青岛酒店管理职业技术学院 陈姗 江云涛

人类进入21世纪，信息化浪潮己经席卷了地球的每一个角落。网络改变了传统的事务处理方法，给我们提供了前所未有的便捷和无限的发展空间，电子商务随之成为商务活动的新模式。所谓电子商务(EC,Electronic Commerce)是以开放的网络环境为基础，在计算机系统支持下进行的商务活动。但是由于互联网本身的开放性，使网上交易面临着种种危险。

1 电子商务的安全需求

电子商务发展到今天，面临着越来越严重的威胁和攻击，据统计，网络数据被窃取和破坏造成的直接经济损失每年至少有几十亿美元。一般情况下，电子商务安全中容易出现：窃取信息、篡改信息、假冒信息、交易抵赖等问题。因此，电子商务应用中的主要安全要素有如下三点：

1.1 保密性

保密性是指信息的拥有者有权保持数据的秘密性，只有得到授权的用户才可以获得该信息。电子商务是建立在开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。因此,预防非法的信息存取和信息在传输过程中被非法窃取是十分必要的。

1.2 完整性

完整性是指程序和数据的存在状态应该保持不变，信息不能在传输过程中被非法修改。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。因此,通信过程中必须保证数据的完整性，避免信息的随意生成、修改和删除。

1.3 不可否认性

不可否定性是指用户不能否认自己的行为，电子商务中保证电子订单等商务信息的不可否认性，即：电子商务系统应能有效防止商业欺诈行为，保证商业信用和行为的不可否认性，保证交易各方对已做交易无法抵赖等等。

在实现以上三个安全要素的过程中，数字签名起到了至关重要的作用，是电子商务安全中最核心的技术。

2 数字签名的概念

在传统交易过程中，通常交易双方采用亲自手书签名来保证文件的可靠性及法律效力。如果通过网络进行交易，就需要设计一种能够代替交易双方亲自手书签字的方案，同时又满足交易的不可否认性、交易双方身份的确认性和订单的不可修改性，这就需要数字签名技术。

数字签名是相对于传统的手书签名而言的，具体做法是使用与交易方约定的加密算法将要发送的数据加密之后，生成一段报文摘要，附加在发送的原文上一起发送给对方。 这一段摘要就相当于书面合同中的签名或盖章，接收方收到后，利用约定的算法进行验证，来确定文件的真伪。

因此，一个安全有效的数字签名方式必须满足以下要求:一是要保证签名安全有效 ,即签名的惟一性；二是发送方发出签名的消息给对方后, 签名者不可抵赖他所签发的消息;三是保证对方已收到的签名消息是不能否认的;四是与签名联系的信息必须明确签名，不可被第三者伪造;五是交易双方以外的其他人员可以接收收发方之间的消息传送,但不能伪造这一过程。

3 数据签名的原理与实现

数据签名的实现技术有多种，目前商务活动中采用比较多的是对称加密技术和非对称加密技术。

3.1 对称加密技术实现数字签名

对称式加密技术中加密和解密一般来说使用同一个密钥，即使加密解密过程使用不同密钥，这两种密钥也可以比较方便地互相推导出来。使用对称加密技术的签名长度比较大，一般操作过程中需要先对报文摘要进行压缩，然后再进行签名，以便得到一个比较适合传输的签名。

由于对称加密技术对于报文摘要是进行逐位签名的，所以报文中任意一位的改动，接收方都可以检测到，所以这种加密技术安全性还是比较高的，但是这种高的安全性仅限第一次使用的时候，如果相应的密钥和验证信息使用多次的话，交易将会变得十分不安全，这种情况是由于对称加密技术在进行加密和解密时使用同一个密钥造成的。鉴于对称加密技术的这一特点，基于它的签名一般用于孤立单一的交易环境中，比如银行交易中自动提款系统ATM，用户需要输入属于用户的单一密码，银行确认后在此基础上再进行交易。如果是和大量不同用户进行交易的电子商务活动，保证大量密钥的安全性是一个难题，所以对称加密技术一般不能使用于大范围的交互的商务交易活动。

3.2 非对称加密技术实现数字签名

非对称加密技术即通常所说的公钥密码技术，公钥密码算法指加密密钥和解密密钥为两个不同密钥的密码算法，这两个密钥存在互相依存关系，即用其中任一个密钥加密的信息只能用另一个密钥进行解密。若以公钥作为加密密钥，以用户专用密钥(私钥)作为解密密钥，则可实现多个用户加密的信息只能由一个用户解读；反之，以用户私钥作为加密密钥而以公钥作为解密密钥，则可实现由一个用户加密的信息而由多个用户解读。前者可用于数字加密，后者可用于数字签名。

在文件传送过程中，报文的发送方将要传送的明文按双方约定的报文摘要算法计算得到一个报文摘要,该摘要由一个单向HASH函数作用于报文产生,一般是一个从报文文本中生成一个128位的散列值。发送方用自己的私钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方收到有数字签名的报文后,用同样的报文摘要算法对原明文计算得到明文摘要,同时用发送者的公开密钥解密数字签名得到另一个摘要值,将二者进行比较,如果相等，则说明报文确实来自所称的发送者且可以确信签名后未被修改过,签名被确认；如果不同,则签名被否认，数据认为无效。

