时间:2023-03-16 15:48:00
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇数字签名技术论文,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
论文摘要:密码技术是信息安全的核心技术公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色,已成为最核心的密码。本文介绍了数字签名技术的基本功能、原理和实现条件,并实现了基于RSA的数字签名算法
0.引言
随着计算机网络的发展,网络的资源共享渗透到人们的日常生活中,在众多领域上实现了网上信息传输、无纸化办公。因此,信息在网络中传输的安全性、可靠性日趋受到网络设计者和网络用户的重视数字签名技术是实现交易安全的核心技术之一,在保障电子数据交换((EDI)的安全性上是一个突破性的进展,可以解决否认、伪造、篡改及冒充等问题
1.数字签名
1.1数字签名技术的功能
数字签名必须满足三个性质
(1)接受者能够核实并确认发送者对信息的签名,但不能伪造签名
(2)发送者事后不能否认和抵赖对信息的签名。
(3)当双方关于签名的真伪发生争执时,能找到一个公证方做出仲裁,但公证方不能伪造这一过程
常用的数字签名技术有RSA签名体制、Robin签名体制、E1Gamal签名体制及在其基础之上产生的数字签名规范DSS签名体制。
1.2数字签名技术的原理
为了提高安全性,可以对签名后的文件再进行加密。假如发送方A要给接收方B发送消息M,那么我们可以把发送和接收M的过程简单描述如下:
(1)发送方A先要将传送的消息M使用自己的私有密钥加密算法E(al)进行签名,得V=E(al(M))其中,A的私有加密密钥为al;
(2)发送方A用自己的私有密钥对消息加密以后,再用接收方B的公开密钥算法Ebl对签名后的消息V进行加密,得C=E(b l (V))。其中,B的公开加密密钥为6l.
(3)最后,发送方A将加密后的签名消息C传送给接收方B
(4)接收方B收到加密的消息C后,先用自己的私有密钥算法D(62)对C进行解密,得V=D(h2挥))其中,B的私有解密密钥为62(5)然后接收方再用发送方A的公开密钥算法D(a2)对解密后的消息V再进行解密,得M=D(a2(V))。其中,,A的公开解密密钥为a2=这就是数字签名技术的基本原理。如果第三方想冒充A向B发送消息,因为他不知道.a的密钥,就无法做出A对消息的签名如果A想否认曾经发送消息给B.因为只有A的公钥才能解开A对消息的签名,.a也无法否认其对消息的签名数字签名的过程图l如下:
2. RSA算法
2.1 RSA算法的原理
RSA算法是第一个成熟的、迄今为止理论上最成功的公开密钥密码体制,该算法由美国的Rivest,Shamir,Adle~三人于1978年提出。它的安全性基于数论中的Enle:定理和计算复杂性理论中的下述论断:求两个大素数的乘积是容易计算的,但要分解两个大素数的乘积,求出它们的素因子则是非常困难的.它属于NP一完全类
2.2 RSA算法
密钥的产生
①计算n用户秘密地选择两个大素数F和9,计算出n=p*q, n称为RSA算法的模数明文必须能够用小于n的数来表示实际上n是几百比特长的数
②计算 (n)用户再计算出n的欧拉函数(n)二(P-1)*(q-1),(n)定义为不超过n并与n互素的数的个数③选择。。用户从[(0, (n)一1〕中选择一个与}(n)互素的数B做为公开的加密指数
4计算d。用户计算出满足下式的d : ed = 1 mal (n)(a与h模n同余.记为a二h mnd n)做为解密指数。
⑤得出所需要的公开密钥和秘密密钥:公开密钥(加密密钥):PK={e,n} ;
秘密密钥(解密密钥);SK=(d,n}
加密和解密过程如下:
设消息为数M(M<n)
设C=(Md)mod n,就得到了加密后的消息C;
设M=(Ce)mod n,就得到了解密后的消息M。其中,上面的d和e可以互换
由于RSA算法具有以下特点:加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥))SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然秘密密钥SK是由公开密钥PK决定的,但却不能根据PK计算出SK。它们满足条件:①加密密钥PK对明文M加密后,再用解密密钥SK解密,即可恢复出明文,或写为:Dsk(Esk(M))= M②加密密钥不能用来解密,即((D娜e,c}M)) } M③在计算机上可以容易地产生成对的PK和SK}④从已知的PK实际上不可能推导出SK⑤加密和解密的运算可以对调,即:E}(M)(Es}(M)(M))=M所以能够防止身份的伪造、冒充,以及对信息的篡改。
3. RSA用于数字签名系统的实现
RSA竿名讨程如下图2所示:
论文摘要:分析数字签名的功能、原理及其与传统手写签名的差别,对基于身份的数字签名进行了探讨,给出了数字签名在电子政务中的具体应用。
论文关键词:数字签名:电子政务;信息安全
1概述
1.1概念与功能
数字签名是防止他人对传输的文件进行破坏.以及确定发信人的身份的手段该技术在数据单元上附加数据,或对数据单元进行秘密变换.这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,从而达到保护数据,防止被人进行伪造的目的。简单说来,数字签名是指用密码算法,对待发的数据进行加密处理,生成一段数据摘要信息附在原文上一起发送,接受方对其进行验证,判断原文真伪其签名思想是签名只能南一个人(个体)创建,但可以被任何人校验.
