在电子商务中，参与的各方往往素未谋面，所以信息认证是电子商务安全很重要的一部分，依靠信息认证技术可以解决不可否认性、完整性等问题。

1.数字签名

在国际标准中数字签名被定义为：“附加在数据单元上的一些数据，或是对数据单元所做的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（如接收者）进行伪造。”数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它能确保商务交易过程中信息的完整性、真实性和不可否认性。

数字签名的全过程分为签名与验证两个阶段，如图3-22所示。

图3-22　数字签名的全过程

（1）签名阶段。

发送方将原文通过Hash算法生成数字摘要，再对生成的数字摘要用其签名的私钥对其进行非对称加密得到数字签名，发送方将原文与数字签名一起发送给接收方。

（2）验证阶段。

接收方验证签名，即发送方用公钥解密数字签名，得出数字摘要；接收方将原文采用同样的Hash算法又得到一个新的数字摘要，将两个数字摘要进行比较，相同则签名得到验证，否则无效。

2.数字证书

数字证书是一个经证书授权中心数字签名，包含证书申请者（公钥拥有者）个人信息及其公钥的文件。数字证书提供了一种在互联网上进行身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与日常生活中的身份证、驾驶证相似。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行有关的交易操作。通俗地讲，数字证书就是个人或单位在互联网上的身份证，在互联网上解决“我是谁”的问题。

一个标准的数字证书主要包含以下内容：

（1）证书的版本信息。

（2）证书的序列号：序列号是一个整数值，在发行的证书颁发机构中是唯一的。

（3）证书所使用的签名算法：算法识别符识别证书颁发机构用来签署证书的算法。证书颁发机构使用它的私钥对每个证书进行签名。

（4）证书的发行机构名称（命名规则一般采用X.500格式）及其用私钥的签名。

（5）证书的有效期：提供证书有效的起止日期。

（6）证书使用者的名称。

（7）证书使用者的公钥信息：为证书识别的主体提供公钥和算法识别符。

数字证书如图3-23所示。

3.CA认证中心

CA （Certification Authority）是认证机构的国际通称，它是一个权威的、可信赖的、公正的第三方机构，专门提供数字证书服务。CA认证中心的目的是加强数字证书和密钥的管理，提高电子商务交易各方的信任度，控制交易风险，提高交易的安全性。CFCA是中国金融认证中心，如图3-24所示。

CA认证中心的功能包括证书的申请与审批、证书的发放、证书的归档、证书的作废、证书的更新、密钥管理等。

（1）证书的申请和审批：包括接受验证最终用户数字证书的申请，确定是否接受最终用户数字证书的申请。该过程需验证用户的身份信息是否可信，并且实时在线接受用户申请。

（2）证书的发放：中心接受、验证用户的数字证书的申请，并将申请的内容进行备案，根据申请的内容确定是否受理该数字证书的申请。

图3-23　数字证书

图3-24　中国金融认证中心

（3）证书的归档：证书具有一定的有效期，证书过了有效期之后就将被作废，但是不能将作废的证书简单丢弃，因为有时可能需要验证以前的某个交易过程中产生的数字签名，这时就需要查询作废的证书。基于此类考虑，认证中心还应当具备管理作废证书和作废私钥的功能。

（4）证书的作废：由于一些原因，如私钥泄露、证书包含的相关信息改变以及使用的终止等，证书必须被作废。证书的作废是通过维护CRL（证书废止列表）来实现的。

（5）证书的更新：证书更新指在不改变证书中订户的公钥或其他任何信息的情况下，为订户签发一张新证书。

（6）密钥管理：自身密钥的产生、存储、备份、恢复、归档和销毁，为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务；确定客户密钥生存周期，实施密钥吊销和更新管理；提供密钥生成和分发服务；提供密钥托管和密钥恢复服务；其他密钥生成和管理、密码运算功能。

知识拓展

数字证书的类型

个人数字证书，主要用于标识数字证书自然所有人的身份，包含了个人的身份信息及其公钥，如用户姓名、身份类型、证件号码等，可用于个人在网上进行合同签订、订单录入审核、操作权限、支付信息等活动。

机构数字证书，用于机构在电子政务和电子商务方面的对外活动，如合同签订等方面。证书中包含机构信息和机构的公钥以及机构的签名私钥，用于标识证书持有机构的真实身份。此证书相当于现实世界中机构的公章，具有唯一性，即每个机构只有一个。

设备数字证书，用于在网络应用中标识网络设备的身份，主要包含了设备的相关信息及其公钥，如域名、网址等，可用于VPN服务器、Web服务器等各种网络设备在网络通信中标识和验证设备身份。

代码签名数字证书，签发给软件提供者的数字证书，包含了软件提供者的身份信息及其公钥，主要用于证明软件发布者所发行的软件代码来源于一个真实的软件发布者，可以有效防止软件代码被篡改。

