靠的安全保密技術，也就是說，必須保證網絡安全的四大要素，即信息傳輸?shù)谋Ｃ苄?、?shù)據交換的完整性、發(fā)送信息的不可否認性、交易者身份的確定性。

●信息的保密性

交易中的商務信息均有保密的要求，如信用卡的賬號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

●交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認對方的身份，商家要考慮客戶端是不是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發(fā)生拒付款問題以及確認訂貨和訂貨收據信息等。

●不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。

●不可修改性

可以使用數(shù)字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其他人竊?。恍畔⒃趥鬏斶^程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認接收方的身份；發(fā)送方對于自己的信息不能抵賴。

3.數(shù)字簽名技術

對文件進行加密只解決了傳送信息的保密問題，而防止他人對傳輸?shù)奈募M行破壞，以及如何確定發(fā)信人的身份還需要采取其他的手段，這一手段就是數(shù)字簽名。在電子商務安全保密系統(tǒng)中，數(shù)字簽名技術有著特別重要的地位，在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中，都要用到數(shù)字簽名技術。在電子商務中，完善的數(shù)字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?/p>

實現(xiàn)數(shù)字簽名有很多方法，目前數(shù)字簽名采用較多的是公鑰加密技術，如基于RSA Date Security公司的PKCS（Public Key Cryptography Standards）、Digital Signature Algorithm、x.509、PGP（Pretty Good Privacy）。1994年美國標準與技術協(xié)會公布了數(shù)字簽名標準而使公鑰加密技術廣泛應用。公鑰加密系統(tǒng)采用的是非對稱加密算法。

目前的數(shù)字簽名是建立在公共密鑰體制基礎上，它是公用密鑰加密技術的另一類應用。它的主要方式是，報文的發(fā)送方從報文文本中生成一個128位的散列值（或報文摘要）。發(fā)送方用自己的私人密鑰對這個散列值進行加密來形成發(fā)送方的數(shù)字簽名。然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠實現(xiàn)對原始報文的鑒別。

在書面文件上簽名是確認文件的一種手段，其作用有兩點：第一，因為自己的簽名難以否認，從而確認了文件已簽署這一事實；第二，因為簽名不易仿冒，從而確定了文件是真的這一事實。

數(shù)字簽名與書面文件簽名有相同之處，采用數(shù)字簽名，也能確認以下兩點：第一，信息是由簽名者發(fā)送的；第二，信息自簽發(fā)后到收到為止未曾作過任何修改。這樣數(shù)字簽名就可用來防止電子信息因易被修改而有人作偽，或冒用別人名義發(fā)送信息，或發(fā)出（收到）信件后又加以否認等情況發(fā)生。