数字签名技术可以解决数据的否认、伪造、篡改及冒充等问题,满足上述要求的数字签名技术有如下主要功能:(1)发送者事后不能否认自己发送的签名;(2)接收者能够核实发送者发送的签名;(3)接收者不能伪造发送者的签名;(4)接收者不能对发送者的原文进行篡改;(5)数据交换中的某一用户不能冒充另一用户作为发送者或接收者
1.2数字签名与传统手写签名差别
(1)签署文件方面:一个手写签名是所签文件的物理部分,而数字签名不是,所以要使用其他的办法将数字签名与所签文件“绑定”。
(2)验证方面:一个手写签名是通过和一个真实的手写签名相比较来验证的而数字签名是通过一个公开的验证算法来验证:
(3)签名的复制:一个手写签名不容易被复制,因为复制品通常比较容易被鉴别来:而数字签名很容易被复制,因为一个文件的数字签名的复制品和原文件是一样的:所以要使用数字时问戳等特殊的技术避免数字签名的重复使用。
(4)手书签名是模拟的,且因人而异。数字签名是0和1的数字串,因人和消息而异。
一个安全有效的签名方案必须满足以下要求:1)任何人都可以验证签名的有效性;2)除了合法的签名者外,其他人伪造签名是困难的;3)对一个消息的签名不可复制为另一个消息的签名;4)签名的消息不可被篡改,一旦被篡改,则任何人都可以发现消息与签名的不一致;5)签名者事后不能否认自己的签名。
安全的数字签名实现的条件:发方必须向收方提供足够的非保密信息,以便使其能验证消息的签名,但又不能泄露用于产生签名的机密信息,以防止他人伪造签名。此外,还有赖于仔细设计的通信协议:
2原理
数字签名有两种:一种是对整体消息的签名,一种是对压缩消息的签名。每一种又可分为两个子类:一类是确定性(Deterministi)数字签名,其明文与密文是一一对应的,它对特定消息的签名不变化;一类是随机化的(Randomized)或概率式数字签名。
目前的数字签名技术大多是建立在公共密钥体制的基础上,其工作原理是:
(1)签名:发方将原文用哈希算法求得数字摘要,用签名私钥对数字摘要加密得数字签名,将原文与数字签名一起发送给接受方。
签名体制=(M,S,K,v),其中M:明文空间,S:签名的集合,K:密钥空间,V:证实函数的值域,由真、伪组成。
签名算法:对每一m∈M和每一k∈K,易于计算对m的签名s=Sigk(M)∈S
签名算法或签名密钥是秘密的,只有签名人掌握。
(2)验证:收方验证签名时,用发方公钥解密数字签名,得出数字摘要;收方将原文采用同样哈希算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经签名的电子文件传输成功。
验证算法:
Verk(S,M)∈{真,伪}={0,l1
3基于身份的数字签名
3.1优势
1984年Shamir提出基于身份的加密、签名、认证的设想,其中身份可以是用户的姓名、身份证号码、地址、电子邮件地址等。系统中每个用户都有一个身份,用户的公钥就是用户的身份,或者是可以通过一个公开的算法根据用户的身份可以容易地计算出来,而私钥则是由可信中心统一生成。在基于身份的密码系统中,任意两个用户都可以安全通信,不需要交换公钥证书,不必保存公钥证书列表,也不必使用在线的第三方,只需一个可信的密钥发行中心为每个第一次接入系统的用户分配一个对应其公钥的私钥就可以了。基于身份的密码系统不存在传统CA颁发证书所带来的存储和管理开销问题。
3.2形式化定义
基于身份的数字签名由以下4个算法组成,
Setup(系统初始化):输入一个安全参数k,输出系统参数param、和系统私钥mk,该算法由密钥产生机构PKG运行,最后PKG公开params,保存mk。Extract(用户密钥生成):输入params、mk和用户的身份ID,输出用户的私钥diD,该算法由PKG完成,PKG用安全的信道将diD返回给用户。Sign(签名):输入一个安全参数r、params、diD以及消息M,输出对}肖息M的签名盯,该算法由用户实现。Verify(验证):输入params、签名人身份ID、消息m和签名,输出签名验证结果1或0,代表真和伪,该算法由签名的验证者完成。其中,签名算法和验证算法与一般签名方案形式相同。
4数字签名在电子政务中的应用
4.1意义
数字签名的过程和政务公文的加密/解密过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也各不相同。数字签名使用的是发送方的密钥对,发送方用自己的私钥进行加密,接收方用发送方的公钥进行解密。这是一个一对多的关系,即任何拥有发送方公钥的人都可以验证数字签名的正确性。政务公文的加密/解密则使用接收方的密钥对,这是多对一的关系,即任何知道接收方公钥的人都可以向接收方发送加密公文,只有唯一拥有接收方私钥的人才能对公文解密。在实际应用过程中,通常一个用户拥有两个密钥对,一个密钥对用来对数字签名进行加密,解密;另一个密钥对用来对公文进行加密懈密,这种方式提供了更高的安全性。
4.2形式
4.2.1个人单独签名
由于政务公文的文件相对来说都比较大,所以一般需要先对所要传输的原文进行加密压缩后形成一个文件摘要,然后对这个文件摘要进行数字签名。一般由两个阶段组成:对原文的数字签名和对数字签名的验证。
