青島酒店管理職業(yè)技術學院 陳姍 江云濤

人類進入21世紀，信息化浪潮己經席卷了地球的每一個角落。網絡改變了傳統(tǒng)的事務處理方法，給我們提供了前所未有的便捷和無限的發(fā)展空間，電子商務隨之成為商務活動的新模式。所謂電子商務(EC,Electronic Commerce)是以開放的網絡環(huán)境為基礎，在計算機系統(tǒng)支持下進行的商務活動。但是由于互聯(lián)網本身的開放性，使網上交易面臨著種種危險。

1 電子商務的安全需求

電子商務發(fā)展到今天，面臨著越來越嚴重的威脅和攻擊，據統(tǒng)計，網絡數據被竊取和破壞造成的直接經濟損失每年至少有幾十億美元。一般情況下，電子商務安全中容易出現：竊取信息、篡改信息、假冒信息、交易抵賴等問題。因此，電子商務應用中的主要安全要素有如下三點：

1.1 保密性

保密性是指信息的擁有者有權保持數據的秘密性，只有得到授權的用戶才可以獲得該信息。電子商務是建立在開放的網絡環(huán)境上的,維護商業(yè)機密是電子商務全面推廣應用的重要保障。因此,預防非法的信息存取和信息在傳輸過程中被非法竊取是十分必要的。

1.2 完整性

完整性是指程序和數據的存在狀態(tài)應該保持不變，信息不能在傳輸過程中被非法修改。電子商務簡化了貿易過程,減少了人為的干預,同時也帶來維護貿易各方商業(yè)信息的完整、統(tǒng)一的問題。由于數據輸入時的意外差錯或欺詐行為,可能導致貿易各方信息的差異。因此,通信過程中必須保證數據的完整性，避免信息的隨意生成、修改和刪除。

1.3 不可否認性

不可否定性是指用戶不能否認自己的行為，電子商務中保證電子訂單等商務信息的不可否認性，即：電子商務系統(tǒng)應能有效防止商業(yè)欺詐行為，保證商業(yè)信用和行為的不可否認性，保證交易各方對已做交易無法抵賴等等。

在實現以上三個安全要素的過程中，數字簽名起到了至關重要的作用，是電子商務安全中最核心的技術。

2 數字簽名的概念

在傳統(tǒng)交易過程中，通常交易雙方采用親自手書簽名來保證文件的可靠性及法律效力。如果通過網絡進行交易，就需要設計一種能夠代替交易雙方親自手書簽字的方案，同時又滿足交易的不可否認性、交易雙方身份的確認性和訂單的不可修改性，這就需要數字簽名技術。

數字簽名是相對于傳統(tǒng)的手書簽名而言的，具體做法是使用與交易方約定的加密算法將要發(fā)送的數據加密之后，生成一段報文摘要，附加在發(fā)送的原文上一起發(fā)送給對方。 這一段摘要就相當于書面合同中的簽名或蓋章，接收方收到后，利用約定的算法進行驗證，來確定文件的真?zhèn)巍?/p>

因此，一個安全有效的數字簽名方式必須滿足以下要求:一是要保證簽名安全有效 ,即簽名的惟一性；二是發(fā)送方發(fā)出簽名的消息給對方后, 簽名者不可抵賴他所簽發(fā)的消息;三是保證對方已收到的簽名消息是不能否認的;四是與簽名聯(lián)系的信息必須明確簽名，不可被第三者偽造;五是交易雙方以外的其他人員可以接收收發(fā)方之間的消息傳送,但不能偽造這一過程。

3 數據簽名的原理與實現

數據簽名的實現技術有多種，目前商務活動中采用比較多的是對稱加密技術和非對稱加密技術。

3.1 對稱加密技術實現數字簽名

對稱式加密技術中加密和解密一般來說使用同一個密鑰，即使加密解密過程使用不同密鑰，這兩種密鑰也可以比較方便地互相推導出來。使用對稱加密技術的簽名長度比較大，一般操作過程中需要先對報文摘要進行壓縮，然后再進行簽名，以便得到一個比較適合傳輸的簽名。

由于對稱加密技術對于報文摘要是進行逐位簽名的，所以報文中任意一位的改動，接收方都可以檢測到，所以這種加密技術安全性還是比較高的，但是這種高的安全性僅限第一次使用的時候，如果相應的密鑰和驗證信息使用多次的話，交易將會變得十分不安全，這種情況是由于對稱加密技術在進行加密和解密時使用同一個密鑰造成的。鑒于對稱加密技術的這一特點，基于它的簽名一般用于孤立單一的交易環(huán)境中，比如銀行交易中自動提款系統(tǒng)ATM，用戶需要輸入屬于用戶的單一密碼，銀行確認后在此基礎上再進行交易。如果是和大量不同用戶進行交易的電子商務活動，保證大量密鑰的安全性是一個難題，所以對稱加密技術一般不能使用于大范圍的交互的商務交易活動。

3.2 非對稱加密技術實現數字簽名

非對稱加密技術即通常所說的公鑰密碼技術，公鑰密碼算法指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法，這兩個密鑰存在互相依存關系，即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。若以公鑰作為加密密鑰，以用戶專用密鑰(私鑰)作為解密密鑰，則可實現多個用戶加密的信息只能由一個用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現由一個用戶加密的信息而由多個用戶解讀。前者可用于數字加密，后者可用于數字簽名。

