不可抵賴性

不可抵賴性

不可抵賴性包括對自己行為的不可抵賴及對行為發生的時間的不可抵賴。通過進行身份認證和數字簽名可以避免對交易行為的抵賴,通過數字時間戳可以避免對行為發生的抵賴。

理解

不可抵賴性,又稱不可否認性,英文為Non-repudiation。電子商務交易各方在交易完成時要保證的不可抵賴性,指在傳輸數據時必須攜帶含有自身特質、別人無法複製的信息,防止交易發生後對行為的否認。通常可通過對傳送的訊息進行數字簽名來實現信息的不可抵賴性。不可抵賴還可以理解為:不可牴觸,即有相同身份識別的特性與主體發生混淆。

背景

現代科學技術特別是信息技術的發展,對人們的生產和生活產生了巨大的影響 .特別是internet的飛速發展 ,極大的促進了電子商務的普及 .實施電子商務可以最大限度的降低商業經營成本、提高企業應變能力和競爭實力 .所謂的電子商務 EB( Elect ro nic Business)是利用 Internet技術將企業、用戶、供應商以及其它商業和貿易所需要的環節連線到現有的信息技術系統上 ,以前所未有的方式 ,將商業活動納入網上 ,徹底改變了現有的業務作業方式和手段 ,從而實現充分利用有限資源、縮短商業環節和周期、提高用戶服務質量的目標 .電子商務的模式有以下幾種: 企業間的電子商務、企業對消費者的電子商務、企業對行政機構的電子商務、消費者對行政機構的電子商務、消費者對消費者的電子商務 .但是 ,在進行電子商務活動時 ,因為所有的商務活動是通過不安全的媒體 internet來進行的 ,所以我們必須防止不道德的和犯罪行為的發生 ,必須保證電子商務活動中的安全 .電子商務安全的一個非常重要的的方面是不可抵賴性。

不可抵賴性是指電子商務中的參加者不能否定所發生的事件和行為 .不可抵賴性有兩個方面 ,一個方面是傳送信息方的不可抵賴 (身份認證 ) ,也就是說 , A發了一個訊息給 B,他就不能否認這個事實 ,另一個方面是信息的接收方的不可抵賴性 .例如某客戶要購買企業 A的產品 ,給其發了電子郵件,企業 A收到了 ,但是卻說沒有收到.電子商務系統必須解決不可抵賴性的問題。

種類

不可抵賴性是指電子商務中的參加者不能否定所發生的事件和行為。不可抵賴性有兩個方面 ,一個方面是傳送信息方的不可抵賴 (身份認證 ) ;另一個方面是信息的接收方的不可抵賴性。

傳送信息方的不可抵賴 (身份認證 )

傳送信息方的不可抵賴 (身份認證 )傳送信息方的不可抵賴 (身份認證 )可以用數字簽名技術來實現。

簽名機制的本質特徵是該簽名只有通過簽名者的私有信息才能產生 ,也就是說 ,一個簽名者的簽名只能唯一的由他自己產生.當收發雙方產生爭議時 ,第三方就能夠根據訊息上的數字簽名來裁定這條信息是否確實由傳送方發出 ,從而實現傳送信息方的不可抵賴 (身份認證 ) . 數字簽名技術以加密技術為基礎 ,其核心是採用加密技術來實現對報文的數字簽名.數字簽名最重要的一個功能就是: 收方能夠證實發方的真實身份 ,即身份驗證;發方事後不能否認所傳送過的報文 ,即不可否認 (抵賴 )性。

在實際套用中 ,數字簽名是通過散列函式和公鑰加密算法實現的.數字簽名的過程如下: 對欲傳送的檔案利用散列函式生成一個固定長度 ( 128位 )的散列值 (也稱為訊息摘要 ) ,然後傳送者用自己的私鑰對這個散列值加密即形成了傳送者的數字簽名 ,最後 ,此數字簽名作為檔案的附屬檔案和檔案一起傳送給報文的接收方。