(1)对原文的数字签名
先采用单向散列哈希算法对所要传输的政务公文x进行加密计算和压缩,推算出一个文件摘要z。然后,公文的发送方用自己的私钥SKA对其加密后形成数字签名Y,并将该数字签名附在所要传送的政务公文后形成一个完整的信息包(X+Y)。再用接收方的公钥PKB对该信息包进行加密后,通过网络传输给接收方。
(2)对数字签名的验证
接收方收到该信息包后,首先用自己的私钥SKB对整个信息包进行解密,得到两部分信息:数字签名部分Y和政务公文原文部分x;其次,接收方利用发送方的公钥PKA对数字签名部分进行解密,得到一个文件摘要Z;接着,接收方也采用单向散列哈希算法对所收到的政务公文原文部分进行加密压缩,推算出另外一个文件摘要z1。由于原文的任何改动都会使推算出的文件摘要发生变化,所以只要比较两个文件摘要z和z1就可以知道公文在传输途中是否被篡改以及公文的来源所在。如果两个文件摘要相同,那么接收方就能确认该数字签名是发送方的,并且说明文件在传输过程中没有被破坏。通过数字签名能够实现对原始报文的鉴别。
4.2.2多重数字签名
关键词:椭圆曲线 数字签名 RSA
中图分类号:TH11 文献标识码:A文章编号:1007-3973 (2010) 02-096-02
1概述
数字签名技术是信息安全机制中的一种重要技术。已经广泛应用于电子商务和通信系统中,包括身份认证,数据完整性,不可否认性等方面,甚至在日常的电子邮件中也有应用。数字签名提出的目的就是在网络环境下模拟日常的手工签名或印章,它可以抵御冒充、篡改、伪造、抵赖问题。数字签名的安全特性是:不可否认性,不可伪造性。
数字签名算法一般采用非对称密钥密码体制来实现。常见的数字签名算法有:RSA,其安全性是基于求解离散对数的困难性;DSA,其安全性是基于对有限域的离散对数问题的不可实现性;ECDSA(椭圆曲线数字签名算法,Elliptic CurveDigital Signature Algorithm),其安全性给予椭圆曲线离散对数问题的不可实现性)等 。
在本文中首先介绍RSA和椭圆曲线域数字签名算法ECDSA签名与验证过程,然后比较两种算法在抗攻击性能,密钥大小,系统消耗,求解难度等方面的不同。
2基于RSA数字签名算法
RSA用到了初等数论中的一个重要定理-欧拉定理,其安全性依赖于数的因数分解的困难性。RSA的签名产生和签名认证过程如下 :
(1)随机选择两个素数p和q,满足|p|≈|q|;
(2)计算n=pq, (n)=(p-1)(q-l) ;
(3)随机选择整数e< (n),满足gcd(e, (n))=1;计算整数d,满足E*d1mod(n) ;
(4)p,q和 (n)保密,公钥为(n,e),私钥为d;
(5)对消息M进行数字摘要运算,得到摘要S;
(6)对摘要值S生成签名:V=Sd mod n;
(7)接收方验证签名:计算s=Ve mod n,并对消息M用同一数字摘要算法进行摘要运算,得到摘要值S。若S=s则通过签名认证。
3椭圆曲线数字签名算法(ECDSA)
设椭圆曲线公钥密码系统参数为(),其中是有限域,E是Fq上的椭圆曲线,G是E上的一个有理点,称为基点,G的阶为q(q为素数), a,b是椭圆曲线E的系数,h是一个单向安全的哈希函数。
已知:待签名消息M,域参数D=(q,f(x),a,b,G,n,h)及密钥对(x,y)ECDSA签名的产生 :
3.1签名算法
(1)选取一个随机或伪随机数 ;
(2)计算 ,且如果 r=0,则返回第一步;
(3)计算 ,若s=0则返回第一步;
(4)对消息m的签名为(r,s);
3.2验证算法
(1)计算 ;
(2)计算;
(3)计算,如果v=r则签名正确,否则验证失败。
4算法比较与分析
数字签名主要是利用公钥密码学构造的,RSA和ECC它们是基于不同的数学难题基础上的,而且不同的密码算法以及签名体制有不同的算法复杂度。RSA的破译和求解难度是亚指数级 的,国家公认的对于RSA最有效都是攻击方法是用一般数筛选方法去破译和攻击RSA;而ECDSA的破译和求解难度基本上是指数级 的,Pollard rho算法是目前破解一般ECDSA最有效的算法。
4.1RSA和ECDSA的密钥长度比较
表1RSA与ECDSA的密钥长度和抗攻击性比较
4.2RSA和ECDSA的优缺点的比较
ECC与RSA和离散对数系统的比较可知,160比特的ECC强度可大致相当于1024比特的RSA/DSA。这样,在相当安全强度下,ECC的较短的密钥长度可提高电子交易的速度,减少存储空间。下面对RSA和ECDSA在其他方便进行比较:研究表明,在同样安全级别的密码体制中,ECDSA的密钥规模小,节省带宽和空间,尤其适合一些计算能力和存储空间受限的应用领域,从而研究ECDSA的快速实现一直被认为有其重要的理论意义和应用价值。
注释:
张晓华,李宏佳,魏权利.椭圆曲线数字签名算法(ECDSA)软件仿真的研究[C]. 中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集(上).2008,1(Z) 607-611.
刘学清,李梅,宋超等.基于RSA的数字签名算法及其快速实现[J].电脑知识与技术,2009.
