|
电子商务的安全保障 作者: 北京捷德智能卡系统有限公司
信息技术的飞速发展,使传统的商务模式正经受着巨大的变革考验。企业信息资源的网络化以及电子商务各类应用的集成与整合,都充分显示了未来的商务模式将向着低成本、全球化、供应链重组等方向发展。继1999年电子商务的合法化取得重要进展之后,2000年全球电子商务应用软件的交易额亦增至50亿美元,如此规模的发展速度,除基于传统业务开发的各类电子商务平台的应用以外,还归功于网络技术应用与发展的安全保障,如公共密钥体系(PKI) 技术,我国目前电子商务的发展也采用了此种技术。 何为PKI? PKI(公开密钥体系)一词被解释成为是一种框架体系,通过它,因特网上的用户可实现安全信息数据的交换,满足商务对保密性,完整性,真实性及不可否认性的安全需求,其构成主要包括硬件,软件,人员,指导原则及方法。它的好处在于:第一,网上交易双方可通过值得信赖的第三方机构完成交易,由于金融机构的特殊身份常使其充当第三方认证机构的角色,因此可将交易双方的风险降至最低;其次,PKI的应用发展已从区域型逐步发展到全球性,如著名的Identrus 组织建立了一套支持全球数字证书发放的体系,包括不同证书机构之间合作的程序以及对争议、索赔等问题的处理等,使具有法律约束力的电子商务得以在全球范围内展开。 那么,PKI 是如何实际进行操作的呢?公钥加密(或非对称)算法的好处在于,通过使用密钥对,即一个私钥和一个公钥,可以解决对称算法无法解决的不可否认性的问题。这两个密钥彼此之间有着数学联系。通过公开密钥进行加密的信息保证了只有特定的收件人才能读取,而此收件人只有通过使用相应的私有密钥才能完成对此信息的解密,信息的私密性则可通过PKI的特定程序来实行保护。除用于加密之外,密钥对还可用来生成及识别数字签名。数字签名一方面确保了文件只能够被送到特定的收件人(即真实性和有效性),另一方面,排除了文件在网上传送途中被任意篡改的可能(即完整性)。数字签名是由输入相应的PIN启动的,并由存储在如智能卡上的私钥自动计算生成。这包括一系列计算过程,首先计算邮件文字的哈什值,再通过私钥对哈什值进行加密,之后被加密的哈什值即数字签名与原文一起发出,通过发送人的公开密钥,特定的收件人就可以对数字签名进行解密了。邮件原文的哈什值在收件人的PC机中同样也要进行运算,然后与解密后的进行对比,如果完全匹配,收件人则可以完全信赖信息的完整性和真实性。发件人的公开密钥是通过网络从认证中心-PKI的核心部分取得。 智能卡在PKI体系中的应用及发展 微型芯片及加密技术的迅速发展使数字签名卡-即支持RSA算法/嵌有微处理器芯片的智能卡在这一领域的作用日趋明显-通过它,人们甚至在家即可轻松进行全天候的各类在线交易,如电子商务、网上银行、电子政务、电子保险及安全访问等。 顾名思义,数字签名卡和PKI 技术之间的关系在于私有密钥的存储和第三方认证机构所颁发的数字证书的存储可以在极为安全的智能卡上实现。数字签名卡不仅可在卡内计算生成数字签名,而且可以实现证书下载,密钥更新,证书的恢复及撤消,多证书管理等功能,并同时支持公开密钥功能(非对称密钥RSA算法)和对称密钥(DES/3DES算法)。虽然现在有很多人都把私有密钥和数字证书存储在计算机的硬盘当中,但出于安全的考虑,将私有密钥和数字证书存储在智能卡上则会更好。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥,伪装成为合法用户的身份在网络上进行诈骗和非法交易,而且可以降低用于建设网络安全环境的投资成本。另外,从易用性的角度来讲,使用智能卡也便于携带,这样人们可以在办公室、在家里和路上随时使用。 2000年,中国人民银行牵头,由13家商业银行共同出资成立了中国最具权威的CA机构---中国金融认证中心(CFCA)。CFCA的建成成为中国PKI技术发展的推动力,大量的商业银行和银联组织,以及其他金融机构将在CFCA的PKI基础框架下实施电子商务和网络金融业务。目前,几乎所有的商业银行都已经或多或少的推出了自己的网上银行业务,虽然很多这样的应用多处于初级阶段(没有真正实现网上交易和转账的功能),但很多人相信在线交易的功能会在今后1到2年内普及,并且会有大量的用户使用。由此可见,智能卡的应用潜力在电子商务领域还未真正得到发掘。 中国工商银行是较早启用基于智能卡的网上银行的银行之一,目前发卡量(卡内含证书)已经突破万张,捷德公司为中国工商银行提供了基于PKI技术的STARCOS SPK 2.3 数字证书卡,这种卡片具有欧洲ITSEC E4的高级安全认证,同时通过了CFCA的测试。 目前,加密技术甚至已可以通过移动电话来进行数字签名的传送,因此形成了移动商务开展的基础,后者据STATEGY ANALYTICS最新预测,在五年之内,市场容量将达到2500亿欧元。捷德公司与Vodafone, Smarttrust公司合作推出了世界上第一个移动数字签名项目,这标致着通过手机SIM卡进行数字签名的PKI向移动通信领域的步入。与此同时,捷德公司为"梦网项目"提供的智能卡具有先进的PKI技术,在卡内可以生成1,024Bit的RSA密钥,32K的EEPROM空间用于存储CFCA颁发的用户证书以及存储用户密钥和应用服务系统,充分保障了移动商务的安全性和有效性。目前,已经有多家移动公司、银行和服务供应商参与移动商务的建设,包括使用手机进行银行账户的查询和转账、使用手机进行股票交易、利用手机进行数字签名确认身份等,因此智能卡在这一领域也有望得到更广泛的应用。 很多政府职能部门也开始使用PKI技术在简化和优化他们的工作。如,利用智能卡进行电子报关等工作的"电子口岸"项目已在国内有计划地进行实施,极大地方便了企业、提高了海关及其它联合部委的管理效率。据分析在未来的几年内,越来越多的PKI技术会在中国电子商务和电子政务领域得到应用。 在网络安全方面对于智能卡的需求也在增加,据专家预测智能卡的应用将从今年的500万增长到2004年的1.55亿。依据对2,500家最大的跨国公司中的50家进行调查发现,98%的公司还在使用密码进行身份认证,在两年内会有56%的公司准备使用数字证书来实现身份认证。从电子商务的角度来看,参与网上交易的双方需要他们在网上的交易信息不会被偷看和篡改,双方的身份需要认证,而且,交易双方不能否认各自的交易信息。而PKI恰恰能够满足这种功能。到目前为止,至少已经有20多个国家通过法律认可电子签名,其中包括欧盟和美国。 在所有的智能卡应用当中,随着安全意识的提高和用户流动性的增强,越来越多的人将会接受智能卡作为数字证书和密钥对的载体,而且这种想法会变成主流意识。最终,智能卡会成为PKI体系结构中的标准组成部分。但是,我们对数字签名卡的用途及形式的设想决不仅限于此,技术的发展已产生了移动数字签名,通过它利用手机即可完成移动商务,如用手机支付商品的货款等。此外,一种使用USB技术、可直接插入电脑USB端口的类似钥匙的产品已经问世,它可以省去用户使用读卡器的麻烦,因此更加有利于市场的推广;而带有增强生物识别功能,支付功能的多功能卡片也同样有着更加广阔的市场前景,无论是在金融、电信,还是政府等其它领域。 |