摘 要:本文通过介绍数字签名的概念、功能、工作过程、优势,探讨了数字签名在电子商务中的运用,在分析了数字签名存在的问题并给出对策后,提出了数字签名的发展前景。
关键词:数字签名;电子商务
引言:
互联网的飞速发展促使了信息技术的迅猛发展,增加了信息交换量,改变了传统的事物处理方式,电子商务应运而生。电子商务是一种新型的商务交易形式,它以其特有的优势,得到了越来越广泛的应用。然而,在电子商务中一个最重要的问题就是确保交易安全,如何防止他人对传输的文件进行破坏,以及如何确定发信人的身份需要采取一定的技术手段,这一手段就是数字签名。在电子商务安全保密系统中,数字签名有着特别重要的地位。
一、数字签名的概念
对于Internet的开放式环境,无法保证通信过程中媒质的安全,所以只能在信息本身的安全上作出努力。数字签名技术应运而生,并且得到了巨大发展。数字签名是指使用密码算法对要传输的数据进行加密处理,生成一段信息,附着在原文上一起发送,这段信息类似现实中的签名或印章,接收方对其进行验证,判断原文真伪,其目的是提供数据的完整性保护和抗否认功能。
数字签名有许多特点:
首先,数字签名中的签名同信息是分开的,需要一种方法将签名与信息联系在一起,而在传统的手写签名中,签名与所签署之信息是一个整体。
其次,在签名验证的方法上,数字签名利用一种公开的方法对签名进行验证,任何人都可以对之进行检验。而传统的手写签名的验证,是由经验丰富的接收者,通过同预留的签名样本相比较而作出判断的。
最后,在数字签名中,有效签名的复制同样是有效的签名,而在传统的手写签名中,签名的复制是无效的。
数字签名可以用来验证文档的真实性和完整性,数字签名使用强大的加密技术和公钥基础结构,以更好地保证文档的真实性、完整性和受认可性。该流程非常安全,一些政府已经立法赋予数字签名法律效力。
二、数字签名的功能
数字签名具有两个作用:确认数据的来源,保证数据在发送的过程中未作任何修改或变动。数字签名能够保证:发送者事后不能抵赖对报文的签名。由此,信息的接收者可以通过数字签名,使第三方确信签名人的身份及发出信息的事实。当双方就信息发出与否及其内容出现争论时,数字签名就可成为一个有力的证据。因此数字签名的应用范围十分广泛,在保障电子数据交换的安全性上是一个突破性的进展,凡是需要对用户的身份进行判断的情况都可以使用数字签名,比如加密信件、商务信函、定货购买系统、远程金融交易、自动模式处理等等。
三、数字签名的工作过程
1、用户生成或取得独一无二的加密密码组。
2、发件人在计算机上准备一个信息(如以电子邮件的形式)。
3、发件人用安全的哈希函数功能准备好“信息摘要”。数字签名由一个哈希函数结果值生成。该函数值由被签署的信息和一个给定的私人密码生成,并对其而言是独一无二的。为了确保哈希函数值的安全性,应该使通过任意信息和私人密码的组合而产生同样的数字签名的可能性为零。
4、发件人通过使用私人密码将信息摘要加密。私人密码通过使用一种数学算法被应用在信息摘要文本中。数字签名包含被加密的信息摘要。
5、发件人将数字签名附在信息之后。
6、发件人将数字签名和信息(加密或未加密)发送给电子收件人。
7、收件人使用发件人的公共密码确认发件人的电子签名。使用发件人的公共密码进行的认证证明信息排他性地来自于发件人。
8、收件人使用同样安全的哈希函数功能创建信息的“信息摘要”。
9、收件人比较两个信息摘要。假如两者相同,则收件人可以确信信息在签发后并未作任何改变。信息被签发后哪怕是有一个字节的改变,收件人创建的数据摘要与发件人创建的数据摘要都会有所不同。
10、收件人从证明机构处获得认证证书(或者是通过信息发件人获得),这一证书用以确认发件人发出信息上的数字签名的真实性。证明机构在数字签名系统中是一个典型的受委托管理证明业务的第三方。该证书包含发件人的公共密码和姓名(以及其他可能的附加信息),由证明机构在其上进行数字签名。
四、数字签名的优势