接收方驗證數字簽名的過程類似: 接收方首先從接收到的原始檔案中 ,利用散列函式計算出此檔案的散列值 ,接著他用可公開得到的傳送方公鑰對作為檔案附屬檔案的數字簽名解密 ,解密生成另一個散列值 .如果兩個散列值相同 ,那么接收方就能確認該數字簽名是有效的 ,即此檔案是該真正的傳送方傳送的 ,接收到的檔案未被篡改 ,同樣傳送者事後也不能對此簽名抵賴。

信息的接收方的不可抵賴性

信息的接收方的不可抵賴性的實現是基於可信任的第三方的基礎之上的. 信息的接收方的不可抵賴性可以通過 FNP(FairNon -Repudiation Protocol) 或 CM P (Certified Electronic MailProtocol) 來實現. 這兩個協定能同時實現不可抵賴性的兩個方面。 也就是說,既可以實現傳送方的身份認證,又能實現接收方的不可抵賴。

實際套用

不可抵賴性是企業對企業模式的電子商務(B2B)套用中相當重要的一個要求。 對不可抵賴性的需求因惡意傳送方而引起。不可抵賴性保證了惡意傳送方無法在事後抵賴其創建並傳送特定訊息的事實。這就意味著不可抵賴性保證了訊息的傳送方與訊息的創建者為同一人。例如,假設甲企業創建並傳送了一個購買訂單給乙企業。當乙企業處理了訂單並開出了匯票以後,甲企業應該無法抵賴傳送購買訂單這一事實。為了滿足不可抵賴性的要求,會同時需要訊息身份驗證和傳送方身份驗證。(接收方身份驗證與不可抵賴性無關)。

使用數字簽名的訊息身份驗證還不能滿足不可抵賴性的條件。因為僅僅有數字簽名並無法保證傳送方就是他們自己所聲稱的人,訊息的傳輸很容易遭受惡意第三方諸如再現攻擊等技術的襲擊。 例如,假設甲企業將一個帶有數字簽名的購買訂單傳送到乙企業。 另外,假設另有一個惡意的丙企業通過某種途徑獲取了一個訂單的副本。 如果丙企業將該訂單重複傳送給乙企業,那么乙企業就會將其當作另一個來自甲企業的訂單(來自丙企業的再現攻擊)。同樣,惡意的甲企業也可以抵賴第二份訂單,並聲稱這第二份訂單是惡意的丙企業再現攻擊的結果,儘管事實上它是甲企業傳送的訂單。當然,用 MAC 進行的訊息身份驗證對不可抵賴性來說沒有用,因為正如上文所提到的那樣,沒有人能確定該訊息究竟是由傳送方創建的還是由接收方創建的。與此類似的是,傳送方身份驗證也無法滿足不可抵賴性的條件。由於無法保證訊息在途中未被修改, 惡意的傳送方可以聲稱接收方收到的訊息在途中已被修改,儘管該訊息是由惡意的傳送方所創建的。

總的來說,為了滿足不可抵賴性的要求,有必要在用數字簽名滿足訊息身份驗證的要求的同時滿足傳送方身份驗證的要求。

提高對策

首先,保證網路本身的安全。

其次,保證電子交易各個環節的不可抵賴性。 原則上,不可抵賴性主要由數字簽名和身份認證技術實現;SET 協定套用數字簽名技術能有效地解決網上購物交易信息的不可抵賴性等安全問題,建議電子商務系統使用。 但是多次簽名以及靈活的代理簽名技術也是實際中常遇到的問題。 近年來,數字簽名技術在電子商務安全套用中出現了諸多新的協定,如:改進的不可否認 SET協定、多方不可否認協定、代理盲簽名體制及其改進等研究結果, 這些都將有效地解決電子商務交易活動的不可抵賴性問題,但由於網路在變化、交易要求的不斷變化、入侵和破壞的手段也在變化,技術還需要不斷改進,相關的法律法規還需不斷健全。

相關詞條

相關搜尋

熱門詞條

聯絡我們