数字签名在移动电子商务中应用数字签名在移动电子商务中应用.docVIP

 PAGE 8 数字签名在移动电子商务中的应用 数字签名在移动电子商务中的应用 随着网络技术、通信技术的迅猛发展和相互融合，移动电子商务已显示出巨大的市场潜力，。移动电子商务作为一种全新的商务和服务方式，在给全球用户带来低成本和便利的同时，也带了大量的安全问题。安全性是移动电子商务能否取得成功的关键，由于移动网络设备所具有的局限性给解决问题带来了许多麻烦。此外在连接缝隙处及连接通信两端的协议之间还存在一些特殊的安全问题。解决以上问题的手段有很多，数字签名是比较常用且非常有效的一种方法。利用数字签名可以确认消息来源以及确保消息的完整性、真实性和不可否认性。以保证移动电子商务中的安全性要求。 1、数字签名技术 （1）数字签名的概念 数字签名（Digital Signatures）是一种附加在消息后的一些数据，它基于公钥加密基础，用于鉴别数字信息。一套数字签名通常定义了两种运算，一个用于签名,另一个用于验证。数字签名只有发送者才能产生，别人不能伪造这一段数字串。由于签名与消息之间存在着可靠的联系，接收者可以利用数字签名确认消息来源以及确保消息的完整性、真实性和不可否认性。 1）数据完整性 由于签名本身与要传递的消息之间是有关联的，消息的任何改动都将引起签名的变化，消息的接收方在接收到消息和签名之后经过对比就可以确定消息在传输的过程中是否被修改，如果被修改过则签名失效。这也显示出了签名是不能够通过简单的拷贝从一个消息应用到另一个消息上。 2）真实性 由于与接收方的公钥相对应的私钥只有发送方有，从而使得接收方或第三方可以证实发送者的身份。如果接收方的公钥能够解密签名，则说明消息确实是发送方发送的。 3）不可否认性 签名方日后不能否认自己曾经对消息进行的签名，因为私钥被用在了签名产生的过程中，而私钥只有发送者才拥有，因此只要用相应的公钥解密了签名，则可以确定该签名一定是发送者产生的。但是，如果使用对称性密钥进行加密，不可否认性是不被保证的。 （2）数字签名的作用 1）防冒充 其他人不能伪造对消息的签名，因为私有密钥只有签名者自己知道，所以其他人不可能构造出正确的签名数据。显然要求各方保存好自己的私有密钥，好象保存自己家门的钥匙一样。 2）可鉴别身份 由于传统的手工签字一般是双方直接见面的，身份自可一清二楚；在网络环境中，接收方必须能够鉴别发送方所宣称的身份，即接收者使用发送者的公开密钥对签名报文进行解密运算，如结果为明文，则签名有效，证明对方身份是真实的。 3）防篡改(防破坏信息的完整性) 签名数据和原有文件已形成了一个混合的整体数据，不可能篡改，从而保证了数据的完整性。 4）防抵赖 数字签名可以鉴别身份，不可能冒充伪造，那么，只要保存好签名的报文，就好象保存好了手工签署的合同文本，也就是保留了证据，签名者就无法抵赖。 （3）数字签名的签名过程 在形成数字签名之前，首先要利用Hash函数形成一个固定长的消息摘要H(M)。在形成消息摘要以后，发送者将采用哈希运算从明文中得到的定长的消息摘要，利用其私钥进行加密，最后将加密后的摘要连同明文一同通过Internet传送给接受者。在传出加密摘要的时候，同时传输的还有一个区块，指明了计算最初的摘要所使用的是哪种哈希算法。这就是数字签名的签名过程。 由于哈希函数的唯一性、单向性、公开性、输出长度固定、雪崩性，尤其是雪崩性，使得哈希函数对于保证数据完整性、避免信息在传递过程中被篡改或遭人删除时起着重要的作用。 （4）数字签名的验证过程 接收者在收到消息以后，会通过软件把明文文件和加密摘要分开，并从目录中找到和发送者的私钥相匹配的公钥，并利用发送者的公钥对摘要进行解密，恢复出最初的明文摘要。在传输加密摘要的时候，同时还传递了一个信息块，这个信息块指明了计算最初的摘要用的是哪种哈希算法。接收者将得到的明文消息用同样的哈希算法计算消息摘要，并与恢复出的明文摘要相比较，如果两个版本匹配，则接收者可以确定：该报文的作者是指定的发送者，消息在传送的过程中没有被修改。 （5）数字签名算法与安全性 1）数字签名算法 常用的数字签名方法主要有三种，分别是RSA 签名，DES 签名和Hash 签名。这三种算法可单独使用，也可综合在一起使用。数字签名是通过密码算法对数据进行加、解密变换实现的，用DES算法、RSA 算法都可实现数字签名。RSA公钥密码系统最合适数字签名。 2）安全性 分别考虑下面几种情形： 1. 有人试图在传输过程中伪造签名 2. 接收端替换掉信息并伪造签名 3. 发送端不承认自己签过名的信息是自己发送的 如果这三种情况都不可能发生，那么数字签名就完全达到了它的目的。而这三种情况是等效的，实现的方法都是攻击者或者接收端有能力伪造签名，而试图伪造签