利用公钥算法进行签名的过程中产生的报文摘要对于原文来说是一个惟一的值,任何一点对原文细微的改动都会使产生的报文摘要不同，基于以上原理，任何拥有发送方公钥密钥的接收方都可以验证签名的正确性，同时可根据报文摘要检验报文在传输过程中是否被篡改过,保证了报文的数据完整性。同时，由于发送方对私钥的保密性，同一个人对不同的报文产生的签名也不同，使得接收方接到报文后即无法对报文进行篡改也无法伪造报文的数字签名。

鉴于公钥密码技术的以上特点，基于它的数字签名可以满足大范围的交易活动，例如银行系统在传送电子支票的过程中，接收方是无法对支票的数额等重要信息进行改动的，同时银行在面对大量客户的情况下，也能保证交易的安全进行。

4 数字签名在电子商务中的应用

电子商务中使用了数字签名后，可以有效地解决电子商务安全中出现窃取、篡改、假冒、交易抵赖等问题。数字签名在电子商务中主要的几点应用如下：

4.1 验证数据的完整性

数字签名过程中产生的报文摘要是一个惟一对应此报文的值,任何一点细微的改动都会使再次产生的报文摘要不同，因此用报文摘要可以检查报文在中途是否被篡改,这样就验证了报文数据是否完整。所以，使用了数字签名技术的电子交易可以保证文件的完整性。

4.2 验证签名者的身份

数字签名过程中要求信息发送方使用自己的私钥对发送的信息进行加密的，只有持有私钥的人才能对数据进行签名，因此只要密钥没有被窃取，接受方收到信息解密成功后就可以肯定该数据是用户签发的，这样就保证了电子交易中签名者的身份验证。

4.3 防止交易中的抵赖行为

当出现交易纠纷时，信息接收方可以将加了数字签名的信息提供给认证方，由于带有数字签名的信息是由发送方的私钥加密生成的，是其他人不可假冒的。因此认证方使用公钥对接收方提供的信息解密后，即可判断发送方是否出现了抵赖行为，所以数字签名保证了电子商务交易的不可抵赖性。

数字签名技术在电子商务领域中实现了传统意义上签名的功能，能够做到放伪造、防假冒、不可抵赖等功能。电子商务领域使用了数字签名以后即保证了交易的快捷，又保证了交易的安全性。

5 电子商务中数字签名的问题与发展前景

数字签名经过多年的研究后，思想已经比较成熟，也提出了很多比较可靠的可选方案，但是这些方案大都和实际应用有一定的距离。面对实际商务活动中的各种各样的需求，现存的数字签名方案难以达到十全十美的安全保障。

数字签名有多种算法,应用最为广泛的三种是: Hash算法、DES算法、RSA算法。但以上这三种算法或多或少都存在缺陷,或者没有成熟的标准。其中Hash算法采用的是对称加密技术，基于它的数字签名虽然速度较快,但比较容易被攻破,存在伪造签名的可能。使用这种算法进行交易时，如果中央计算机或是用户计算机有一个被攻破，那么交易的安全性就无法保证了。

与Hash签名不同的，DES和RSA算法采用了公钥算法,所以它们产生签名的密钥只存在于用户的计算机中，这样大大提高了签名的保密性、降低了密钥被攻破的可能。DES算法运算速度相对较快，但是安全性还是比较低，较难达到签名的安全要求。RSA是目前所知的最安全的算法，它采用了非对称密钥，加密密钥和解密密钥之间不能互相推导。但该算法的核心运算是取模和数乘运算,加密解密花费时间长达DES算法的1000倍，所以只适合小规模数据的加密，计算时间长制约了RSA算法的发展。但是与计算时间相比，安全性在商务交易中更为重要，所以RSA算法是迄今为止电子商务中使用最多的一种算法，随着计算机硬件技术的不断发展，相信RSA算法的计算时间会大大缩短。

安全是电子商务的核心和灵魂，没有安全保障的电子商务是没有出路的，数字签名技术是实现电子商务交易安全的核心保障技术。正因为有了数字签名，才有今天电子商务的发展。

我国颁布实施的《中华人民共和国电子签名法》确认了数字签名的法律效力，并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。这一法案为数字签名技术提供了法律保障和行业准则，同时使得融入了数字签名的电子商务有了安全的保障，随着互联网的日益普及，电子商务势必将会有更广阔的发展前景。

[1]戴银华.网络安全综合评价技术研究[D].天津大学,2008.

[2]原亚东.可信电子商务体系研究[D].重庆大学,2008.

[3]谢志慧,马雪.对电子商务安全问题及安全技术的若干思考.黑龙江科技信息,2010.

[4]冷健.PKI原理与技术[M].北京:清华大学出版社,2004.