吕文强

【摘 要】基于Internet开展的电子商务己逐渐成为人们进行商务活动的新模式。但如何保障电子商务交易的安全并促进其自身的发展，采用与信息安全和身份认证等有关的加密技术已成为解决电子商务安全的关键问题。数字签名技术解决了这些问题。

【关键词】 数字签名 问题 策略

1 数字签名

1.1数字签名的涵义

数字签名是指附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人进行伪造。

1.2 数字签名的作用

（1）该电子文件确实是由签名者的发送方所发出，电子文件来源于该发送者。因为签名时数字签名数据由数字签名人所控制。

（2）被签名的电子文件确实是经发送方签名后发送的，说明发送方用了自己私钥作的签名，并得到了验证，达到了不可否认的目的。

（3）接收方收到的电子文件在传输过程中没有被纂改，保持了数据的完整性，因为，签名后对数字签名的任何改动都能够被发现。

1.3 数字签名的特点

（1）不可伪造性。在不知道签名者私钥的情况下，通常敌手很难有效地伪造一个合法的数字签名。只有掌握签名私钥的签名者才能有效地生成数字签名。

（2）保证消息的完整性。通常，签名者可对消息的Hash函数值进行签名。由Hash函数具备抗碰撞的特点（对于一个安全的Hash函数，通常很难找到两个不同的消息使得它们具有相同Hash值），签名便与原消息绑定在一起而形成一个完整的整体。任何对消息的修改都将会导致（消息，签名）对无法通过验证。因此，签名具备保证消息完整性的特点，即其可防止篡改消息。

（3）不可否认性。对于普通的数字签名，任何人都可利用签名者的公钥对签名进行验证，并通过公钥证书确定签名者的身份。这样，签名者便无法否认自己对消息的签名，即签名具有不可否认性。不可否认性使得签名的接收者可以确认消息及相应签名的原始来源，并可用来进行身份认证。

1.4 数字签名能完成的认证

（1）实体认证。在报文通信之前，采用可鉴别协议来认证通信是否在议定的通信实体之间进行。

（2）报文认证。经实体认证后，双方通信实体便可进行报文通信。为了保证数据的真实性，应对报文进行认证，即接收实体应能验证报文的来源、时间性与目的地的真实性。通常也采用数字签名等技术来实现。

（3）身份认证。用户的身份认证是许多应用系统的第一道防线，目的是防止数据被非法用户访问。除了口令控制之外，在身份认证环节采用数字签名技术无疑大大提高了访问控制的力度。

1.5 数字签名与验证过程

网上通信的双方，在互相认证身份之后，即可发送签名的数据电文。数字签名的全过程分两大部分：签名和验证。数字签名与验证的过程和技术实现原理如下图

左侧为签名，右侧为验证过程。即发送方用哈希算法求得数字摘要，用签名私钥对数字摘要加密得数字签名，发方将原文与数字签名一起发送给接受方；接收方验证签名，即用发送方公钥解密数字签名，得出数字摘要，接收方将原文采用同样的哈希算法又得一新的数字摘要，将两个数字摘要进行比较，如果二者匹配，说明经数字签名的电子文件传输成功，否则无效。

2我国数字签名存在的问题

2.1 数字签名的网络安全问题

互联网的产生，一方面给人们生活带来了意想不到的便利，同时也给我们带来了前所未有的挑战。互联网上存在的众多黑客，对数字签名的安全带来巨大的威胁。我国一些部门受到黑客攻击的情况十分普遍，解决网络的安全问题己经迫在眉睫，成为公众关注的焦点问题。因此，网络安全方面的问题也成了电子签名法推行中最大的制约因素。当然，随着网络技术的不断进步，这种情况会得到改善。

2.2 关于用户隐私和商业秘密保护方面的问题

用户采用了数字签名技术后，其隐私和商业秘密能否得到保障也是一个难题。如前所述，数字签名的实现需经过多个环节，从发送端，经公开网络传输至认证中心，再经公开网络传至接受端。每一个环节用户的数据都有可能被泄露，尽管国家高度重视诚信建设，但近几年交易市场中的欺诈行为却屡禁不止。电子商务的一个显著优势是不受时间、空间的约束便可完成交易，但这也是电子商务的一个缺陷。

2.3 数字签名的过程中的诸多法律问题

需要立法机构对数字签名技术有足够的重视，并且在立法上加快脚步，迅速制定有关法律，以充分实现数字签名具有的特殊鉴别作用，有力地推动电子商务以及其他网上事务的发展。

3 解决我国数字签名存在问题的策略

3.1 大力发展先进的、具有自主知识产权的信息技术，建立一个完整的信息网络安全体系。

我国信息安全研究起步较晚，在网络信息系统中使用的计算机、路由器等软、硬件系统大部分由国外引进，而且信息技术相对落后，由此加大了我国数字签名发展的安全风险和技术选择风险。因此要加快完善我国信息网络安全的技术安全、管理安全和政策法律安全体制的步伐。只有信息网络体系健全，那么通过网络传输的信息的安全才能得到保证，数字签名技术才能发挥真正的作用。

3.2 数字签名技术仍需进一步完善，大力改进数字签名内在的安全技术措施，如生成和验证数字签名的工具需要完善，只有用SSL（安全套接层）建立安全链接的Web浏览器，才会频繁使用数字签名。和数字签名有关的复杂认证能力程序化、简易化并易于掌握、便于操作；就像现在操作、应用环境中的口令密码一样直接做进操作系统环境、应用、远程访问产品、信息传递系统及Internet防火墙中，方便用户的操作和使用；另一方面，还要不断教育我们的广大用户，使其具备自行约定可靠数字签名的常识和能力，以便及时维护自身的合法权益。

3.3 及时修改、完善《电子签名法》和《电子认证服务管理办法》等相关法律法规。法律为数字签名的安全和诚信提供必要的保障。科技和社会的发展要比法律变化快，我们的法律不能一成不变，要让法律的变化与科技、社会的发展同步而行。

3.4 确定CA认证权的归属问题尤为关键。需要第三方认证的数字签名应由依法设立的电子认证服务提供者提供认证服务。由于公共密钥的存储需要，所以需要建立一个鉴定中心（CA），来完成个人信息及其密钥的确定工作。鉴定中心是一个政府参与管理的具有可信赖性的第三方成员，以便保证信息的安全和集中管理。数字签名决定着技术商业信誉的建立，数字签名技术的发展决定着电子商务中的诚信问题。

4 结 语

综上所述，当数字签名技术越来越普遍的时候，并不是每个人都觉得满意。数字签名是未来信息安全发展的潮流，不断完善数字签名的基础设施环境和法律、技术问题，自然成了我国目前发展数字签名的当务之急。