电子商务中数字签名技术的应用

电子商务中数字签名技术的应用

数字签名技术意味着将发送者的个人信息加密到发送者的个人密钥中，完成信息的签名。信息接收者使用发送者的密钥来解释接收到的信息，并使用发送者发送的信息进行格式验证，以确保信息发送者身份的合法性和信息的完整性。1签名方法1.1公钥密码技术的应用目前数字签名是建立在公钥加密体制的基础之上的,公钥加密是非对称加密技术的另一类应用,非对称加密技术又被称作是公钥密码技术,它对信息的加密和解密使用不同的密钥,用来加密的的密钥是可以公开的公钥,而用来解密的私钥是需要保密的私钥,用来加密的公钥(PulicKey)与解密的私钥((PrivateKey)是与数学密切相关的,加密密钥与解密密钥是成对出现的,但是不能通过加密密钥推算出解密密钥,公钥密码技术对电子商务的发展起了很大的促进作用。1.2原信息的数字签名数字签名是建立在公钥加密的基础之上的,是非对称加密技术的应用,首先利用哈希(Hash)函数对文件中的若干重要元素进行变换运算得到固定长度的摘要码,再利用发送者的私钥加密,再将生成的结果附加在原信息基础之上,就形成了原信息的数字签名。接收者在收到源信息和数字签名信息以后,用发送者的公钥解密得到数字摘要,同时将原信息通过HASH算法生成新的数字摘要,将这两个数字摘要进行对比,若得到的结果与发送者的数字摘要相同,则可以判断文件自发送者发送到接受者收到为止未做过任何修改,否则文件就是被伪造的或者是已经被修改,因为数字摘要是有固定长度的,不同的明文转换成密文,其结果是不同的,而相同的明文其摘要必定是一致的,这样数字摘要便可以成为验证明文是否是“真身”的指纹了。1.3哈希算法Hash算法又称为散列算法或报文摘要,Hash算法并不是加密算法,但却能产生信息的维护数据的完整性。2数字签名功能将数字签名技术应用于电子商务中,可以解决数据的否认、伪造、篡改及冒充等问题,其主要用途有三个方面:2.1篡改或改变获取信息的篡改这个功能能保证信息自签发后到收到为止没有做任何修改。因为当两条信息摘要完全相同时,可以确信这两条信息的内容完全一样。因此,可以通过将信息发送前生成的信息摘要与接收后生成的信息摘要进行对比,来判断信息在传输过程中是否被篡改或改变。由于信息摘要在发送之前,发送方使用私钥进行加密,其他人要生成相同加密的信息摘要几乎不可能,于是,接受方收到信息后,可以使用相同的函数变换,重新生成个新的信息摘要,将接收到的信息摘要解密,然后进行对比,从而验证信息的完整性。2.2式的私钥签名此功能证明信息是由签名者发送的。因为数字签名中,是使用公开密钥加密算法,信息发送方是使用自己的私钥对发送的信息进行加密的,只有持有私钥的人才能对数据进行签名,所以只要密钥没有被窃取,就可以肯定该数据是用户签发的。信息接收方可以使用发送方的公钥对接受到的信息进行解密,因而,接收方一旦解密成功,就完全可以确认信息是由发送方发送的,同时也证实了信息发送方的身份。2.3电子商务服务的认证方是公钥对数据提供的保密认证当交易中出现抵赖行为时,信息接收方可以将加了数字签名的信息提供给认证方,由于带有数字签名的信息是由发送方的私钥加密生成的,其他任何人不可能产生这种信息,而发送方的公钥是公开的,任何人都可以获得他的公钥对信息解密。这样认证方可以使用公钥对接收方提供的信息解密,从而可以判断发送方是否出现抵赖行为。由以上论述可知,在电子商务系统的安全服务中的身份验证、数据完整性服务和不可否认服务,都要用到数字签名技术。数字签名在电子商务中有如下功能:发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、交易中的某一用户不能冒名另一用户作为发送者或接收者。数字签名技术具有良好的防伪造、防篡改、防拒认的功能,在电子商务领域中实现了传统意义上签名的功能,已经成为保障电了商务安全交易的关键技术之一。3数字签名安全1)利用数据加密技术。数据加密技术是将明文采取数学方式转换成为密文,只有特定接收方才能将其解密还原成为明文的过程。数据加密及其相关技术应用可有效解决电子商务交易中信息的完整性、不可抵赖性和交易身份确定性等问题。2)利用数字签名技术。数字签名是附加在信息上并随着信息一起传送的一串代码,与普通手写的签名作用类似,数字签名可以保证信息传输过程中的信息完整性,以及提供信息发送者的身份认证和不可抵赖性。数字签名的实现是利用哈希函数(Hash)和RSA公开密钥算法来完成的。其中Hash签名是最主要的数字签名方法,也称之为数字摘要法、数字指纹法。将一个商务合同的个体内容与签名结合在一起,比合同和签名分开传递,更增加了可信度和安全性。3)利用认证技术。认证技术是保证电子商务安全的重要因素之一。认证分为实体认证和信息认证。前者指对参与通信实体(指参与通信的个人、客户程序服务程序等)的身份认证:后者指对信息进行认证并确定其合法性,发生在信息接收者收到信息后。总之,现有的电子商务的安全技术并不是无懈可击的。操作系统的漏洞,管理人员的疏漏,都有可能造成安全漏洞。而加密