发送信息方的不可抵赖 (身份认证 )发送信息方的不可抵赖 (身份认证 )可以用数字签名技术来实现。

签名机制的本质特征是该签名只有通过签名者的私有信息才能产生 ,也就是说 ,一个签名者的签名只能唯一的由他自己产生.当收发双方产生争议时 ,第三方就能够根据消息上的数字签名来裁定这条信息是否确实由发送方发出 ,从而实现发送信息方的不可抵赖 (身份认证 ) . 数字签名技术以加密技术为基础 ,其核心是采用加密技术来实现对报文的数字签名.数字签名最重要的一个功能就是: 收方能够证实发方的真实身份 ,即身份验证;发方事后不能否认所发送过的报文 ,即不可否认 (抵赖 )性。

在实际应用中 ,数字签名是通过散列函数和公钥加密算法实现的.数字签名的过程如下: 对欲传送的文件利用散列函数生成一个固定长度 ( 128位 )的散列值 (也称为消息摘要 ) ,然后发送者用自己的私钥对这个散列值加密即形成了发送者的数字签名 ,最后 ,此数字签名作为文件的附件和文件一起发送给报文的接收方。

接收方验证数字签名的过程类似: 接收方首先从接收到的原始文件中 ,利用散列函数计算出此文件的散列值 ,接着他用可公开得到的发送方公钥对作为文件附件的数字签名解密 ,解密生成另一个散列值 .如果两个散列值相同 ,那么接收方就能确认该数字签名是有效的 ,即此文件是该真正的发送方发送的 ,接收到的文件未被篡改 ,同样发送者事后也不能对此签名抵赖。

信息的接收方的不可抵赖性

信息的接收方的不可抵赖性的实现是基于可信任的第三方的基础之上的. 信息的接收方的不可抵赖性可以通过 FNP(FairNon -Repudiation Protocol) 或 CM P (Certified Electronic MailProtocol) 来实现. 这两个协议能同时实现不可抵赖性的两个方面。 也就是说，既可以实现发送方的身份认证，又能实现接收方的不可抵赖。

不可抵赖性是企业对企业模式的电子商务（B2B）应用中相当重要的一个要求。 对不可抵赖性的需求因恶意发送方而引起。不可抵赖性保证了恶意发送方无法在事后抵赖其创建并发送特定消息的事实。这就意味着不可抵赖性保证了消息的发送方与消息的创建者为同一人。例如，假设甲企业创建并发送了一个购买订单给乙企业。当乙企业处理了订单并开出了汇票以后，甲企业应该无法抵赖发送购买订单这一事实。为了满足不可抵赖性的要求，会同时需要消息身份验证和发送方身份验证。（接收方身份验证与不可抵赖性无关）。

使用数字签名的消息身份验证还不能满足不可抵赖性的条件。因为仅仅有数字签名并无法保证发送方就是他们自己所声称的人，消息的传输很容易遭受恶意第三方诸如再现攻击等技术的袭击。 例如，假设甲企业将一个带有数字签名的购买订单发送到乙企业。 另外，假设另有一个恶意的丙企业通过某种途径获取了一个订单的副本。 如果丙企业将该订单重复发送给乙企业，那么乙企业就会将其当作另一个来自甲企业的订单（来自丙企业的再现攻击）。同样，恶意的甲企业也可以抵赖第二份订单，并声称这第二份订单是恶意的丙企业再现攻击的结果，尽管事实上它是甲企业发送的订单。当然，用 MAC 进行的消息身份验证对不可抵赖性来说没有用，因为正如上文所提到的那样，没有人能确定该消息究竟是由发送方创建的还是由接收方创建的。与此类似的是，发送方身份验证也无法满足不可抵赖性的条件。由于无法保证消息在途中未被修改， 恶意的发送方可以声称接收方收到的消息在途中已被修改，尽管该消息是由恶意的发送方所创建的。

总的来说，为了满足不可抵赖性的要求，有必要在用数字签名满足消息身份验证的要求的同时满足发送方身份验证的要求。

首先，保证网络本身的安全。

其次，保证电子交易各个环节的不可抵赖性。 原则上，不可抵赖性主要由数字签名和身份认证技术实现；SET 协议应用数字签名技术能有效地解决网上购物交易信息的不可抵赖性等安全问题，建议电子商务系统使用。 但是多次签名以及灵活的代理签名技术也是实际中常遇到的问题。 近年来，数字签名技术在电子商务安全应用中出现了诸多新的协议，如：改进的不可否认 SET协议、多方不可否认协议、代理盲签名体制及其改进等研究结果， 这些都将有效地解决电子商务交易活动的不可抵赖性问题，但由于网络在变化、交易要求的不断变化、入侵和破坏的手段也在变化，技术还需要不断改进，相关的法律法规还需不断健全。