贾良.基于椭圆曲线的数字签名的分析与设计[D].学位论文.中北大学,2009.
论文摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。
所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
(Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
[1] 万守付,电子商务基础(第二版),人民邮电出版社,2006年6月第2版
论文摘要:本文针对电子商务安全的要求,分析了电子商务中常用的安全技术,并阐述了数据加密技术、认证技术和电子商务的安全交易标准在电子商务安全中的应用。
所谓电子商务(Electronic Commerce) 是利用计算机技术、网络技术和远程通信技术, 实现整个商务(买卖)过程中的电子化、数字化和网络化。目前,因特网上影响交易最大的阻力就是交易安全问题, 据最新的中国互联网发展统计报告显示, 在被调查的人群中只有2.8%的人对网络的安全性是感到很满意的, 因此,电子商务的发展必须重视安全问题。
一、电子商务安全的要求
1、信息的保密性:指信息在存储、传输和处理过程中,不被他人窃取。
2、信息的完整性:指确保收到的信息就是对方发送的信息,信息在存储中不被篡改和破坏,保持与原发送信息的一致性。
3、 信息的不可否认性:指信息的发送方不可否认已经发送的信息,接收方也不可否认已经收到的信息。
4、 交易者身份的真实性:指交易双方的身份是真实的,不是假冒的。
5、 系统的可靠性:指计算机及网络系统的硬件和软件工作的可靠性。
在电子商务所需的几种安全性要求中,以保密性、完整性和不可否认性最为关键。电子商务安全性要求的实现涉及到以下多种安全技术的应用。
二、数据加密技术
将明文数据进行某种变换,使其成为不可理解的形式,这个过程就是加密,这种不可理解的形式称为密文。解密是加密的逆过程,即将密文还原成明文。
(一)对称密钥加密与DES算法
对称加密算法是指文件加密和解密使用一个相同秘密密钥,也叫会话密钥。目前世界上较为通用的对称加密算法有RC4和DES。这种加密算法的计算速度非常快,因此被广泛应用于对大量数据的加密过程。
最具代表的对称密钥加密算法是美国国家标准局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。
(二)非对称密钥加密与RSA算法
为了克服对称加密技术存在的密钥管理和分发上的问题,1976年产生了密钥管理更为简化的非对称密钥密码体系,也称公钥密码体系(PublicKeyCrypt-system),用的最多是RSA算法,它是以三位发明者(Rivest、Shamir、Adleman)姓名的第一个字母组合而成的。
在实践中,为了保证电子商务系统的安全、可靠以及使用效率,一般可以采用由RSA和DES相结合实现的综合保密系统。
三、认证技术
认证技术是保证电子商务交易安全的一项重要技术。主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性以及信息的完整性
(一)身份认证
用户身份认证三种常用基本方式
1、口令方式
这种身份认证方法操作十分简单,但最不安全,因为其安全性仅仅基于用户口令的保密性,而用户口令一般较短且容易猜测,不能抵御口令猜测攻击,整个系统的安全容易受到威胁。
2、标记方式
访问系统资源时,用户必须持有合法的随身携带的物理介质(如存储有用户个性化数据的智能卡等)用于身份识别,访问系统资源。
3、人体生物学特征方式
某些人体生物学特征,如指纹、声音、DNA图案、视网膜扫描图案等等,这种方案一般造价较高,适用于保密程度很高的场合。
加密技术解决信息的保密性问题,对于信息的完整性则可以用信息认证方面的技术加以解决。在某些情况下,信息认证显得比信息保密更为重要。
(二)数字摘要
数字摘要,也称为安全Hash编码法,简称SHA或MD5 ,是用来保证信息完整性的一项技术。它是由Ron Rivest发明的一种单向加密算法,其加密结果是不能解密的。类似于人类的“指纹”,因此我们把这一串摘要而成的密文称之为数字指纹,可以通过数字指纹鉴别其明文的真伪。
(三)数字签名
数字签名建立在公钥加密体制基础上,是公钥加密技术的另一类应用。它把公钥加密技术和数字摘要结合起来,形成了实用的数字签名技术。
它的作用:确认当事人的身份,起到了签名或盖章的作用;能够鉴别信息自签发后到收到为止是否被篡改。
(四)数字时间戳
在电子交易中,时间和签名同等重要。数字时间戳技术是数字签名技术一种变种的应用,是由DTS服务机构提供的电子商务安全服务项目,专门用于证明信息的发送时间。包括三个部分:需加时间戳的文件的数字摘要;DTS机构收到文件摘要的日期和时间; DTS机构的数字签名。
(五)认证中心
认证中心:(Certificate Authority,简称CA),也称之为电子商务认证中心,是承担网上安全电子交易认证服务,能签发数字证书,确认用户身份的、与具体交易行为无关的第三方权威机构。认证中心通常是企业性的服务机构,主要任务是受理证书的申请、签发和管理数字证书。其核心是公共密钥基础设(PKI)。
我国现有的安全认证体系(CA)在金融CA方面,根证书由中国人民银行管理,根认证管理一般是脱机管理;品牌认证中心采用“统一品牌、联合建设”的方针进行。在非金融CA方面,最初主要由中国电信负责建设。
(六)数字证书
数字证书就是标志网络用户身份信息的一系列数据,用于证明某一主体(如个人用户、服务器等)的身份以及其公钥的合法性的一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发。
以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
四、电子商务的安全交易标准
(一)安全套接层协议
SSL (secure sockets layer)是由Netscape Communication公司是由设计开发的,其目的是通过在收发双方建立安全通道来提高应用程序间交换数据的安全性,从而实现浏览器和服务器(通常是Web服务器)之间的安全通信。
