标题栏


提高商务信息流安全性的几种方法

 

作者:柳维长 

    企业在电子商务活动中,除了企业与个人之间的活动之外,极大部分的业务是在企业与团体之间进行的。这些商务活动包含三种基本的流,即信息流、资金流与
物流。电子商务的基本特色是信息流与资金流在Internet上流动。
    在电子商务中,除了资金以外的各种涉及商务活动的网上信息交换,统统称为信息流。它们包括询价单、报价单、订货单、发货单、付款通知、技术支持、售后
服务,以及发票、合同、招标书、投标书等等信息的交换。在Internet上,这些
信息都是以电子文件的形式来交换的,它们可以是文字、表格、图像、声音或影
像。
    在网上进行商务活动的商家(双方或几方),可能远隔千里,互不相识,因此在信息流动中首先要解决的问题是收件人必须验证收到的文件来自发件人所声称的
人,并且能确认文件内容是完整的,在网上传输过程中未被篡改。另外,应保护
商务信息的机密性,防止信息流被窃所造成的损失。Internet是一个开放的、几
乎是没有安全措施的商务活动环境,这些问题不解决,正常的电子商务活动就无
法进行。
    在电子商务中,发件人的身份与文件完整性的验证,目前都采用数字签字的技术来完成。从法律的意义来讲,签字是一种用来证明身份、证实书面材料有效性的
符号或图形,它可以是指纹、图章或手写签字。电子签字由一组杂乱的字符组成,它是针对某一文件利用特定的密码技术产生的,与传统的签字不同之处在于,
同一个人对于不同的文件,有不同的数字签字。以下是一个数字签字的实例:
……BEGIN SIGNATURE
irb1aWubmrsIa5gycUmFGnyJAQFAKgh/ZkBf
beNEsbthba4BrcnjagbckgNlta5K4537y8Rcd
+RDr56yYh5ttieufl;lk4kjljojljkjljlkj
67NSjliujoj6AAcjawuJLKdkliVkm+
gymC2hRbh+Rb2h5WI+wmVBrn+=
GPTX
……END SIGNATURE
将这个数字签字附在被签署文件的后面,就可作为该文件的“电子印署”。收件
人收到这份附有“电子印鉴”的文件后,根据特定的算法,可以从文件与数字签
字判定发件人的身份是否正确以及文件内容是否曾被篡改。1998年9月4日美国总
统克林顿与爱尔兰总理伯蒂·埃亨在爱尔兰首都都柏林会面,在世界上首次使用
数字签字,签署了一份旨在倡导发展电子商务的联合公报。目前有些国家与地区
在法律上已承认数字签字与传统签字具有同样的有效性。
    数字签字是由数字签字软件在计算机上自动完成的。这类软件可以从软件商店中买到,目前国际上的价格大约是100美元左右。数字签字软件为签字者提供一对互相关联的密钥,一个叫私人密钥,另一个叫公共密钥。私人密钥由签字者保管,
公共密钥则可公布于众,让可能与签字者通信的人都知道。这两个密钥都可用来
加密与解密,但由私人密钥加密的文件只有这一密钥对中的公共密钥才能解密;
同样,由公共密钥加密的文件只有这一密钥对中的私人密钥才能解密,其它任何
密钥均不能对加密文件解密。在数字签字技术中,密钥对中的私人密钥由发件人
来产生数字签字,公共密钥由收件人用来解密,以进一步对发件人与文件进行验
证。
    有了数字签字软件,签字者可以通过十分简便的操作来完成对文件的数字签署。签字者起动数字签字软件,按提示指定要签署的文件名,送入签字命令,软件就自动生成被签署文件的数字签字。
    实际上,数字签字软件在产生数字签字时是分为两个步骤来完成的。第一步是数字签字软件根据特定的算法(哈希函数)将被签文件转换成一个比原0, 10, 320, 27" HREF="../columns.htm">标题栏

多的杂散码,这个杂散码对该文件是唯一的,当被签文件的任何地方被更改时,
相应的杂散码也随之改变。从这意义上讲,电子文件的杂散码与通信领域中广泛
应用的检错码可谓异曲同工。第二步是由签字者个人所独有的私人密钥将得到的
杂散码进行加密,形成前面那样的数字签字。
    收件人在收到附有数字签字的电子文件后,由相应的软件来完成检验。检验分三个步骤进行。第一步与数字签字软件一样,对接收到的电子文件用同样的算法产
生一个杂散码。第二步是用签字者的公共密钥将接收到的数字签字解密,还原成
杂散码。第三步是将这两个杂散码进行比较。如果两者符合,说明文件是完整的;否则,文件在传送过程中就曾被修改或发生错误。根据以上曾提到的密钥对的
加密与解密的相依特性,收件人只要能用签字者的公共密钥对其数字签字进行解
密,就可证实该文件来自真实的签字者。
    为了证实密钥拥有者的确切身份,采用数字签字技术的用户在获得密钥对以后,通常需要到有权威性的认证机构去登记,由它发给证书,证明这一对私人密钥与公共密钥属于该用户,并由该机构在网上发布该用户的公共密钥。证书实际上也
是一个放在计算机中的记录,由认证机构用数字签字签署。为了安全起见,证书
通常每年修改一次。换句话说,数字签字技术使用者的密钥对通常每年变更一次。
    电子商务中的信息流在Internet上流通过程中另一个重要的问题是确保它的保密性。Internet不象其它专用的商务网络,它缺乏有效的方法来防止信息在流动中
被窃。因此,加强信息保密性的唯一办法是采用密码技术,将原来的电子文件加
密,变成一组看来是毫无意义的符号,即使信息被窃,没有正确的解码技术窃取
者也无法从中获得任何信息。
    加密是一项古老的技术,早在Internet诞生以前在通信中已广泛应用。传统的加密技术都基于单钥加密法,每对用户都要拥有同样的一个密钥,用来加密与解密,才能完成加密信息的流动。这种加密技术只适用于点对点的信息流动,在Inte
rnet用户之间广泛采用这种技术,显然是行不通的。
    随着电子商务的发展,目前Internet上的商务活动广泛采用公共密钥技术来对信息流进行加密与解密。在加密与解密过程中,采用了上述一对相关联的私人密钥
与公共密钥。与数字签字技术相反,在信息流动中,发件人用收件人的公用密钥
来加密要发送的文件;收件人用自己的私人密钥对收到的加密文件进行解密,恢
复到原来的文件。这一对密钥,对用户来说好象是两把用来开启信箱的钥匙,一
把用来发信,一把用来收信。
    将以上提到的数字签字与公共密钥技术相结合,可使电子商务中的信息流保持很高安全性与保密性。目前,电子商务中采用的一些实现安全电子交易的协议标准,例如由IBM、微软等与VISA、Mastercard合作完成的安全电子交易SET,都基于
这两种技术。
    概括说,要在Internet上实现可靠、安全、保密的商务信息流动,当前最好的方法是用公共密钥技术对信息流进行加密与解密,并且在文件后面附以数字签字。
从以上对数字签字与公共密钥技术的介绍可以了解到,要推广这些技术,参与电
子商务的各方都要密切配合。有些活动,例如认证、立法等,还需要获得政府部
门的支持。我国广大中小型企业的电子商务目前还处于初级阶段,要在大范围内
使用这些技术来实现安全的信息流动,还需要一段时间。然而,这并缠一步开展电子商务,不仅在思想意识上缩短了距离,而且在技术
上也打下了一定的基础。

(作者为本刊主编)

 

 

BACK