4.公钥基础设施

公钥基础设施（PKI）是支持公钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。随着电子商务安全技术的发展，PKI成为一种新的安全技术和安全规范。PKI是由证书申请者、注册机构（RA）、认证中心、证书库（CR）和证书信任方等共同组成的。

（1）证书申请者：证书的持有者，证书的目的是把用户身份与其密钥绑定在一起，在进行网上交易时，证书的作用是验证身份、生成和校验数字签名、交换加密数据等。

（2）注册机构（RA）：RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作。同时，对发放的证书完成相应的管理功能。RA系统是整个CA中心正常运行不可缺少的一部分。RA的具体功能有验证申请人身份、批准证书、证书撤销请求等。

（3）认证中心（CA）：电子商务体系中的核心环节是电子交易中信赖的基础。

（4）证书库（CR）：证书库存放了经CA签发的证书和已撤销证书的列表，网上交易的用户可以验证其证书的真伪或查询证书的状态。证书库的具体功能有存储证书、提供证书、确认证书状态等。

（5）证书信任方：PKI为证书信任方提供了检查证书申请者身份以及与证书申请者进行安全数据交换的功能。在电子商务应用中，用户通常扮演证书申请者和证书信任方的双重角色。证书信任方的具体功能有：接收证书、证书请求、核实证书、检查身份和数字签名、数据加密等。

认证中心、注册机构和证书库三部分是PKI的核心，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。

5.电子支付协议(www.daowen.com)

在电子商务安全交易过程中，电子支付安全在其中占据着重要的地位。目前已经出现了很多电子支付协议，其中最常用的是安全套接层协议和安全电子交易协议。

（1）安全套接层协议。

安全套接层协议（SSL）是由Netscape公司提出的安全交易协议，用以保障在互联网上数据传输的安全，利用数据加密（Encryption）技术，可确保数据在网络传输过程中不会被截取及窃听。

SSL标准的工作流程主要包括以下几步：①SSL客户机向SSL服务器发出连接建立请求，SSL服务器响应SSL客户机的请求；②SSL客户机与SSL服务器交换双方认可的密码，一般采用的加密算法是RSA算法；③检验SSL服务器得到的密码是否正确，并验证SSL客户机的可信程度；④SSL客户机与SSL服务器交换结束的信息，如图3-25所示。

（2）安全电子交易协议。

安全电子交易协议（Secure Electtonic Transcatioin，SET）是由美国VISA和Mastercard两大信用卡组织提出的以信用卡为基础的电子付款系统规范，是目前已经标准化且被业界广泛接受的一种国际网络信用卡付款机制。其实质是一种以信用卡为基础的、在互联网上交易的付款协议书，是授权业务信息传输安全的标准。

图3-25　SSL工作过程

SET协议为电子商务交易提供了许多安全保证措施，它能保证客户交易信息的保密性和完整性，确保商家和客户交易行为的不可否认性和合法性。

SET协议的工作流程如图3-26所示。

图3-26　SET协议的工作流程

①支付初始化请求和响应阶段。当客户决定购买商家的商品并使用电子钱包付款时，商家服务器会发送要求付款的信息到客户的电子钱包，电子钱包则要求客户输入口令，然后与商家服务器交换“握手”信息，使客户和商家相互确认，即客户确认商家被授权，可以接受信用卡，同时商家也确认客户是一个合法的持卡人。

②支付请求阶段。客户发送一个报文，包括订单和支付命令。订单和支付命令中必须有客户的数字签名，同时利用双重签名技术保证商家看不到客户的账号信息。只有位于商家开户行的被称为支付网关的另外一个服务器可以处理支付命令中的信息。

③授权请求阶段。商家收到订单后，将含有客户支付指令的信息发送给支付网关。支付网关是一个互联网服务器，是连接互联网和银行内部网络的接口。授权请求报文到达收单银行后，收单银行再到发卡银行确认。

④授权响应阶段。收单银行得到发卡银行的批准后，通过支付网关发给商家授权响应报文。

⑤支付响应阶段。商家发送购买响应报文给客户。

⑥结束。将款项从客户账号转到商家账号，然后向客户送货，交易结束。

知识回顾

（1）网上支付的概念：客户、商家、网上银行之间使用安全电子手段，把新型支付工具如电子现金、银行卡、电子支票的支付信息通过网络安全地传送到银行或相应的处理机构，从而完成支付的整个过程。

（2）网上支付系统的构成：互联网、客户、商家、客户开户行、商家开户行、支付网关、银行网络、认证中心。

（3）第三方支付的概念：买卖双方在交易过程中的资金“中间平台”，是一些和产品所在国家以及国内外各大银行签约，并具备一定实力和信誉保障的第三方独立机构提供的交易支持平台。

（4）移动支付的概念：移动支付也称手机支付，就是允许用户使用其移动终端（通常是手机）对所消费的商品或服务进行账务支付的一种服务方式。

（5）移动支付的类型：远程支付、近场支付。

（6）网上银行的概念：又称网络银行、在线银行，是指银行利用互联网技术，通过互联网向客户提供开户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。

