電子商務(wù)中的數(shù)字簽名技術(shù)初探

隨著信息技術(shù)日新月異的發(fā)展，電子商務(wù)已經(jīng)成為一種全球性的具有戰(zhàn)略意義的經(jīng)營(yíng)和管理手段，其發(fā)展前景十分誘人，但是隨之而來(lái)的安全問題也變得越來(lái)越突出。交易的安全性是網(wǎng)上貿(mào)易的基礎(chǔ)和保障，也是電子商務(wù)的技術(shù)難點(diǎn)。為確保電子交易中消息的有效性、真實(shí)性、完整性和不可否認(rèn)性，通常需要使用認(rèn)證技術(shù)。數(shù)字簽名是其中最為常用的技術(shù)。

一、數(shù)字簽名的含義

在電子商務(wù)這種無(wú)紙化條件下中，傳統(tǒng)的手寫簽名和蓋章都無(wú)法實(shí)現(xiàn)，必須依靠技術(shù)手段加以替代，以便能夠在電子文件中識(shí)別當(dāng)事人或者單位負(fù)責(zé)人的真實(shí)身份，保證交易的安全性和真實(shí)性。數(shù)字簽名技術(shù)由此應(yīng)運(yùn)而生，它解決了發(fā)送者的身份認(rèn)證問題。

數(shù)字簽名也稱電子簽名，是通過一個(gè)散列函數(shù)（Hash）對(duì)要傳送的報(bào)文進(jìn)行處理而得到的，用以認(rèn)證報(bào)文來(lái)源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。數(shù)字簽名利用密碼技術(shù)進(jìn)行，其安全性取決于密碼體制的安全程度，因而可以獲得比書面簽名更高的安全性。雖然利用傳統(tǒng)密碼也可以實(shí)現(xiàn)數(shù)字簽名，但是難以達(dá)到與書面簽名一樣的效果，因此不能使用。公開密鑰密碼不僅能夠?qū)崿F(xiàn)數(shù)字簽名，而且安全方便，這是公開密鑰密碼深受歡迎的主要原因之一。自從公開密鑰密碼出現(xiàn)后，數(shù)字簽名技術(shù)日臻成熟，得到了廣泛的應(yīng)用。1994年美國(guó)政府正式頒布了美國(guó)數(shù)字簽名標(biāo)準(zhǔn)（DSS，Digital Signature Standard）。1995年我國(guó)也制定了自己的數(shù)字簽名標(biāo)準(zhǔn)（GB15851-1995）。數(shù)字簽名的形式是多種多樣的，如通過數(shù)字簽名、仲裁數(shù)字簽名、不可否認(rèn)簽名、盲簽名、群簽名、門限簽名等。

二、數(shù)字簽名的過程

Hash算法又稱為散列算法或報(bào)文摘要，Hash算法并不是加密算法，但卻能產(chǎn)生信息的數(shù)字“指紋”，主要用途是為了確保數(shù)據(jù)沒有被篡改或發(fā)生變化，以維護(hù)數(shù)據(jù)的完整性。它采用單向Hash函數(shù)將需加密的明文“摘要”成一串128位密文，這128位的密文就是所謂的數(shù)字摘要。它有固定的長(zhǎng)度，且不同的明文摘要成的密文，其結(jié)果總是不同的，而同樣的明文其摘要必定一致。這個(gè)摘要便成為驗(yàn)證明文是否是“真身”的指紋。

數(shù)字簽名技術(shù)是將非對(duì)稱密鑰加密體系和Hash算法結(jié)合起來(lái)。實(shí)現(xiàn)數(shù)字簽名的過程如下：

1.被發(fā)送的原文用Hash算法加密產(chǎn)生128位的數(shù)字摘要。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不符，這樣就保證了報(bào)文的不可更改性。

2.發(fā)送方用自己的私有密鑰對(duì)摘要再加密，就形成了數(shù)字簽名。

3.將原報(bào)文和加密的摘要同時(shí)發(fā)送給接收方。

4.接受方用發(fā)送方的公開密鑰對(duì)摘要解密，同時(shí)對(duì)收到的原文用Hash算法再生成一個(gè)摘要。

5.比較兩個(gè)摘要，如果一致，說(shuō)明了報(bào)文確實(shí)來(lái)自發(fā)送者，并且在傳輸過程中沒有被破壞或者修改過。

三、數(shù)字簽名在電子商務(wù)中的運(yùn)用

通常，一個(gè)完善的簽名應(yīng)滿足3個(gè)條件:簽名者事后不能抵賴自己的簽名;任何其他人不能偽造簽名;如果當(dāng)事人雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)，能夠在公正的仲裁者面前通過驗(yàn)證簽名來(lái)確認(rèn)其真?zhèn)巍?shù)字簽名具備以上三個(gè)特性，并且這些特性使其在電子商務(wù)中得到廣泛應(yīng)用，可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問題。