目前Microsoft和Netscape的浏览器都支持SSL,很多Web服务器也支持SSL。SSL是一种利用公共密钥技术的工业标准,已经广泛用于Internet。
(二)安全电子交易协议
SET (Secure Electronic Transaction)它是由VISA和MasterCard两大信用卡公司发起,会同IBM、Microsoft等信息产业巨头于1997年6月正式制定的用于因特网事务处理的一种标准。采用DES、RC4等对称加密体制加密要传输的信息,并用数字摘要和数字签名技术来鉴别信息的真伪及其完整性,目前已经被广为认可而成了事实上的国际通用的网上支付标准,其交易形态将成为未来电子商务的规范。
五、总结
网络应用以安全为本,只有充分掌握有关电子商务的技术,才能使电子商务更好的为我们服务。然而,如何利用这些技术仍是今后一段时间内需要深入研究的课题。
参考文献:
关键词:信息系统;权限管理;数据加密;数字签名
中图分类号:TP309.2文献标识码:A文章编号:1007-9599 (2011) 05-0000-02
Information System Security Solutions
Qi Shifeng
(Computer Sciences School,Panzhihua University,Panzhihua617000,China)
Abstract:Security is inevitable for every information system.This paper provides solutions to the information system security by using the relevant technologies such as firewalls externally,and internally authority administration,data encryption,digital signatures and so on.Practice has proved these solutions and their reference value.
Keywords:Information System;Authority;Data encryption;Digital Signatures
一、引言
信息系统的迅速发展和广泛应用,显示了它的巨大生命力;另一方面也体现了人类社会对信息系统的依赖性越来越强。但信息系统的安全是一个不可回避的问题,一者信息系统管理着核心数据,一旦安全出现问题,后果不堪设想;再者现在信息系统大多运行环境是基于TCP/IP的,众所周知,TCP/IP协议本身是不安全的,因此必须充分考虑信息系统的安全性。信息系统的安全问题已成为全球性的社会问题,也是信息系统建设和管理的主要瓶颈。
二、一种解决方案
信息系统的安全包括很多方面,一般说来,可以分为外部安全和内部安全两方面。对外的安全主要是防止非法攻击,本方案通过第三方防火墙来实现。内部的安全主要是保证数据安全,本方案提出两个方面的解决:①权限管理;②数据加密。
(一)防火墙技术
防火墙是一种综合性的技术,它是一种计算机硬件和软件的结合。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问,它实际上是一种隔离技术。工作原理如图1所示。
图1防火墙工作原理
(二)权限管理
构建强健的权限管理系统,对保证信息系统的安全性是十分重要的。基于角色的访问控制(Role-Based Access Control,简称RBAC)方法是目前公认的解决大型企业的统一资源访问控制的有效方法。其显著的两大特征是:
1.减小授权管理的复杂性,降低管理开销。
2.灵活地支持企业的安全策略,并对企业的变化有很大的伸缩性。
一个完整的权限管理系统应该包括:用户、角色、资源、操作这四种主体,他们简化的关系可以简化为图2。
图2 权限管理四种主体关系图
RBAC认为权限授权实际上是Who、What、How的问题。可简单表述为这样的逻辑表达式:判断“Who对What(Which)进行How的操作”是否为真。
本方案权限管理采用“用户―角色―功能权限―数据对象权限”权限管理模式管理权限。具体参见图3。
图3 权限管理模型
图3所示的权限管理模型实现过程如下:
1.划分用户角色级别:系统管理员根据用户岗位职责要求对其功能权限进行分配和管理。
2.划分功能控制单元:功能控制单元即权限控制的对象。功能控制单元根据功能结构树按层次进行划分。
3.权限管理实现:例如,当新员工加盟时、系统首先为其分配一个系统账号,当给他分配岗位时、便自动有了该岗位对应角色的权限。当然如果该用户有本系统的一些单独的功能使用权限,可以提出申请经批准后由系统管理员分配。
(三)数据安全保证
1.实现技术
(1)数据加密。数据加密技术是指将一个信息(或称明文)经过加密钥匙及加密函数转换,变成无意义的密文,从而达到使非法用户无法获取信息真实内容。另一方面接收方则将此密文经过解密函数及解密钥匙还原成明文。常见的对称密钥加密算法有DES加密算法和IDEA加密算法,用得最多的公开密钥加密算法是RSA加密算法。
(2)数字签名。数字签名技术是在公钥加密系统的基础上建立起来的。数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。用来模拟现实生活中的签名或印章。
2.实施策略
本方案中,系统的数据安全保证主要是依靠上述的数据加密技术和数字签名技术来实现,具体的实施策略如图4所示。
图4 混合加密和数字签名联合使用的实施策略
在图4中,将其数据安全保证实现过程分为四步:数据加密、数据签名,验证入库、数据解密。
(1)数据加密:当需要将核心信息放入数据库时,信息发送方随机生成本次通信用的DES或IDEA密钥K,用密钥K加密压缩的明文M得到密文Cm,用系统的RSA公钥加密密钥K得到Ck,再将Cm和Ck合成密文C。
(2)数字签名:信息发送方对数据加密时生成的密文C进行MD5运算,产生一个消息摘要MD,再用自己的RSA私钥对MD进行解密来形成发送方的数字签名Cd,并将Cd和C合成密文Cc。
