數字簽名技術論文匯總十篇

時間：2023-03-15 14:54:32

序論：好文章的創作是一個不斷探索和完善的過程，我們為您推薦十篇數字簽名技術論文范例，希望它們能助您一臂之力，提升您的閱讀品質，帶來更深刻的閱讀感受。

數字簽名技術論文

篇（1）

一、PKI系統基本組成

PKI是一個以公鑰密碼技術為基礎，數字證書為媒介，結合對稱加密和非對稱加密技術，將個人的信息和公鑰綁在一起的系統。其主要目的是通過管理密鑰和證書，為用戶建立一個安全、可信的網絡應用環境，使用戶可以在網絡上方便地使用加密和數字簽名技術，在Internet上驗證通信雙方身份，從而保證了互聯網上所傳輸信息的真實性、完整性、機密性和不可否認性。完整的PKI系統包括一個RA中心、CA中心、用戶終端系統EE、證書/CRL資料庫和秘鑰管理系統。

二、PKI系統提供的服務

PKI作為安全基礎設施，主要提供的服務有保密、身份認證服務、驗證信息完整以及電子商務中的不可抵賴。

1.保密

所謂保密就是提供信息的保密，包括存儲文件和傳輸信息的保密性，所有需要保密的信息都加密，這樣即使被攻擊者獲取到也只是密文形式，攻擊者沒有解密密鑰，無法得到信息的真實內容，從而實現了對信息的保護。PKI提供了保密，并且這個服務對于所有用戶都是透明的。

2.身份認證服務

PKI的認證服務在ITU-TX.509標準中定義為強鑒別服務，即采用公開密鑰技術、數字簽名技術和安全的認證協議進行強鑒別的服務。

3.完整

完整就是保證數據在保存或傳輸過程中沒有被非法篡改，PKI體系中采用對信息的信息摘要進行數字簽名的方式驗證信息的完整性。

4.不可抵賴

不可抵賴是對參與者對做過某件事提供一個不可抵賴的證據。在PKI體系中，發送方的數字簽名就是不可抵賴的證據。

三、基于PKI的數字簽名的實現

基于PKI的數字簽名，用戶首先向PKI的RA中心注冊自己的信息，RA審核用戶信息，審核通過則向CA中心發起證書申請請求，CA中心為用戶生成秘鑰對，私鑰私密保存好，公鑰和用戶信息打包并用CA私鑰進行數字簽名，形成數字證書并在CA服務器的證書列表，用戶到證書列表查看并下載證書。

假設用戶A要向用戶B發送信息M，用戶A首先對信息進行哈希函數h運算得到M的信息摘要hA，再用自己的私鑰DA對hA進行加密得到數字簽名Sig(hA）。將明文M、數字簽名Sig(hA）以及A的證書CertA組成信息包，用B的公鑰EB加密得到密文C并傳送給B。其中數字簽名與信息原文一起保存，私鑰DA只有用戶A擁有，因此別人不可能偽造A的數字簽名；又由于B的私鑰只有B擁有，所以只有B可以解密該信息包，這樣就保證了信息的保密性。

四、基于PKI體系結構的數字簽名安全性分析

從基于PKI數字簽名的實現過程和驗證過程中我們知道，數字簽名的安全性取決于以下幾點：

1.CA服務器確實安全可靠，用戶的證書不會被篡改。CA服務器的安全性主要包括物理安全和系統安全。所謂物理安全是指CA服務器放置在物理環境安全的地方，不會有水、火、蟲害、灰塵等的危害；系統安全是指服務器系統的安全，可以由計算機安全技術與防火墻技術實現。

2.用戶私鑰確實被妥善管理，沒有被篡改或泄露?，F在采用的技術是USB Key或智能卡存儲用戶私鑰，并由用戶用口令方式保護私鑰，而且實現了私鑰不出卡，要用私鑰必須插卡，從技術實現了私鑰不會被篡改和泄露。

3.數字簽名方案的安全性好。基于PKI公鑰加密技術的數字簽名是建立在一些難解的數學難題的基礎上，其中基于RSA算法的簽名方案應用最多。RSA算法是基于大數分解的困難性，目前當模數達到1024位時，分解其因子幾乎是不可能的，未來十年內也是安全的。但是由于RSA算法保存了指數運算的特性，RSA不能抵御假冒攻擊，就算攻擊者不能破解密鑰，也可進行假冒攻擊實現消息破譯和騙取用戶簽名。

