基于RSA的数字签名技术在电子商务中的应用

(1.陕西理工学院 计算机系,陕西 汉中 723000;2.西安工业大学 计算机科学与工程学院,陕西 西安 710021)

摘要:随着Internet的普及和电子商务的快速发展,安全问题已经成为电子商务生存和发展的核心问题。数字签名技术在保证商务数据的完整性、机密性和不可否认性方面起着极为重要的作用。该文介绍了数字签名技术的原理以及在电子商务安全中的应用,同时也指出了数字签名技术存在的问题和未来的发展方向。

关键词:电子商务;数字签名;数字摘要;公钥加密体制

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)28-7999-02

Application of Digital Signature Technology Based on RSA in E-Commerce

LU Qiu-ju1, SU Xiao-hui2

(1.Shaanxi University of Technology Computer Science and Technology Department, Hanzhong 723000, China; 2. Xi'an University of Technology Computer Science and Engineering School, Xi'an 710021, China)

Abstract: With the Internet's popularity and the rapid development of e-commerce, security has become a core issue of the survival and development of E-commerce. Digital signatures technology in ensuring the integrity of business data, confidentiality and non-repudiation plays an extremely important role. This paper introduced the principle of digital signature technology, as well as the application in e-commerce security, but also pointed out that the digital signature technology problems and future development direction.

Key words: E-commerce; Digital signatures; Digital Digest; Public-key cryptosystem

随着网络商务时代的全面到来,网络的开放性与共享性为企业和用户带来便利的同时,网络的安全性也越来越成为电子商务活动的必须关注点。在开放的网络平台上,人们从面对面的交易和作业,变成网上互不见面的操作、没有国界、没有时间限制,就产生了更大的安全隐患。尤其电子商务作为极具价值的敏感信息之一,直接关系到电子商务主体单位的商业秘密及个人的经济利益,因此保证电子商务环境中数据的安全及交易实体的身份确认是电子商务纵深发展的瓶颈之一,可以说电子商务活动最关键的问题是安全性问题。故而,交易信息安全技术应运而生,其中数字签名[1]是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法,具有抗否认、防伪造、防篡改及防冒充等功能。本文主要介绍基于公钥加密机制的数字签名技术及其在电子商务中的应用。

1 电子商务中的安全性需求

安全性是电子商务中的一个核心问题。如何采取高效安全的措施保证电子商务的顺利展开,是电子商务良好运作的重要基础和关键因素。目前电子商务面临的安全问题主要包括系统的中断与瘫痪、信息被篡改与伪造、对交易行为进行抵赖等方面,从逻辑上看可以分成底层的物理系统安全(即计算机网络系统的安全)与上层业务逻辑系统安全(即电子商务的交易安全)。其中电子商务交易安全是指电子商务易活动过程中信息的安全性,其交易活动中信息的安全要求主要包括:

1)数据完整性:传输过程必须保证数据完整。

2)数据一致性:防止数据传输过程中交易信息的丢失或重复,并保证信息传递次序的统一。

3)数据保密性:应保证交易过程中数据的保密,确保合法用户的隐私不被侵犯等。

4)抗否认性:应防止商业信用和行为的抵赖,保证交易各方对已做交易无法否认。

5)身份确认性:确保电子商务中交易双方身份的可靠性及合法性,如:实现系统对用户身份的有效确认;对私有密钥和口令进行有效保护;防止假冒身份在网上交易欺诈等等。

2 数字签名技术

数字签名在ISO7498-2中的标准定义为:“附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种变换允许数据单元的接受者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人进行伪造”。由于在电子商务中交易双方尚未建立起完全的信任关系,当他们之间发生利益冲突的时候,单纯的数据加密、消息认证就显得不够了,数字签名技术则可以有效地解决这一问题,起到与书写签名或印章相同的法律效用。即发方(收方)事后不能否认自己的签名;收方能验证签名,其他人不能伪造签名;当双方关于签名发生纠纷时,第三方能解决双方的纠纷;数字签名技术首先要做的工作就是消息摘要,而单向杂凑函数(Hash函数)是生成消息摘要的快速加密算法。

2.1 Hash函数

单向杂凑函数(Hash函数)是一种公开的、不使用密钥的、不可逆运算的函数。函数的输入是可变大小的消息,输出是固定大小的消息摘要(一般为128bit的字符串),消息摘要具有错误检测能力。这种消息摘要我们可以近似地理解为是一篇文章的主题词,通过这个主题是不能推算出全文的,这是其不可逆运算性;如果这个消息的内容稍微动了一个或两个字,此时利用Hash算法推算出的消息摘要也是不同的,这是唯一性。因此,Hash函数可以用来提供验证消息完整性的服务。