(3)验证入库:数据库服务器收到Cc后,将其分解为Cd和C。用发送方的RSA公钥加密Cd得到MD,然后对C进行MD5运算,产生一个消息摘要MD1。比较MD和MD1,如果相同,将合成密文C放入仓库,否则不与入库。
(4)数据解密:对于有权访问核心数据的用户,系统将向其提供RSA私钥,访问时首先从数据检出合成密文C,将C分解成Cm和Ck;并用系统提供的RSA私钥对Ck解密得到密钥K,用密钥K对Cm解密得到明文M。
三、小结
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。本文提出的这种信息系统安全的解决方案,已成功应用于系统的设计和开发实践,与应用系统具有良好的集成。当然这种方案并不一定是最好或最合理的保证信息系统安全的解决方案。但希望能够抛砖引玉,使各位同仁在此类问题上找到更合理更安全的解决方案。
参考文献:
[1]向模军.基于QFD的新产品开发决策支持系统研究与实现[C].硕士论文.成都:电子科技大学,2007
[2]唐成华,陈新度,陈新.管理信息系统中多用户权限管理的研究及实现[J].计算机应用研究,2004,21(3):217-219
[3]祖峰,熊忠阳,冯永.信息系统权限管理新方法及实现[J].重庆大学学报:自然科学版,2003,26(11):91-94
[4]陈汇远.计算机信息系统安全技术的研究及其应用[C]:硕士论文.北京:铁道部科学研究院,2004
关键词:椭圆曲线;无线网络;数字签名;混合密钥
中图分类号:TP309文献标识码:A文章编号:1009-3044(2008)25-1596-03
The Applications of Elliptic Curves Digital Signature on the Wireless Network
XIAO Lei1, CHEN Rong-shang2
(1.Depatment of Computer, Xiamen University of Technology, Xiamen 361024, Chian; puter Center, Xiamen University of Technology, Xiamen 361024, China)
Abstract: The paper introduces a schemes about digital signature technology of mix-key. ECC digital signature Algorithm is applied to schemes. Through an example of the signature and verification process shows that the schemes is possible on the wireless terminal having weak processing capacity, guarantee the safety and integrity of data in wireless communication environment.
Key words: elliptic curves; wireless network; digital signature; mixed cryptographic key
1 引言
随着3G技术的逐渐成熟和推广,越来越多的用户接受这一技术并使用它,3G业务将不再局限于简单的通话和传递短信这样一些基础业务,用户将使用它来完成更多的操作,如移动银行,移动炒股,移动缴费等等;然而在移动通信网络中,移动站(MS,Mobile Station)与固定网络之间的所有通信都是通过无线接口来传输的,而无线接口是开放的,任何人只要有适当的接收设备就可以对其进行攻击。在个人通讯系统中,无线开放访问会在移动终端和有线网的无线连接处暴露通信的内容[5]。这种开放性,提供给入侵者获取伪装成合法用户查看数据的机会。面对这种状况,移动设备中传输的信息的安全性将受到一定的考验,由于设备存储容量小,CPU运算能力差。必须选择一种合适的安全手段来保证无线网络中的数据的安全性。
2 安全方案
要保证无线环境中的数据的安全性,一是保证数据在传输过程中不被第三方识别,其次是保证通信双方身份认证的真实可靠性。针对无线网络环境中的数据的安全性需求,本文采用基于混合密钥的数字签名技术来保证安全性要求。该技术能够保证网络中发送方的抗否认性,接收方的不可抵赖性,以及数据的完整性。数字签名是基于公钥密码体制的网络安全技术;第六届国际密码学会议对应用于公钥密码系统的加密算法推荐了两种:基于大整数因子分解问题(IFP)的RSA算法和基于椭圆曲线上离散对数计算问题(ECDLP)的ECC算法。RSA算法的特点之一是数学原理简单、在工程应用中比较易于实现,但它的单位安全强度相对较低,它的破译难度基本上是亚指数级的;ECC算法的数学理论非常深奥和复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高。它的破译或求解难度基本上是指数级的。具有安全性高、密钥量小、灵活性好的特点。关于RSA与ECC同等安全长度下的密钥长度160位ECC与1024位RSA和1024位离散对数系统的计算开销的比较[3]。如果应用到内存较小,存储器存储容量不足,计算能力弱时,处理速度慢的无线终端时,RSA则会受到内存容量的限制,ECC则不然,其密钥长度短的优点会显示出RSA无法比拟的优越性。其优点如下:
1) 安全性能更高:攻击有限域上的离散对数问题的方法有指数积分法,其运算复杂度为 ■, 其中p是摸数,是素数。但是这种方法对椭圆曲线的离散对数问题并不有效; 如160位ECC与1024位RSA、DSA有相同的安全强度;
2) 计算量小,处理速度快,在私钥的处理速度上(解密和签名),ECC远比RSA、DSA快得多;
3) 存储空间占用小,ECC的密钥尺寸和系统参数与RSA、DSA相比要小得多,所以占用的存储空间小得多;
4) 带宽要求低,使得ECC具有更广泛的应用前景;