六、總結

在電子商務交易的過程中，PKI系統是降低電子商務交易風險的一種常用且有效的方法，本文介紹了PKI系統的組成，PKI系統提供的服務，分析了基于PKI通信的安全性，其安全主要通過數字證書和數字簽名來實現，而數字簽名的安全性則主要依賴于簽名方案，在研究和分析現有數字簽名方案的基礎上提出了改進的新方案，即添加隨機因子和時間戳的RSA簽名方案，新方案增加了通信雙方交互次數，雖然系統效率有所降低，但提高了方案的安全性，并且新方案既可保證信息的保密性、完整性，又使得通信雙方都具備了不可抵賴性，具有很高安全性和較強的實用意義。

參考文獻

[1]劉穎.基于身份的數字簽名的研究[D].西安電子科技大學碩士學位論文,2006,1.

[2]段保護.一種改進的基于時間戳的數字簽名方案[D].長沙理工大學碩士學位論文,2009,3.

[3]陳昕.基于一次性口令的身份認證系統研究及實現[D].南京信息工程大學碩士學位論文,2009,5.

[4]潘恒.電子商務環境下基于PKI的信任問題研究[D].信息工程大學博士學位論文,2006,10.

[5]張寧.電子商務安全性分析[D].北京郵電大學碩士研究生學位論文,2007,3.

篇（2）

論文關鍵詞：數字簽名：電子政務；信息安全

1概述

1．1概念與功能

數字簽名是防止他人對傳輸的文件進行破壞．以及確定發信人的身份的手段該技術在數據單元上附加數據，或對數據單元進行秘密變換．這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性，從而達到保護數據，防止被人進行偽造的目的。簡單說來，數字簽名是指用密碼算法，對待發的數據進行加密處理，生成一段數據摘要信息附在原文上一起發送，接受方對其進行驗證，判斷原文真偽其簽名思想是簽名只能南一個人(個體)創建，但可以被任何人校驗．

數字簽名技術可以解決數據的否認、偽造、篡改及冒充等問題，滿足上述要求的數字簽名技術有如下主要功能：(1)發送者事后不能否認自己發送的簽名；(2)接收者能夠核實發送者發送的簽名；(3)接收者不能偽造發送者的簽名；(4)接收者不能對發送者的原文進行篡改；(5)數據交換中的某一用戶不能冒充另一用戶作為發送者或接收者

1．2數字簽名與傳統手寫簽名差別

(1)簽署文件方面：一個手寫簽名是所簽文件的物理部分，而數字簽名不是，所以要使用其他的辦法將數字簽名與所簽文件“綁定”。

(2)驗證方面：一個手寫簽名是通過和一個真實的手寫簽名相比較來驗證的而數字簽名是通過一個公開的驗證算法來驗證：

(3)簽名的復制：一個手寫簽名不容易被復制，因為復制品通常比較容易被鑒別來：而數字簽名很容易被復制，因為一個文件的數字簽名的復制品和原文件是一樣的：所以要使用數字時問戳等特殊的技術避免數字簽名的重復使用。

(4)手書簽名是模擬的，且因人而異。數字簽名是0和1的數字串，因人和消息而異。

一個安全有效的簽名方案必須滿足以下要求：1)任何人都可以驗證簽名的有效性；2)除了合法的簽名者外，其他人偽造簽名是困難的；3)對一個消息的簽名不可復制為另一個消息的簽名；4)簽名的消息不可被篡改，一旦被篡改，則任何人都可以發現消息與簽名的不一致；5)簽名者事后不能否認自己的簽名。

安全的數字簽名實現的條件：發方必須向收方提供足夠的非保密信息，以便使其能驗證消息的簽名，但又不能泄露用于產生簽名的機密信息，以防止他人偽造簽名。此外，還有賴于仔細設計的通信協議：

2原理

數字簽名有兩種：一種是對整體消息的簽名，一種是對壓縮消息的簽名。每一種又可分為兩個子類：一類是確定性(Deterministi)數字簽名，其明文與密文是一一對應的，它對特定消息的簽名不變化；一類是隨機化的(Randomized)或概率式數字簽名。