2.2 公钥加密体制

公钥密码体制的思想是在1976年由Diffie和Hellman提出,公钥加密体制也称为非对称密钥加密体制。公钥加密体制使用一对密钥,其中加密密钥和解密密钥并不相同,而且不可能很轻易地从加密密钥推导出解密密钥,用其中一把密钥加密,就只能用另一把密钥解密。其算法主要有RSA、DSA、Diffie-Hellman等。

RSA是第一个既能用于数据加密也能用于数字签名的算法,是目前网络上进行保密通信和数字签名的最有效成熟的安全算法。其安全性是基于数论中大素数分解的困难性。所以,RSA需采用足够大的整数。这个整数的因子分解越困难,密码就越难以破译,加密强度也就越高。但公钥算法加密速度比较慢,仅对传输很少量的数据有用,所以在数字签名中常和哈希算法结合使用。

2.3 数字签名技术的实现原理

数字签名的基础是密码技术,由于加密算法的不同,实现的方法有单项散列函数(HASH)签名、对称密钥系统签名、非对称密钥系统签名三种。基于RSA的数字签名被普遍认为是目前最优秀的非对称密钥数字签名方案之一。数字签名主要由数字签名与鉴定数字签名两部分组成,其完整过程如图1所示,首先对需数字签名的文件用哈希函数生成一段数字摘要,再用发送方的私钥对数字摘要签名,然后将其与原文打包发送,接收方收到文件与数字签名后,用发送方的公钥对数字签名进行解密得到数字摘要H2,并将收到原文用HASH算法求得数字摘要H1,最后验证比较H1和H2,如果相同,则说明在传输中文件没有被破坏或篡改,并且文件是由发送者发的。

3 数字签名技术在电子商务中的应用

为了确保安全交易,将对称加密算法和非对称加密算法结合使用,利用对称加密算法3DES来进行大容量数据的加密,而采用RSA等非对称加密算法来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理;在此基础上为有效防止交易过程中伪造,或冒用别人名义发送信息、篡改信息,或发出(收到)信件后否认抵赖等情况发生,将基于RSA数字签名应用于电子商务系统中的订单管理模块:如顾客在电子商务网站购买产品,则生成订单原文,顾客先用网站公钥对其加密生成订单密文,再对订单密文用自己的私钥进行数字签名,完成后将订单密文与签名传递给网站,网站对其进行签名认证,用顾客公钥进行解密得到订单密文后,再用自己的私钥对其解密,得到订单原文,从而完成网上购物。由于没有网站私钥,即便知道是哪一个顾客发送的数据,并用顾客公钥对其解密,得到的也只是订单密文, 无法得到订单原文;同样没有顾客私钥,即使途中对订单密文进行修改,再加密送给网站,也无法通过数字认证。因此,利用数字签名技术可以有效地达到电子商务系统中信息传递的保密性、完整性、认证性和不可否认性等要求,有效防止各种电子商务中的安全隐患,充分实现电子商务交易活动中的信息安全。

4 结束语

数字签名技术是信息安全领域的一项重要技术,它有效地解决了电子商务活动中的否认、伪造、篡改及冒充等问题。尽管数字签名技术还不够完善,如签名后的文件可能被接收者重复使用,公开密钥加密算法的效率比较低,不易用于长文件的加密等,但随着安全技术措施的不断改进、有关数字签名法律法规的进一步完善,相信数字签名技术也将不断成熟,为商务活动和人们的生活提供可靠、便利的服务。

参考文献:

[1] 肖存涛.数字签名技术与电子商务安全性研究[J].网络安全技术与应用,2005(7).

[2] 王玉奇.基于RSA的电子商务数字签名技术[J].经济师,2005(5).

[3] 陈风,张利萍.RSA算法及其在电子商务中的应用[J].铁路计算机应用,2003(6).

[4] 刘栋梁.陈艳萍.RSA密码体制在电子商务中的安全应用[J].大众科技,2005(11).

[5] 林枫.电子商务安全技术及应用[M].北京航空航天大学出版社,2001,17-44.

[6] 卿思汉.密码学与计算机网络安全[M].清华大学出版社,2001,15-30.