5) 算法灵活性好:在有限域一定的情况下,其上的循环群就定了,而有限域的椭圆曲线可以通过改变曲线的参数,能够得到不同的曲线,从而形成不同的循环群。因此,椭圆曲线具有丰富的群结构和多选择性。正是由于它具有丰富的群结构和多选择性,并可在RSA/DSA体制中同样安全性的前提下大大缩短密钥的长度。椭圆曲线具有安全性高,密钥量小、算法灵活性好等特点,而无线终端由于其存储量小,处理速度慢等特点,因此,椭圆曲线的加密算法非常适合于应用到无线加密技术中[2,4]。
3 数字签名过程
本文以一个汽车用户通过手机缴纳养路费的过程为例,来说明数字签名的整个实现过程。移动网络环境基本的网络结构图如图1所示,从图中可以看出交费涉及到三方:用户U、运营商M、稽查局G,用户通过手机短信或者语音的方式提交养路费,本文以短信为例,短信的发送都分为两部分,一部分是发送,在手机用户发送短信时,这部分是上行短信;一部分是确认,在手机用户发送短信时,这部分是下行短信。
■
图1 养路费手机服务平台系统网络结构图
这里就以用户执行一次交费操作为例来讨论用户和运营商之间数字签名的实现过程。
3.1 生成数字签名的过程
用户U ■ 运营商M
用户首先需要向运营商传送一个交费信息D(信息D包含交费车辆车牌号、交费金额、交费时间的字符串)本文就用户和运营商之间的信息传递过程做一个详细的介绍。
1) 用户U将要发送的信息通过MD5的单向函数生成数字摘要D1,采用椭圆曲线的加密算法用私钥加密D1生成用户U的数字签名Sg1;
2) 用户U利用对称加密算法(DES)加密要发送的消息EData;
3) 用户将Sg1和EData发送给接收方。
具体操作过程如下:
Sg1(数字签名),EData
用户U■运营商M
从该签名过程我们发现,本方案不仅采用的椭圆曲线的加密算法来完成信息的数字签名,为了保证数据在传输过程中的安全性,使得在网络中传输的数据是以密文的方式传输,采用了 DES加密算法来加密传输的数据。采用Diffie-Hellman在椭圆曲线上的密钥交换方法来实现收发双方对称密钥的传递,该密钥传递的过程如下:
(1) 构建一个椭圆曲线方程:这里的椭圆曲线是定义在二进制域上的椭圆曲线,需要确定六个参量:T=(p,a,b,G,n,h)。(其中a,b,p是用来确定椭圆曲线方程Y2+XY=X3+aX2+b,G为基点,n为点G的阶,h是椭圆曲线上所有点的个数m与n相除的整数部分)参量值的选择,直接影响了加密的安全性。参量值一般要求满足以下几个条件:一是p越大越安全,但越大,计算速度会变慢,200位左右可以满足一般安全要求;二是p≠n×h;pt≠1(mod n),1≤t
2) 用户U选取一个整数Na(Na
3) 接收方运营商也采用类似的方法选取自己的私钥Nb和公钥PB。
4) 发送方和接收方分别由K=NaPB,K=NbPA产生出双方共享的秘密钥。
5) 通过上面的几个步骤,就得到了通信双方共同的对称密钥K,该密钥匙k用来作为对称加密算法的密钥,如果攻击者想获得K,则必须通过PA和G求出Na,或由Pb和G求出Nb,这就需要求解椭圆曲线上的离散对数,因此是不可行了。
3.2 基于椭圆曲线的数字签名实现过程
算法描述:
用户U需要对向运营商M发送的信息进行数字签名,签名过程如下所示例:
用户U方的过程:
1) 确定安全的单向散列函数,本系统中选择的是MD5算法的单向散列函数,定义椭圆曲线方程,在上一部分已经做了详细的介绍,也就是确定参数 T=(p,a,b,G,n,h);
2) 建立密钥对(d,Q),其中d是私钥,Q=dG是公钥;
3) 假设接收方运营商已经通过安全的方式获得了公钥Q,并且双方事先已经约定了使用的单向散列函数即为MD5的单向散列函数;
4) 进行签名操作。
生成签名的过程:
1) 选择一个随机或伪随机数K,1
2) 计算KG=(X1,Y1), r=X1 mod n,若r=0,则转步骤一;
3) 计算K-1mod n,e=md5(M),其中M是明文;
4) 计算S=K-1(e+dr)(mod n),若S=0则转步骤一;
5) 利用DES加密算法对M进行加密,得到密文EData;
6) 输出签名(r,S)和密文EData。
验证签名的过程:
运营商M收到用户U发过来的密文EData和签名(r,S)后,做以下操作:
1) 验证r和S是(1,n-1)间的整数;
2) 利用Diffie-Hellman密钥交换过程得到了对称密钥,通过对称解密算法对密文Edata进行解密得到明文M;
3) 计算E=MD5(M),W=S-1(mod n);
4) U1=EW(mod n),U2=rW(mod n);
5) 计算X=U1G+U2Q=(X1,Y1),令V= X1 mod n;
6) 如果r=V则接受签名。
上面的过程仅仅介绍了互相通信的三方中其中两方的单向信息的传递过程,在实际的应用中,涉及到交易的三方都需要使用该数字签名技术,但是由于它们的实现过程基本上相同,只是所传输的短信内容不同,所以这里就不详细介绍。
4 安全性和有效性分析
本文提出了基于混合密钥的思想在移动设备上实现数字签名,在数据发送的过程中虽然实现了两次加密,由于采用了Diffie-Hellman的密钥交换过程,所以只需要一次交换就能实现对称密钥和非对称密钥的获取,并且通过这种方式,即实现了身份认证,同时还保证了数据的安全性和完整性。在签名过程中增加了时间戳标志,安全分析表明该方案可以防止扮演攻击、重播攻击和中间人攻击,并具有反拒认特性。
信息技术发展到现在,在无线设备方面,智能卡已经得到了很大的发展,对于在智能卡上进行信息的加密和解密已经成为现实,同时,在加密技术方面,椭圆曲线的加密算法已经非常的成熟,并且已成功的运用到移动电子商务中[1],因此,在移动设备上实现基于的椭圆曲线的数据签名技术是有效的。
参考文献:
[1] Stapleton J, Doyle P, Esquire S.T. The Digital Signature Paradox.Systems,Man and Cybernetics (SMC) Information Assurance Workshop,2005.Proceedings from the Sixth Annual IEEE 15-17 June 2005 Page (s):456-457.