目前的數字簽名技術大多是建立在公共密鑰體制的基礎上，其工作原理是：

(1)簽名：發方將原文用哈希算法求得數字摘要，用簽名私鑰對數字摘要加密得數字簽名，將原文與數字簽名一起發送給接受方。

簽名體制=(M，S，K，v)，其中M：明文空間，S：簽名的集合，K：密鑰空間，V：證實函數的值域，由真、偽組成。

簽名算法：對每一m∈M和每一k∈K，易于計算對m的簽名s=Sigk(M)∈S

簽名算法或簽名密鑰是秘密的，只有簽名人掌握。

(2)驗證：收方驗證簽名時，用發方公鑰解密數字簽名，得出數字摘要；收方將原文采用同樣哈希算法又得一新的數字摘要，將兩個數字摘要進行比較，如果二者匹配，說明經簽名的電子文件傳輸成功。

驗證算法：

Verk(S，M)∈{真，偽}={0，l1

3基于身份的數字簽名

3．1優勢

1984年Shamir提出基于身份的加密、簽名、認證的設想，其中身份可以是用戶的姓名、身份證號碼、地址、電子郵件地址等。系統中每個用戶都有一個身份，用戶的公鑰就是用戶的身份，或者是可以通過一個公開的算法根據用戶的身份可以容易地計算出來，而私鑰則是由可信中心統一生成。在基于身份的密碼系統中，任意兩個用戶都可以安全通信，不需要交換公鑰證書，不必保存公鑰證書列表，也不必使用在線的第三方，只需一個可信的密鑰發行中心為每個第一次接入系統的用戶分配一個對應其公鑰的私鑰就可以了?；谏矸莸拿艽a系統不存在傳統CA頒發證書所帶來的存儲和管理開銷問題。

3．2形式化定義

基于身份的數字簽名由以下4個算法組成，

Setup(系統初始化)：輸入一個安全參數k，輸出系統參數param、和系統私鑰mk，該算法由密鑰產生機構PKG運行，最后PKG公開params，保存mk。Extract(用戶密鑰生成)：輸入params、mk和用戶的身份ID，輸出用戶的私鑰diD，該算法由PKG完成，PKG用安全的信道將diD返回給用戶。Sign(簽名)：輸入一個安全參數r、params、diD以及消息M，輸出對}肖息M的簽名盯，該算法由用戶實現。Verify(驗證)：輸入params、簽名人身份ID、消息m和簽名，輸出簽名驗證結果1或0，代表真和偽，該算法由簽名的驗證者完成。其中，簽名算法和驗證算法與一般簽名方案形式相同。

4數字簽名在電子政務中的應用

4．1意義

數字簽名的過程和政務公文的加密／解密過程雖然都使用公開密鑰體系，但實現的過程正好相反，使用的密鑰對也各不相同。數字簽名使用的是發送方的密鑰對，發送方用自己的私鑰進行加密，接收方用發送方的公鑰進行解密。這是一個一對多的關系，即任何擁有發送方公鑰的人都可以驗證數字簽名的正確性。政務公文的加密／解密則使用接收方的密鑰對，這是多對一的關系，即任何知道接收方公鑰的人都可以向接收方發送加密公文，只有唯一擁有接收方私鑰的人才能對公文解密。在實際應用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數字簽名進行加密，解密；另一個密鑰對用來對公文進行加密懈密，這種方式提供了更高的安全性。

4．2形式

4．2．1個人單獨簽名

由于政務公文的文件相對來說都比較大，所以一般需要先對所要傳輸的原文進行加密壓縮后形成一個文件摘要，然后對這個文件摘要進行數字簽名。一般由兩個階段組成：對原文的數字簽名和對數字簽名的驗證。

(1)對原文的數字簽名

先采用單向散列哈希算法對所要傳輸的政務公文x進行加密計算和壓縮，推算出一個文件摘要z。然后，公文的發送方用自己的私鑰SKA對其加密后形成數字簽名Y，并將該數字簽名附在所要傳送的政務公文后形成一個完整的信息包(X+Y)。再用接收方的公鑰PKB對該信息包進行加密后，通過網絡傳輸給接收方。

(2)對數字簽名的驗證

接收方收到該信息包后，首先用自己的私鑰SKB對整個信息包進行解密，得到兩部分信息：數字簽名部分Y和政務公文原文部分x；其次，接收方利用發送方的公鑰PKA對數字簽名部分進行解密，得到一個文件摘要Z；接著，接收方也采用單向散列哈希算法對所收到的政務公文原文部分進行加密壓縮，推算出另外一個文件摘要z1。由于原文的任何改動都會使推算出的文件摘要發生變化，所以只要比較兩個文件摘要z和z1就可以知道公文在傳輸途中是否被篡改以及公文的來源所在。如果兩個文件摘要相同，那么接收方就能確認該數字簽名是發送方的，并且說明文件在傳輸過程中沒有被破壞。通過數字簽名能夠實現對原始報文的鑒別。

