認證是判明和確認交易雙方真實身份的重要環節,是開展電子商務的重要條件。只有確保雙方身份的真實性,數據的完整性、可靠性及交易的不可抵賴性,才能確保電子商務安全有序地進行。
1、數字簽名
數字簽名是公開密鑰加密技術的一種應用,是指用發送方的私有密鑰加密報文摘要,然后將網站建設與原始的信息附加在一起。
其使用方式是:報文的發送方從報文文本中生成一個128位或360位的單向散列值(或報文摘要),并用自己的私有密鑰對這個散列值進行加密,形成發送方的數字簽名;然后,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算汽128位的散列值(或報文摘要),接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密,如果這兩個散列值相同,那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別與驗證,保證報文的完整性、權威性和發送者對所發報文的不可抵賴性。
2、數字證書
“數字證書”作為網上交易雙方真實身份證明的依據,是一個經證書授權中心(CA)數字簽名的、包含證書申請者(公開密鑰擁有者)個人信息及其公開密鑰的文件。基于公開密鑰體制(PKI)的數字證書是電子商務安全體系的核心,用途是利用公共密鑰加密系統來保護與驗證公眾的密鑰,由可信任的、公正的權威機構CA頒發。CA對申請者所提供的信息進行驗證,然后通過向電子商務各參與方簽發數字證書,來確認各方的身份,保證網上支付的安全性。
一個用戶有兩把密鑰:一把是用戶的專用密鑰,另一把是其他用戶都可利用的公共密鑰。用戶可用常規密鑰(如DES)為信息加密,然后再用接收吝的公共密鑰對DES進行加密并將之附于信息之L,這樣接收者可用對應的專用密鑰打開DES密鎖,并對信息解密。
3、密鑰管理機制
密鑰管理是電子商務安全業務中共同存在的問題,為解決在Internet上開展電子商務的安全問題,世界各國在經過多年研究后,初步形成了一套完整的解決方案,即目前被網站維護中廣泛應用的公鑰基礎結構。
證書管理機構是大型用戶群體(如政府機關或金碰機構)所信賴的第三方,負責證書的頒發和管理。在證書申請被審批部門批準后,CA通過登記服務器將證書發放給申請者。