[2]Milker V S. Use of Elliptic Curves in Cryptogmphy.Advances in Cryptology Crypto 85,Lecture Notes in Computer Science,Springer-Verlag,1980(128):417-426.
[论文摘 要]电子商务是新兴商务形式,信息安全的保障是电子商务实施的前提。本文针对电子商务活动中存在的信息安全隐患问题,实施保障电子商务信息安全的数据加密技术、身份验证技术、防火墙技术等技术性措施,完善电子商务发展的内外部环境,促进我国电子商务可持续发展。
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙主要是加强网络之间的访问控制, 防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要、dts 收到文件的日期与时间和dis 数字签名,用户首先将需要加时间的文件用hash编码加密形成摘要,然后将该摘要发送到dts,dts 在加入了收到文件摘要的日期和时间信息后再对该文件加密,然后送回用户。
二、电子商务安全防范措施
网络安全是电子商务的基础。网络安全防范技术可以从数据的加密(解密)算法、安全的网络协议、网络防火墙、完善的安全管理制度、硬件的加密和物理保护、安全监听系统和防病毒软件等领域来进行考虑和完善。
1.防火墙技术
用过internet,企业可以从异地取回重要数据,同时又要面对 internet 带来的数据安全的新挑战和新危险:即客户、推销商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和工业间谍的入侵。因此,企业必须加筑安全的“壕沟”,而这个“壕沟”就是防火墙.防火墙系统决定了哪些内容服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过,而且防火墙本身必须能够免于渗透。
2. vpn技术
虚拟专用网简称vpn,指将物理上分布在不同地点的网络通过公用骨干网联接而形成逻辑上的虚拟“私”网,依靠ips或 nsp在安全隧道、用户认证和访问控制等相关技术的控制下达到与专用网络类同的安全性能,从而实现基于 internet 安全传输重要信息的效应。目前vpn 主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.数字签名技术
为了保证数据和交易的安全、防止欺骗,确认交易双方的真实身份,电子商务必须采用加密技术。数字签名就是基于加密技术的,它的作用就是用来确定用户是否是真实的。数字签名就是通过一个单向哈希函数对要传送的报文进行处理而得到的用以认证报文是否发生改变的一个字母数字串。发送者用自己的私钥把数据加密后传送给接收者,接收者用发送者的公钥解开数据后,就可确认消息来自于谁,同时也是对发送者发送的信息真实性的一个证明,发送者对所发信息不可抵赖,从而实现信息的有效性和不可否认性。
三、电子商务的安全认证体系
随着计算机的发展和社会的进步,通过网络进行的电子商务活动当今社会越来越频繁,身份认证是一个不得不解决的重要问题,它将直接关系到电子商务活动能否高效而有序地进行。认证体系在电子商务中至关重要,它是用户获得访问权限的关键步骤。现代密码的两个最重要的分支就是加密和认证。加密目的就是防止敌方获得机密信息。认证则是为了防止敌方的主动攻击,包括验证信息真伪及防止信息在通信过程被篡改删除、插入、伪造及重放等。认证主要包括三个方面:消息认证、身份认证和数字签名。
身份认证一般是通过对被认证对象(人或事)的一个或多个参数进行验证。从而确定被认证对象是否名实相符或有效。这要求要验证的参数与被认证对象之间应存在严格的对应关系,最好是惟一对应的。身份认证是安全系统中的第一道关卡。
数字证书是在互联网通信中标志通信各方身份信息的一系列数据。提供了一种 internet 上验证用户身份的方式,其作用类似于司机的驾驶执照或身份证。它是由一个权威机构ca机构,又称为证书授权(certificate authority)中心发行的,人们可以在网上用它识别彼此的身份。
四、结束语
安全实际上就是一种风险管理。任何技术手段都不能保证100%的安全。但是,安全技术可以降低系统遭到破坏、攻击的风险。因此,为进一步促进电子商务体系的完善和行业的健康快速发展,必须在实际运用中解决电子商务中出现的各类问题,使电子商务系统相对更安全。电子商务的安全运行必须从多方面入手,仅在技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
参考文献:
[1] 劳帼龄.电子商务的安全技术[m].北京:中国水利水电出版社,2005.
[2] 赵泉.网络安全与电子商务[m].北京:清华大学出版社,2005.