在文件傳送過程中，報文的發(fā)送方將要傳送的明文按雙方約定的報文摘要算法計算得到一個報文摘要,該摘要由一個單向HASH函數作用于報文產生,一般是一個從報文文本中生成一個128位的散列值。發(fā)送方用自己的私鑰對這個散列值進行加密來形成發(fā)送方的數字簽名。然后,這個數字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。接收方收到有數字簽名的報文后,用同樣的報文摘要算法對原明文計算得到明文摘要,同時用發(fā)送者的公開密鑰解密數字簽名得到另一個摘要值,將二者進行比較,如果相等，則說明報文確實來自所稱的發(fā)送者且可以確信簽名后未被修改過,簽名被確認；如果不同,則簽名被否認，數據認為無效。

利用公鑰算法進行簽名的過程中產生的報文摘要對于原文來說是一個惟一的值,任何一點對原文細微的改動都會使產生的報文摘要不同，基于以上原理，任何擁有發(fā)送方公鑰密鑰的接收方都可以驗證簽名的正確性，同時可根據報文摘要檢驗報文在傳輸過程中是否被篡改過,保證了報文的數據完整性。同時，由于發(fā)送方對私鑰的保密性，同一個人對不同的報文產生的簽名也不同，使得接收方接到報文后即無法對報文進行篡改也無法偽造報文的數字簽名。

鑒于公鑰密碼技術的以上特點，基于它的數字簽名可以滿足大范圍的交易活動，例如銀行系統(tǒng)在傳送電子支票的過程中，接收方是無法對支票的數額等重要信息進行改動的，同時銀行在面對大量客戶的情況下，也能保證交易的安全進行。

4 數字簽名在電子商務中的應用

電子商務中使用了數字簽名后，可以有效地解決電子商務安全中出現竊取、篡改、假冒、交易抵賴等問題。數字簽名在電子商務中主要的幾點應用如下：

4.1 驗證數據的完整性

數字簽名過程中產生的報文摘要是一個惟一對應此報文的值,任何一點細微的改動都會使再次產生的報文摘要不同，因此用報文摘要可以檢查報文在中途是否被篡改,這樣就驗證了報文數據是否完整。所以，使用了數字簽名技術的電子交易可以保證文件的完整性。

4.2 驗證簽名者的身份

數字簽名過程中要求信息發(fā)送方使用自己的私鑰對發(fā)送的信息進行加密的，只有持有私鑰的人才能對數據進行簽名，因此只要密鑰沒有被竊取，接受方收到信息解密成功后就可以肯定該數據是用戶簽發(fā)的，這樣就保證了電子交易中簽名者的身份驗證。

4.3 防止交易中的抵賴行為

當出現交易糾紛時，信息接收方可以將加了數字簽名的信息提供給認證方，由于帶有數字簽名的信息是由發(fā)送方的私鑰加密生成的，是其他人不可假冒的。因此認證方使用公鑰對接收方提供的信息解密后，即可判斷發(fā)送方是否出現了抵賴行為，所以數字簽名保證了電子商務交易的不可抵賴性。

數字簽名技術在電子商務領域中實現了傳統(tǒng)意義上簽名的功能，能夠做到放偽造、防假冒、不可抵賴等功能。電子商務領域使用了數字簽名以后即保證了交易的快捷，又保證了交易的安全性。

5 電子商務中數字簽名的問題與發(fā)展前景

數字簽名經過多年的研究后，思想已經比較成熟，也提出了很多比較可靠的可選方案，但是這些方案大都和實際應用有一定的距離。面對實際商務活動中的各種各樣的需求，現存的數字簽名方案難以達到十全十美的安全保障。

數字簽名有多種算法,應用最為廣泛的三種是: Hash算法、DES算法、RSA算法。但以上這三種算法或多或少都存在缺陷,或者沒有成熟的標準。其中Hash算法采用的是對稱加密技術，基于它的數字簽名雖然速度較快,但比較容易被攻破,存在偽造簽名的可能。使用這種算法進行交易時，如果中央計算機或是用戶計算機有一個被攻破，那么交易的安全性就無法保證了。

與Hash簽名不同的，DES和RSA算法采用了公鑰算法,所以它們產生簽名的密鑰只存在于用戶的計算機中，這樣大大提高了簽名的保密性、降低了密鑰被攻破的可能。DES算法運算速度相對較快，但是安全性還是比較低，較難達到簽名的安全要求。RSA是目前所知的最安全的算法，它采用了非對稱密鑰，加密密鑰和解密密鑰之間不能互相推導。但該算法的核心運算是取模和數乘運算,加密解密花費時間長達DES算法的1000倍，所以只適合小規(guī)模數據的加密，計算時間長制約了RSA算法的發(fā)展。但是與計算時間相比，安全性在商務交易中更為重要，所以RSA算法是迄今為止電子商務中使用最多的一種算法，隨著計算機硬件技術的不斷發(fā)展，相信RSA算法的計算時間會大大縮短。

安全是電子商務的核心和靈魂，沒有安全保障的電子商務是沒有出路的，數字簽名技術是實現電子商務交易安全的核心保障技術。正因為有了數字簽名，才有今天電子商務的發(fā)展。

我國頒布實施的《中華人民共和國電子簽名法》確認了數字簽名的法律效力，并對電子商務認證機構、電子簽名的安全性、簽名人的行為規(guī)范、電子交易中的糾紛認定等一系列問題做出了明確的規(guī)定。這一法案為數字簽名技術提供了法律保障和行業(yè)準則，同時使得融入了數字簽名的電子商務有了安全的保障，隨著互聯(lián)網的日益普及，電子商務勢必將會有更廣闊的發(fā)展前景。

[1]戴銀華.網絡安全綜合評價技術研究[D].天津大學,2008.

[2]原亞東.可信電子商務體系研究[D].重慶大學,2008.

[3]謝志慧,馬雪.對電子商務安全問題及安全技術的若干思考.黑龍江科技信息,2010.

[4]冷健.PKI原理與技術[M].北京:清華大學出版社,2004.