篇（3）

1概述

1．1概念與功能

1．2數字簽名與傳統手寫簽名差別

(1)簽署文件方面：一個手寫簽名是所簽文件的物理部分，而數字簽名不是，所以要使用其他的辦法將數字簽名與所簽文件“綁定”。

(2)驗證方面：一個手寫簽名是通過和一個真實的手寫簽名相比較來驗證的而數字簽名是通過一個公開的驗證算法來驗證：

(4)手書簽名是模擬的，且因人而異。數字簽名是0和1的數字串，因人和消息而異。

2原理

目前的數字簽名技術大多是建立在公共密鑰體制的基礎上，其工作原理是：

(1)簽名：發方將原文用哈希算法求得數字摘要，用簽名私鑰對數字摘要加密得數字簽名，將原文與數字簽名一起發送給接受方。

簽名體制=(M，S，K，v)，其中M：明文空間，S：簽名的集合，K：密鑰空間，V：證實函數的值域，由真、偽組成。

簽名算法：對每一m∈M和每一k∈K，易于計算對m的簽名s=Sigk(M)∈S

簽名算法或簽名密鑰是秘密的，只有簽名人掌握。

驗證算法：

Verk(S，M)∈{真，偽}={0，l1

3基于身份的數字簽名

3．1優勢

3．2形式化定義

基于身份的數字簽名由以下4個算法組成，如圖1所示。

4數字簽名在電子政務中的應用

4．1意義

4．2形式

4．2．1個人單獨簽名

(1)對原文的數字簽名

(2)對數字簽名的驗證

篇（4）

abstract: today’s approval of new drugs in the international community needs to carry out the raw data transmission. the traditional way of examination and approval red tape and inefficiency, and the use of the internet to transmit electronic text can keep data safe and reliable, but also greatly save manpower, material and financial resources, and so on. in this paper, encryption and digital signature algorithm of the basic principles, combined with his own ideas, given medical approval in the electronic transmission of the text of the security solution.

key words: digital signature; encryption technology; digital certificate; electronic documents; security issues

1引言

隨著我國醫藥事業的發展，研制新藥，搶占國內市場已越演越烈。以前一些醫藥都是靠進口，不僅成本高，而且容易形成壁壘。目前，我國的醫藥研究人員經過不懈的努力，開始研制出同類同效的藥物，然而這些藥物在走向市場前，必須經過國際權威醫療機構的審批，傳統方式是藥物分析的原始數據都是采用紙張方式，不僅數量多的嚇人，而且一旦有一點差錯就需從頭做起，浪費大量的人力、物力、財力。隨著internet的發展和普及，人們開始考慮是否能用互聯網來解決數據傳輸問題。他們希望自己的儀器所做的結果能通過網絡安全傳輸、并得到接收方認證。目前國外針對這一情況已⒘四承┤砑?，葰g?，由釉傐格昂贵，茧H醪皇嗆艸墑歟勾τ諮櫓そ錐?，随时粠V兜腦潁諍萇偈褂謾u餼透諞揭┭蟹⑹亂敵緯閃思際跗烤保綰慰⒊鍪視櫚南嚶θ砑?，绖撡进我国医药审批工醉d姆⒄咕統閃斯詰那把亓煊潁胰漲骯謖夥矯嫻難芯坎皇嗆芏唷?lt;/div>

本文闡述的思想：基本上是參考國際國內現有的算法和體制及一些相關的應用實例，并結合個人的思想提出了一套基于公鑰密碼體制和對稱加密技術的解決方案，以確保醫藥審批中電子文本安全傳輸和防止竄改，不可否認等。

2算法設計

2.1 aes算法的介紹[1]