（7）网上银行的特点：虚拟化、智能化，运营成本低，创新性，个性化。

（8）网上银行的服务：公共信息服务、个人网上银行、企业网上银行、银行电商商城。

课后练习

1.简单介绍网上支付方式。

2.什么是移动支付？

3.从网上搜集更多关于信息加密技术的资料，课上汇报。

拓展阅读

中国电子支付产业发展趋势

电子支付是指用户通过电子终端，直接或间接向银行业金融机构发出支付指令，实现货币支付与资金转移的行为。根据电子支付使用终端的不同，可分为互联网支付、电话支付、手机支付、数字电视支付、POS机刷卡支付等。

我国电子支付产业的发展经历了以下三个阶段。

第一阶段：网银时代。2003年以前，中国的电子支付发展较为缓慢，主要参与方为各大银行机构，支付方式以网上银行为主，发展速度较为缓慢。

第二阶段：第三方支付机构崛起的时代。2003年后，以支付宝为代表的第三方支付机构涉足支付业务，电子支付市场开始快速发展。

第三阶段：全面移动支付时代。2010年，随着移动智能终端的普及，各大银行开始推出手机银行APP；同时，以支付宝、微信支付为代表的互联网巨头纷纷发力移动支付市场，依靠其强大的线上生态场景优势抢占市场份额。2016年，我国电子支付交易规模接近2500万亿元人民币，在国家金融体系中占据了举足轻重的地位。

当前我国电子支付的发展呈现以下四大趋势。

趋势一：第三方支付业务迅猛发展，而银行的电子支付业务增长开始趋缓。

2016年，我国以支付宝和财付通为代表的互联网第三方支付机构累计发生网络支付业务1639.02亿笔，金额99.27万亿元，同比分别增长 99.53% 和100.65%。与此相对应的是，银行间电子交易笔数比2015年仅增长3.61%，交易金额比2015年反倒降低0.7%。由于以阿里巴巴和腾讯为代表的互联网巨头既是互联网交易入口的垄断者，又是互联网基础设施的提供者，因此，在未来相当长的一段时间内其在电子支付领域的优势都将保持，第三方支付业务快速增长的势头将持续。

趋势二：支付行业监管体系不断完善，监管持续收紧。

随着电子支付行业的快速发展，我国的监管体系也在不断完善。2015年支付行业综合监管、分层监管的主旋律基本定调，非银行支付机构监管制度框架不断完善，多层次、全领域的支付清算行业自律制度体系基本形成。2016年，中国人民银行不但明确了一段时期内原则上不再批设新支付机构，更对违规支付机构严惩不贷。2017年，互联网金融整治持续、备付金管理集中存管通知、网联上线都意味监管将持续趋严，同时，监管部门对支付机构、银行的违规处罚仍然未放松，支付行业将进一步规范经营。

趋势三：电子支付各参与方对支付场景的争夺呈现白热化。

2016年支付宝公布用户4.5亿，微信支付用户超过3亿。支付宝和微信支付占据第三方支付市场90%的市场份额。支付宝、微信支付拥有庞大的客户资源和销售渠道，借助其强大的生态系统，不断强化客户黏性，移动支付用户对支付宝、微信支付的依赖逐渐呈现刚性化特征。为了扭转在竞争中的不利形势，金融机构方面，支付清算行业的传统巨头银联拥有完善成熟的资金清算系统，是支付清算体系的“中央军”，在竞争中得到政府部门有意识的保护。监管部门明确规定任何第三方支付机构不得绕开清算机构与银行合作，从而保证银联在支付业务中必能分得一杯羹。另外，多家银行业巨头与苹果、三星等手机巨头达成合作，NFC技术可能重获生机，从而实现金融机构在电子支付领域对支付宝、微信支付的反击。

在双方的争夺中，支付场景成为制胜关键。对用户来说，无论是移动支付还是NFC支付，不同支付机构提供的支付方式在便捷性、安全性上并无显著差异，因此支付场景成为制胜关键。随着移动支付应用场景在线上与线下的不断延伸，各方对应用场景的争夺必将呈现白热化。

趋势四：区块链技术在电子支付中的应用将大有可为。

在跨境支付场景中，目前在全球范围内仍缺乏一个低成本、高效率的解决方案，不同国家之间还存在政治、监管等因素的差异，这些因素对电子支付规模的进一步扩大形成制约。而区块链技术去中心化、去信任化的模式是非常有潜力的电子支付终极解决方案，未来必将大有可为。当然，区块链技术本身除了是一种技术手段外，也是一种社会治理手段，区块链的核心思想与我国社会管制的基本理念和金融行业的监管思路是存在矛盾的，未来其在我国电子支付领域的发展也必将一波三折。

展望未来，随着万物互联和人工智能的深度应用，电子货币必将在全社会范围内替代传统货币，电子支付领域必将面临更大的变局，让我们拭目以待。