认证和数字签名技术

认证和数字签名技术

前言

Internet的迅猛发展使电子商务成为商务活动的新模式。电子商务包括管理信息MIS、电子数据交换EDI、电子订货系统EOS、商业增值网VAN等，其中EDI 成为电子商务的核心部分，是一项涉及多个环节的复杂的人机工程，网络的开放性与共享性也导致了网络的安全性受到严重影响。如何保证网上传输的数据的安全和交易对方的身份确认是电子商务是否得到推广的关键，可以说电子商务最关键的问题是安全问题，而数字签名(Digital Signatures)又是电子商务安全性的重要部分。

一、数字签名技术

1、数字签名的概念

数字签名是利用数字技术实现在网络传送文件时，附加个人标记，完成系统上手书签名盖章的作用，以表示确认，负责，经手等。

数字签名(也称数字签字）是实现认证的重要工具，在电子商务系统中是不可缺少的。

保证传递文件的机密性应使用加密技术，保证其完整性应使用信

息摘要技术，而保证认证性和不可否认性应使用数字签名技术。

2、数字签名的原理

其详细过程如下：

（1）发方A将原文消息M进行哈希（hash）运算，得一哈希值即消息摘要h（M）；（2）发方A用自己的私钥K1，采用非对称RSA算法，对消息摘要h（M）进行加密［E h（M）］，即得数字签名DS；

（3）发方A把数字签名作为消息M的附件和消息M 一起发给收方B；

（4）收方B把接收到的原始消息分成M’和［E h（M）］；

（5）收方B从Ｍ中计算出散列值h（M’）；

（6）收方B再用发方A的双钥密码体制的公钥K2解密数字签名DS得消息摘要

h（M）；

（7）将两个消息摘要h（M’）=h（M）进行比较，验证原文是否被修改。如果

二者相等，说明数据没有被篡改，是保密传输的，签名是真实的；否则拒绝该签名。

这样就作到了敏感信息在数字签名的传输中不被篡改，未经认证和授权的人，看不见原数据，起到了在数字签名传输中对敏感数据的保密作用。

3、数字签名的要求

数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同，

数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下三点：（1）接受者能够核实发送者对消息的签名。

（2）发送者事后不能抵赖对消息的签名。

（3）接受者不能伪造对消息的签名。

4、数字签名的作用

数字签名可以解决下述安全鉴别问题：

（1）接收方伪造：

（2）发送者或收者否认：

（3）第三方冒充：送或接收文件；

（4）接收方篡改

5、数字签名的种类

单独数字签名的安全问题、RSA签名体制、EIGamal签名体制、盲签名、双联签名、无可争辩签名。

（1）RSA 签名体制

它是基于求解一个大整数分解为两个大素数问题的困难性。

（2）ELGamal签名体制

它是基于求解有限域上的乘法群的离散对数问题的困难性。

（3）盲签名

一般数字签名中，总是要先知道文件内容而后才签署，这正是通常所需要的。但有时需要某人对一个文件签名，但又不让他知道文件内容，称为盲签名。（4）双联签名

在一次电子商务活动过程中可能同时有两个联系的消息M1和M2，要对它

们同时进行数字签名。

（5）无可争辩签名

无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。无可

争辩签名是为了防止所签文件被复制，有利于产权拥有者控制产品的散发。适用

于某些应用，如电子出版系统，以利于对知识产权的保护。

二、认证技术

1、认证的概念

身份认证是指用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份。数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的电子文档。

2、认证的主要目的

（1）信息的真实性

验证信息的发送者是真正的，而不是冒充的。

（2）信息的完整性

验证信息在传送过程中未被篡改。

（3）不可否认性

信息的发送方（接收方）不能否认已发送（收

到）了信息。

3、认证系统与认证中心

所谓认证系统是为了使接收者或第三者能够识别和确认消息的完整性的密码系统。

一个认证系统应满足的条件：

①接收者能够检验和证实信息的完整性；

②信息的发送者对所发送的信息具有不可否认性；

③其他人不能伪造合法的信息；

④必要时可由第三者作出仲裁。

（1）认证中心定义：CA机构，又称为证书授权中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。

CA机构应包括两大部门：

一是审核授权部门（Registry Authority，RA），作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

另一个是证书操作部门（Certificate Processor，CP），负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等。

（2）认证中心的作用：认证中心在密码管理方面的作用如下：

①自身密钥的产生、存储、备份/恢复、归档和销毁。

②提供密钥生成和分发服务。

③确定客户密钥生存周期，实施密钥吊销和更新管理。

④为安全加密通信提供安全密钥管理服务。

⑤提供密钥托管和密钥恢复服务。

⑥其他密钥生成和管理，密码运算功能。

（3）认证中心的职能

认证机构的核心职能是发放和管理用户的数字证书。

认证中心必须管理它所发的所有证书：

①用户能够方便地查找各种证书，包括已经撤销的证书；

②能够根据用户请求或其他信息撤销用户的证书；

③能够根据证书的有效期自动地撤销证书；

④能够完成证书数据库的备份工作；

⑤有效地保护证书和密匙服务器的安全。特别地保证认证中心的签名密匙

不被非法使用。