电商安全论文.doc

数字签名的安全性隐患？ 当今的时代是一个以数字化与信息化为特征，以网络通信为核心的信息时代。电子商务作为信息时代的一种新的商贸形式，从根本上改变了传统商务运作的过程和方法，对社会的生产和管理，人们的生活和就业、政府职能、法律制度以及文化教育等各个领域产生了巨大的影响，并且从多方面促进人们的思想观念、思维方式和相互交往方式的变革，电子商务给我们这个时代带来了一场革命。西方发达国家早已开展电子商务，电子商务不仅改变着传统社会生产方式，而且对经济结构调整产生深刻影响。电子商务在巾国起步较晚，但是发展势头很猛。据报道中国电子商务的交易总额2004年达到4400亿元人民币，2005年激增到6200亿元人民币，预计今后平均年增长率为40％。国家发展和改革委员会联合相关部门组织起草的《关于加快电子商务发展的若干意见》已经颁布，这将对我国电子商务的应用与发展发挥巨大的推动作用。《中华人民共和国电子签名法》和信息产业部已发布的《电子认证服务管理办法》于2005年4月1日正式实施。电子签名法的实施成为我国电子商务发展的里程碑，顺应了经济全球化和全球信息化的时代潮流，它将带给所有企业一场意义深远的变革。 电子商务的最基本的要求是安全和合法。 电子商务的安全问题一直是人们广泛关心的问题。它涉及的范围非常广泛，主要包括相关的协议、算法、标准和管理。在不同的发展阶段，人们采用了相应的信息安全保护的方法和措施，发明了不同的算法，制定了相关的信息安全协议、标准和管理制度。电子商务的安全性主要通过技术手段和安全电子协议标准来保证。安全技术包括加密机制、数字签名、分布式安全管理、存取控制、防火墙、安全万维网服务器、防病毒保护等，以保证信息的保密性、完整性和不可抵赖性。安全认证技术包含数字签名、数字证书、安全认证机构CA认证等。对信息安全问题的分析与把握也是与时俱进、不断向前发展的，其协议、算法、标准和 管理制度处于不断的更新过程中。电子商务中，保障信息安全性的熏耍技术措施之一是数字签名。数字签名是一种以电子形式给一个消息签名的一种方法。数字签名在信息安全，包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用，特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中都具有重要作用。数字签名的安全性日益受到高度重视。l国际上普遍采用的数字签名算法及其被“攻陷”目前，在电子商务中，获得广泛应用的最典型的两种加密技术是对称密钥加密体制 (私钥加密体制)和非对称密钥加密体制(公钥加密体制)。保障信息的机密性、数据源认证、数据完整性和不可抵赖性，主要采用公钥加密方法和数字签名来实现。公钥加密体制，即加密密码与解密密钥不同，由加密密钥推导解密密钥在计算上是不可行的密码体制。加密的安全性是基于复杂的数学难题。对某种数学难题，利用通用的算法计算出密钥的时问越长，基于这一数学难题的公钥加密系统就被认为越安全。国际密码协会在比较了各种加密算法之后，推荐了两种加密体制RsA(属于整 数因子分解系统)和ECC(属于椭圆曲线离散对数系统)。具有代表性的对称密钥加密算法是美国的数据加密标准DES和菲对称密钥加密算法RsA。目前使用最广泛的数据加密方法是基于1977年被美国标准局(NBS)作为第46号联邦信息处理标准而采用的数据加密标准(DES)。在(DES)中数据以64位分组进行加密，密钥长度为56位，加密算法经过16轮复杂编码运算把64位的输入数据变换成另外序列的64位的输出，解密过程使用同样的步骤和同样的密钥。RSA公钥密码算法的安全性是建立在“大数分解和素性检测”这一已知的著名数论难题的基础上，即：将两个大素数相乘在计算上容易实现，但将乘积分解为两个大素数因子的汁算量是相当巨大的以至于在实际计算中是不能实现的。数字签名是将哈希hash算法(SHA)用在需要对文件或消息鉴定的任何应用中。将SHA用到杂凑值(消息摘要)数据中以对数据是否被改动作最后的证明和核实。h8sh函数 (也称杂凑函数或杂凑算法)就是把任意长的输入消息串变化成固定K的输出串的一种函数。这个输出串称为该消息的杂凑值(消息摘要)。从输入串能很容易计算其杂凑值(消息摘要)，但要产生一个字符串使其杂凑值(消息摘要)等于某一个特殊的值却是很困难的。不同的报文所产生的杂凑值(消息摘要)必不相同，即在计算上不可能找到两个不同的输入报文杂凑到同一个杂凑值(消息摘要)，一个报文的杂凑值(消息摘要)是惟一的，它类似于人类的“指纹”。当输入任何少于264字节的报文到hash算法中时，它会产生128位 (MD5)或160位(SHA一1)的消息摘要，DSS签名将这一消息摘要输入到数字签名算法中以产生或核实对这段报文的签名。保密性可通过对整个报文和签名进行更进一步的加密来实现。在操作时先执行签名函数，然后才是外部的保密函数。例如在R