1、传统的签名和印章都能伪造,鉴定程序复杂。而数字签名防伪能力强,只要有相应的程序,可以访问网络就可以鉴别。
2、传统签名具有物理性质,既浪费资源,又不便于携带,传输速度也比较缓慢。而数字签名是无形的,在网络环境下可以非常快速地传输,还能进行远程和网络环境下的签名,可以进行复制、加密,节省了办公时间,降低了办公成本。
3、传统的签名,只是覆盖了一个很小的区域,在其他没有签名的地方如果被篡改了签名依然无法识别出来,而数字签名能够鉴别完整性,任何篡改都会被发现。
4、传统的签名离不开有形的介质,而数字签名是数字化的,更适应网上的虚拟环境,可以进行各种信息化处理,包括检索、统计和提取信息,更轻便,更易于存储和携带,大大减少了存放空间。
5、传统签名难以实现智能化识别文档的内容,要进行这些处理必须经过扫描并且软件识别文字等信息或者重新输入。而数字签名则可以,从而便于智能识别待签名的内容而使得签名工作智能化和自动化,不仅可以减少人力,而且更加客观规范。
6、传统的签名可能会丢失,需要挂失和重新办理。而数字签名可以直接备份,丢失后将备份文档取出来就行。为了防止伪冒使用证件,可将持有人的身份证号码、照片、指纹和视网膜等生物特征信息加入数字证书中,进行认证;可采用个人识别码加密或者认证,这样就无需挂失。
由于数字签名的数字化特性,可以非常方便进行加密和各种信息处理,从而可以进行认证、保证公平、安全共享、权限分割、权限限制和信息加密等,满足各种需要。
五、数字签名在电子商务中的运用
在电子商务的安全中应用基于 RSA 算法的数字签名技术, 就可以防止交易过程中伪造、篡改信息, 或冒用别人名义发送信息, 或发出( 收到) 信件后又加以否认等情况发生。这是因为, 由于发送方用私钥加密消息, 事后就不能否认发送的报文签名( 即抗否认性) ,接收者能够利用发送方的公钥核实发送者发送的报文签名, 由于接收者不知道发送方的密钥, 就不可能伪造发送者
的报文签名( 即认证性) ,也不能对发送者的报文进行窃取( 即保密性) 或篡改( 即完整性) 。因此, 利用数字签名技术可以有效地达到电子商务系统中信息传递的保密性、完整性、认证性和不可否认性等要求, 有效防止各种电子商务中的安全隐患, 充分实现电子商务交易活动中的信息安全。
六、数字签名应用中的问题及对策
数字签名应用过程中面临的最大威胁是网络信息系统的技术性和安全性,同时还存在着诸多法律问题如:数字签名是否与手写签名一样具有可靠性,是否能具备“认可”的条件等等。
解决我国数字签名存在问题,可从以下几个方面去努力:首先,开发具有自主知识产权的、先进的信息技术,建立完整的信息网络安全体系。其次,进一步完善数字签名技术,大力改进数字签名内在的安全技术措施。第三,和数字签名有关的复杂认证能力程序化、简易化,使其易于掌握、便于操作。第四,及时修改、完善相关法律法规,为数字签名的安全和诚信提供必要的保障。第五,确定CA认证权的归属问题。
七、数字签名的发展前景
目前应用于特殊场合具有特殊用途的数字签名需求逐步增长:如防失败签名将防范拥有充足计算资源的攻击者;盲签名更广泛地用于选举投票和数字货币协议中;群签名在网上大规模集团采购中发挥更重要的作用,这些将显著降低电子商务交易成本,大大提高交易效率。相信随着电子商务的迅速发展,包括数字签名技术在内的电子商务的安全体系将更加可靠和完善!
结束语
我国数字签名技术刚刚起步,不可避免地存在一些问题,需要进一步加以解决。但数字签名不但适用于电子商务,还在其他的领域有着非常普遍和广阔的应用潜力。相信随着信息化建设的加速,国民经济和社会信息化领域的变宽,数字签名技术也将不断成熟,有力推动电子商务以及其他网上事务的发展!
参考文献:
[1]赵泽茂.数字签名理论[M].北京:科学出版社,2007:26-51.
[2]钟平.校园网安全防范技术研究[DB].CNKI系列数据库,2007.
[3]王英.浅析电子商务的安全性[J].通信技术,2008,41(04):53-55.