因?yàn)閿?shù)字簽名中，是使用公開密鑰加密算法，信息發(fā)送方是使用自己的私鑰對(duì)發(fā)送的信息進(jìn)行加密的，只有持有私鑰的人才能對(duì)數(shù)據(jù)進(jìn)行簽名，所以只要密鑰沒有被竊取，就可以肯定該數(shù)據(jù)是用戶簽發(fā)的，簽名者事后不能抵賴自己的簽名。

信息接收方可以使用發(fā)送方的公鑰對(duì)接受到的信息進(jìn)行解密，因而，接收方一旦解密成功，就完全可以確認(rèn)信息是由發(fā)送方發(fā)送的，同時(shí)也證實(shí)了信息發(fā)送方的身份，任何其他人不能偽造簽名。

當(dāng)交易中出現(xiàn)當(dāng)事人雙方關(guān)于簽名的真?zhèn)伟l(fā)生爭(zhēng)執(zhí)時(shí)，信息接收方以將加了數(shù)字簽名的信息提供給認(rèn)證方，認(rèn)證方可以使用公鑰對(duì)接收方提供的信息解密，從而可以明確判斷出信息的發(fā)送方。

四、數(shù)字簽名應(yīng)運(yùn)中的問題及對(duì)策

1.數(shù)字簽名技術(shù)并沒有解決報(bào)文本身的加密問題，必須綜合運(yùn)用多種加密技術(shù)才能徹底解決數(shù)據(jù)安全和身份驗(yàn)證等一系列問題。我國(guó)信息安全技術(shù)相對(duì)國(guó)外起步晚，加密技術(shù)相對(duì)落后，加大了我國(guó)數(shù)字簽名發(fā)展的安全風(fēng)險(xiǎn)和技術(shù)風(fēng)險(xiǎn)。因此我們必須大力發(fā)展先進(jìn)的、具有自主知識(shí)產(chǎn)權(quán)的信息技術(shù)， 建立一個(gè)完整的信息網(wǎng)絡(luò)安全體系。這包括計(jì)算機(jī)系統(tǒng)安全性以及多種加密技術(shù)的綜合運(yùn)用，確保電子商務(wù)的保密性、數(shù)據(jù)的完整性、可靠性以及可控性。只有信息網(wǎng)絡(luò)體系健全，那么通過網(wǎng)絡(luò)傳輸?shù)男畔踩拍艿玫奖ＷC，數(shù)字簽名技術(shù)才能發(fā)揮真正的作用。

2.數(shù)字簽名技術(shù)有待進(jìn)一步完善。例如數(shù)字簽名后的文件可能被接收方重復(fù)使用。如果簽字后的文件是一張支票，接收方很容易多次用該電子支票兌換現(xiàn)金。因此發(fā)送方需要在文件中加上一些該支票的特有的憑證，如在電子文件中留下時(shí)間戳（timestamp），以防止上述情況發(fā)生。具體過程為發(fā)送方將需要附加時(shí)間戳的文件用Hash算法加密形成摘要。然后將摘要發(fā)送到專門的服務(wù)機(jī)構(gòu)，由該機(jī)構(gòu)加入收到文件時(shí)的時(shí)間信息，再對(duì)該文件加上數(shù)字簽名，然后發(fā)回用戶。

3.有待于進(jìn)一步完善關(guān)于數(shù)字簽名的法律法規(guī)，讓它能更好的發(fā)揮作用。電子商務(wù)的安全性首先依托于法律、法規(guī)和相關(guān)的政策制定，才能運(yùn)用安全交易技術(shù)和網(wǎng)絡(luò)安全技術(shù)建立期完善的安全管理體系。國(guó)際社會(huì)已制定相應(yīng)的法律、法規(guī)，把數(shù)字簽名作為執(zhí)法的依據(jù)。2000年6月30日，美國(guó)總統(tǒng)克林頓簽署《數(shù)字簽名法案》，使數(shù)字簽名在美國(guó)與傳統(tǒng)簽名一樣具有法律效力。因此我們要對(duì)現(xiàn)有的電子商務(wù)安全系統(tǒng)進(jìn)行漏洞檢查和安全教育，及時(shí)修改、完善《電子簽名法》和《電子認(rèn)證服務(wù)管理辦法》等相關(guān)法律法規(guī)、法律，為數(shù)字簽名的安全和誠(chéng)信提供必要的保障。

參考文獻(xiàn):

[1]嚴(yán)翠玲 王文會(huì):電子商務(wù)安全中的數(shù)字簽名技術(shù)[J].商場(chǎng)現(xiàn)代化，第13期，2007

[2]盧志剛:電子商務(wù)系統(tǒng)實(shí)踐教程[M].機(jī)械工業(yè)出版社，2008

[3]李克洪等:實(shí)用密碼學(xué)與計(jì)算機(jī)數(shù)據(jù)安全[M].東北大學(xué)出版社，2005