不可抵賴性

不可抵賴性，又稱不可否認性，英文為Non-repudiation。電子商務交易各方在交易完成時要保證的不可抵賴性，指在傳輸數據時必須攜帶含有自身特質、別人無法複製的信息，防止交易發生後對行為的否認。通常可通過對發送的消息進行數字簽名來實現信息的不可抵賴性。不可抵賴還可以理解為：不可牴觸，即有相同身份識別的特性與主體發生混淆。

現代科學技術特別是信息技術的發展，對人們的生產和生活產生了巨大的影響 .特別是internet的飛速發展 ,極大的促進了電子商務的普及 .實施電子商務可以最大限度的降低商業經營成本、提高企業應變能力和競爭實力 .所謂的電子商務 EB( Elect ro nic Business)是利用 Internet技術將企業、用户、供應商以及其它商業和貿易所需要的環節連接到現有的信息技術系統上 ,以前所未有的方式 ,將商業活動納入網上 ,徹底改變了現有的業務作業方式和手段 ,從而實現充分利用有限資源、縮短商業環節和週期、提高用户服務質量的目標 .電子商務的模式有以下幾種: 企業間的電子商務、企業對消費者的電子商務、企業對行政機構的電子商務、消費者對行政機構的電子商務、消費者對消費者的電子商務 .但是 ,在進行電子商務活動時 ,因為所有的商務活動是通過不安全的媒體 internet來進行的 ,所以我們必須防止不道德的和犯罪行為的發生 ,必須保證電子商務活動中的安全 .電子商務安全的一個非常重要的的方面是不可抵賴性。 ^[1] 

不可抵賴性是指電子商務中的參加者不能否定所發生的事件和行為 .不可抵賴性有兩個方面 ,一個方面是發送信息方的不可抵賴 (身份認證 ) ,也就是説 , A發了一個消息給 B,他就不能否認這個事實 ,另一個方面是信息的接收方的不可抵賴性 .例如某客户要購買企業 A的產品 ,給其發了電子郵件，企業 A收到了 ,但是卻説沒有收到.電子商務系統必須解決不可抵賴性的問題。 ^[1] 

不可抵賴性是指電子商務中的參加者不能否定所發生的事件和行為。不可抵賴性有兩個方面 ,一個方面是發送信息方的不可抵賴 (身份認證 ) ;另一個方面是信息的接收方的不可抵賴性。 ^[1] 

發送信息方的不可抵賴 (身份認證 )

發送信息方的不可抵賴 (身份認證 )發送信息方的不可抵賴 (身份認證 )可以用數字簽名技術來實現。

簽名機制的本質特徵是該簽名只有通過簽名者的私有信息才能產生 ,也就是説 ,一個簽名者的簽名只能唯一的由他自己產生.當收發雙方產生爭議時 ,第三方就能夠根據消息上的數字簽名來裁定這條信息是否確實由發送方發出 ,從而實現發送信息方的不可抵賴 (身份認證 ) . 數字簽名技術以加密技術為基礎 ,其核心是採用加密技術來實現對報文的數字簽名.數字簽名最重要的一個功能就是: 收方能夠證實發方的真實身份 ,即身份驗證;發方事後不能否認所發送過的報文 ,即不可否認 (抵賴 )性。 ^[1] 

在實際應用中 ,數字簽名是通過散列函數和公鑰加密算法實現的.數字簽名的過程如下: 對欲傳送的文件利用散列函數生成一個固定長度 ( 128位 )的散列值 (也稱為消息摘要 ) ,然後發送者用自己的私鑰對這個散列值加密即形成了發送者的數字簽名 ,最後 ,此數字簽名作為文件的附件和文件一起發送給報文的接收方。 ^[1] 

接收方驗證數字簽名的過程類似: 接收方首先從接收到的原始文件中 ,利用散列函數計算出此文件的散列值 ,接着他用可公開得到的發送方公鑰對作為文件附件的數字簽名解密 ,解密生成另一個散列值 .如果兩個散列值相同 ,那麼接收方就能確認該數字簽名是有效的 ,即此文件是該真正的發送方發送的 ,接收到的文件未被篡改 ,同樣發送者事後也不能對此簽名抵賴。 ^[1] 

信息的接收方的不可抵賴性

信息的接收方的不可抵賴性的實現是基於可信任的第三方的基礎之上的. 信息的接收方的不可抵賴性可以通過 FNP(FairNon -Repudiation Protocol) 或 CM P (Certified Electronic MailProtocol) 來實現. 這兩個協議能同時實現不可抵賴性的兩個方面。 也就是説，既可以實現發送方的身份認證，又能實現接收方的不可抵賴。 ^[2] 

不可抵賴性是企業對企業模式的電子商務（B2B）應用中相當重要的一個要求。 對不可抵賴性的需求因惡意發送方而引起。不可抵賴性保證了惡意發送方無法在事後抵賴其創建併發送特定消息的事實。這就意味着不可抵賴性保證了消息的發送方與消息的創建者為同一人。例如，假設甲企業創建併發送了一個購買訂單給乙企業。當乙企業處理了訂單並開出了匯票以後，甲企業應該無法抵賴發送購買訂單這一事實。為了滿足不可抵賴性的要求，會同時需要消息身份驗證和發送方身份驗證。（接收方身份驗證與不可抵賴性無關）。 ^[2] 

使用數字簽名的消息身份驗證還不能滿足不可抵賴性的條件。因為僅僅有數字簽名並無法保證發送方就是他們自己所聲稱的人，消息的傳輸很容易遭受惡意第三方諸如再現攻擊等技術的襲擊。 例如，假設甲企業將一個帶有數字簽名的購買訂單發送到乙企業。 另外，假設另有一個惡意的丙企業通過某種途徑獲取了一個訂單的副本。 如果丙企業將該訂單重複發送給乙企業，那麼乙企業就會將其當作另一個來自甲企業的訂單（來自丙企業的再現攻擊）。同樣，惡意的甲企業也可以抵賴第二份訂單，並聲稱這第二份訂單是惡意的丙企業再現攻擊的結果，儘管事實上它是甲企業發送的訂單。當然，用 MAC 進行的消息身份驗證對不可抵賴性來説沒有用，因為正如上文所提到的那樣，沒有人能確定該消息究竟是由發送方創建的還是由接收方創建的。與此類似的是，發送方身份驗證也無法滿足不可抵賴性的條件。由於無法保證消息在途中未被修改， 惡意的發送方可以聲稱接收方收到的消息在途中已被修改，儘管該消息是由惡意的發送方所創建的。 ^[2] 

總的來説，為了滿足不可抵賴性的要求，有必要在用數字簽名滿足消息身份驗證的要求的同時滿足發送方身份驗證的要求。 ^[2] 

首先，保證網絡本身的安全。 ^[2] 

其次，保證電子交易各個環節的不可抵賴性。 原則上，不可抵賴性主要由數字簽名和身份認證技術實現；SET 協議應用數字簽名技術能有效地解決網上購物交易信息的不可抵賴性等安全問題，建議電子商務系統使用。 但是多次簽名以及靈活的代理簽名技術也是實際中常遇到的問題。 近年來，數字簽名技術在電子商務安全應用中出現了諸多新的協議，如：改進的不可否認 SET協議、多方不可否認協議、代理盲簽名體制及其改進等研究結果， 這些都將有效地解決電子商務交易活動的不可抵賴性問題，但由於網絡在變化、交易要求的不斷變化、入侵和破壞的手段也在變化，技術還需要不斷改進，相關的法律法規還需不斷健全。 ^[2]