電子商務(wù)安全之?dāng)?shù)字證書.doc

《電子商務(wù)安全之?dāng)?shù)字證書.doc》由會員分享，可在線閱讀，更多相關(guān)《電子商務(wù)安全之?dāng)?shù)字證書.doc（4頁珍藏版）》請在裝配圖網(wǎng)上搜索。

. 電子商務(wù)安全之——數(shù)字證書 關(guān)鍵詞：電子商務(wù)安全 數(shù)字證書 摘要 隨著Internet的普及，電子商務(wù)在日益的發(fā)展，電子商務(wù)為人民帶來了無限便利的同時，也帶來了無盡的商機。艾瑞咨詢最新數(shù)據(jù)顯示，2016Q3中國電子商務(wù)市場交易規(guī)模5.2萬億元，同比增長30.8%，環(huán)比增長12.9%。電子交易市場已經(jīng)成為了最重要的交易市場之一，它的興起帶來了無盡繁榮，也帶來了無數(shù)的挑戰(zhàn)——電子商務(wù)安全。因為這個交易方式的特殊性，我們必須保證交易雙方信息的機密性、有效性、完整性和不可否認(rèn)性。在這種情況下，為了保護電子商務(wù)交易信息的安全性，防范支付交易過程中出現(xiàn)欺詐行為，數(shù)字證書安全技術(shù)應(yīng)運而生。 1. 數(shù)字證書的概念和內(nèi)容 數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書還有一個重要的特征就是只在特定的時間段內(nèi)有效。 數(shù)字證書是一種權(quán)威性的電子文檔，可以由權(quán)威公正的第三方機構(gòu)，即CA（例如中國各地方的CA公司）中心簽發(fā)的證書，也可以由企業(yè)級CA系統(tǒng)進行簽發(fā)。 它以數(shù)字證書為核心的加密技術(shù)(加密傳輸、數(shù)字簽名、數(shù)字信封等安全技術(shù))可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數(shù)字證書，即使您發(fā)送的信息在網(wǎng)上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。 它是能提供在 Internet 上進行身份驗證的一種權(quán)威性電子文檔，人們可以在互聯(lián)網(wǎng)交往中用它來證明自己的身份和識別對方的身份。當(dāng)然在數(shù)字證書認(rèn)證的過程中證書認(rèn)證中心（CA）作為權(quán)威的，公正的，可信賴的第三方，其作用是至關(guān)重要的。如何判斷數(shù)字認(rèn)證中心公正第三方的地位是權(quán)威可信的？截至2014年3月11日，國家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向30多家相關(guān)機構(gòu)頒發(fā)了從業(yè)資質(zhì)。 由于 Internet 電子商務(wù)系統(tǒng)技術(shù)使得顧客在網(wǎng)上購物時能夠極其方便地獲得商家和企業(yè)的信息,但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風(fēng)險。為了保證互聯(lián)網(wǎng)上電子交易及支付的安全性，保密性等，防范交易及支付過程中的欺詐行為，必須在網(wǎng)上建立一種信任機制。這就要求參加電子商務(wù)的買方和賣方都必須擁有合法的身份，并且在網(wǎng)上能夠有效無誤的被進行驗證。 2. 數(shù)字證書的工作原理 數(shù)字安全證書利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計算上是不可能的。按現(xiàn)在的計算機技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密，安全地傳送以商戶，然后由商戶用自己的私有密鑰進行解密。 用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點： 　　(1) 保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)； 　　(2) 保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。 3.數(shù)字證書的重要性 電子商務(wù)系統(tǒng)、電子銀行以及其他的電子服務(wù)變得越來越普遍。而互聯(lián)網(wǎng)的開放性使得網(wǎng)絡(luò)信息的安全性不斷的出現(xiàn)問題。為了確保信息的安全性就必須依靠十分可靠的安全保密技術(shù)。密碼技術(shù)是傳統(tǒng)的驗證方法并被廣泛采用，另外還有一種新興的技術(shù)那就是生物統(tǒng)計技術(shù)，但是生物統(tǒng)計技術(shù)的費用十分之昂貴，由于其昂貴的費用而沒有被廣泛采用。與密碼相比，數(shù)字證書是有一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件其保障網(wǎng)絡(luò)應(yīng)用的安全性比密碼更高，而與生物統(tǒng)計技術(shù)相比兩者的驗證方式都是強驗證方式，但是數(shù)字證書認(rèn)證技術(shù)的費用比生物統(tǒng)計技術(shù)低，另外，除了PKI支持外不需要其他輔助設(shè)備。 4.數(shù)字證書的應(yīng)用領(lǐng)域 隨著Internet的普及、各種電子商務(wù)活動和電子政務(wù)活動的飛速發(fā)展，數(shù)字證書開始廣泛地應(yīng)用到各個領(lǐng)域之中，目前主要包括：發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上招標(biāo)投標(biāo)、網(wǎng)上簽約、網(wǎng)上訂購、安全網(wǎng)上公文傳送、網(wǎng)上繳費、網(wǎng)上繳稅、網(wǎng)上炒股、網(wǎng)上購物和網(wǎng)上報關(guān)等。 數(shù)字簽名（Digital Signature）技術(shù)是不對稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是，數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密處理，完成對數(shù)據(jù)的合法“簽名”，數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”，并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗，以確認(rèn)簽名的合法性。數(shù)字簽名技術(shù)是在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中確認(rèn)身份的重要技術(shù)，完全可以代替現(xiàn)實過程中的“親筆簽字”，在技術(shù)和法律上有保證。在公鑰與私鑰管理方面，數(shù)字簽名應(yīng)用與加密郵件PGP技術(shù)正好相反。在數(shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，但他的私鑰則需要嚴(yán)格保密。 4.1電子政務(wù) 現(xiàn)有的電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和系統(tǒng)安全解決方案大多是通過如防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò)隔離等技術(shù)和設(shè)備來保障系統(tǒng)的安全。這種方式雖然在一定程度上可以保證信息系統(tǒng)的安全，但不能全面滿足電子政務(wù)的安全需求，如信任與授權(quán)等，特別是在建設(shè)滿足互聯(lián)互通、信息共享的電子政務(wù)系統(tǒng)過程中，各種傳統(tǒng)的網(wǎng)絡(luò)安全防御手段，無法替代應(yīng)用層的身份認(rèn)證、數(shù)據(jù)機密性、完整性、不可否認(rèn)性等安全實現(xiàn)。 以江蘇為例，江蘇CA提出了一套實用的、易于實施的電子政務(wù)系統(tǒng)數(shù)字證書應(yīng)用解決方案，通過為業(yè)務(wù)交易的各方發(fā)放數(shù)字證書來對交易的各方進行身份標(biāo)識，并且在交易的過程中通過使用數(shù)字證書對交易的雙方進行身份驗證和簽名驗證，從而為信息在網(wǎng)絡(luò)傳輸過程中實現(xiàn)身份認(rèn)證、機密性、完整性、不可抵賴性提供堅實的技術(shù)保障，充分滿足電子政務(wù)的安全需求，有效地防止各種安全隱患，同時，促進了政府公共服務(wù)業(yè)務(wù)辦理的無紙化應(yīng)用，使企業(yè)和市民減少出行的同時依舊可享受電子政府的建設(shè)成果。 4.2 電子商務(wù) 支付寶是最常見的電子商務(wù)模式，其網(wǎng)絡(luò)安全應(yīng)用是數(shù)字證書安全應(yīng)用最好的例子。對于經(jīng)常網(wǎng)絡(luò)購物的人員都會有所了解，這是第三方建立的網(wǎng)絡(luò)支付平臺。這種擔(dān)保方式主要是將用戶進行網(wǎng)絡(luò)交易的資金先存放在支付寶平臺，在確認(rèn)用戶收到所購買物品之后再將資金撥付給商家。這種擔(dān)保交易的方式由于具有較高的安全性而使交易雙方在交易時會優(yōu)先選擇。支付寶保障賬戶資金的方式就是通過數(shù)字證書來實現(xiàn)的。用戶在申請并安裝數(shù)字證書后，其每一筆交易都要在數(shù)字證書的保障下才能進行，即使賬號密碼丟失，其賬戶也無法被動用。就算黑客監(jiān)控了客戶的網(wǎng)絡(luò)數(shù)據(jù)傳輸，他也無法破譯客戶的傳輸內(nèi)容，因為我們的每一筆交易都帶有數(shù)字證書的保護密碼。這樣能大大提高客戶賬戶的網(wǎng)絡(luò)交易安全性。 支付寶數(shù)字證書的下載和申請過程前邊也有介紹，知識在內(nèi)容上可能稍有不同，而且數(shù)字證書申請后只能在許可的電腦上才能使用，用戶的賬戶安全等級會大大提高。用戶在更換電腦或時需要通過基本信息中綁定的手機賬號驗證才可正常使用。這樣做，既保證了安全性又不失便捷性，可以說是數(shù)字證書應(yīng)用較成功的案例。 5.結(jié)束語 中國的電子商務(wù)交易市場年總額已經(jīng)高達20萬億，電子商務(wù)交易如此迅猛的發(fā)展，已經(jīng)成為人們生活中的一個重要部分，而安全問題更是成為重中之重，數(shù)字證書能夠全面地支持電子商務(wù)交易在經(jīng)濟生活中進行廣泛應(yīng)用，并起著重要作用，確保信息交易的安全性，從而極大地促進了電子商務(wù)的發(fā)展，具有不可替代性。 參考文獻： 《數(shù)字證書在電子商務(wù)中的重要作用》王雅娟 《數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用》中國論文網(wǎng) 《電子商務(wù)安全技術(shù)》第二版 精選word范本！