高級加密標準（advancedencryptionstandard）美國國家技術標準委員會(nist)在2000年10月選定了比利時的研究成果"rijndael"作為aes的基礎。"rijndael"是經過三年漫長的過程，最終從進入候選的五種方案中挑選出來的。

aes內部有更簡潔精確的數學算法,而加密數據只需一次通過。aes被設計成高速，堅固的安全性能，而且能夠支持各種小型設備。

aes和des的性能比較：

（1） des算法的56位密鑰長度太短；

（2） s盒中可能有不安全的因素；

（3） aes算法設計簡單，密鑰安裝快、需要的內存空間少，在所有平臺上運行良好，支持并行處理，還可抵抗所有已知攻擊；

（4） aes很可能取代des成為新的國際加密標準。

總之，aes比des支持更長的密鑰，比des具有更強的安全性和更高的效率，比較一下，aes的128bit密鑰比des的56bit密鑰強1021倍。隨著信息安全技術的發展，已經發現des很多不足之處，對des的破解方法也日趨有效。aes會代替des成為21世紀流行的對稱加密算法。

2.2 橢圓曲線算法簡介[2]

2.2.1

橢圓曲線定義及加密原理[2]

所謂橢圓曲線指的是由韋爾斯特拉斯（weierstrass）方程 y2+a1xy+a3y＝x3+a2x2+a4x+a6 (1)所確定的平面曲線。若f是一個域，ai ∈f,i=1,2,…,6。滿足式1的數偶(x,y)稱為f域上的橢圓曲線e的點。f域可以式有理數域，還可以式有限域gf(pr)。橢圓曲線通常用e表示。除了曲線e的所有點外，尚需加上一個叫做無窮遠點的特殊o。

在橢圓曲線加密（ecc）中，利用了某種特殊形式的橢圓曲線，即定義在有限域上的橢圓曲線。其方程如下：

y2=x3+ax+b(mod p) (2)

這里p是素數，a和b為兩個小于p的非負整數，它們滿足：

4a3+27b2(mod p)≠0 其中，x,y,a,b ∈fp,則滿足式（2）的點（x,y）和一個無窮點o就組成了橢圓曲線e。

橢圓曲線離散對數問題ecdlp定義如下：給定素數p和橢圓曲線e，對 q=kp,在已知p,q的情況下求出小于p的正整數k。可以證明，已知k和p計算q比較容易，而由q和p計算k則比較困難，至今沒有有效的方法來解決這個問題，這就是橢圓曲線加密算法原理之所在。

2.2.2橢圓曲線算法與rsa算法的比較

橢圓曲線公鑰系統是代替rsa的強有力的競爭者。橢圓曲線加密方法與rsa方法相比，有以下的優點：

（1）安全性能更高如160位ecc與1024位rsa、dsa有相同的安全強度。

（2）計算量小，處理速度快在私鑰的處理速度上（解密和簽名），ecc遠比rsa、dsa快得多。

（3）存儲空間占用小 ecc的密鑰尺寸和系統參數與rsa、dsa相比要小得多，所以占用的存儲空間小得多。

（4）帶寬要求低使得ecc具有廣泛得應用前景。

ecc的這些特點使它必將取代rsa，成為通用的公鑰加密算法。比如set協議的制定者已把它作為下一代set協議中缺省的公鑰密碼算法。

2.3 安全散列函數（sha）介紹

安全散列算法sha(secure hash algorithm，sha)[1]是美國國家標準和技術局的國家標準fips pub 180-1，一般稱為sha-1。其對長度不超過264二進制位的消息產生160位的消息摘要輸出。

sha是一種數據加密算法，該算法經過加密專家多年來的發展和改進已日益完善，現在已成為公認的最安全的散列算法之一，并被廣泛使用。該算法的思想是接收一段明文，然后以一種不可逆的方式將它轉換成一段（通常更?。┟芪?，也可以簡單的理解為取一串輸入碼（稱為預映射或信息），并把它們轉化為長度較短、位數固定的輸出序列即散列值（也稱為信息摘要或信息認證代碼）的過程。散列函數值可以說時對明文的一種“指紋”或是“摘要”所以對散列值的數字簽名就可以視為對此明文的數字簽名。

3數字簽名

“數字簽名”用來保證信息傳輸過程中信息的完整和提供信息發送者的身份認證和不可抵賴性。數字簽名技術的實現基礎是公開密鑰加密技術，是用某人的私鑰加密的消息摘要用于確認消息的來源和內容。公鑰算法的執行速度一般比較慢，把hash函數和公鑰算法結合起來，所以在數字簽名時，首先用hash函數（消息摘要函數）將消息轉變為消息摘要，然后對這個摘

要簽名。目前比較流行的消息摘要算法是md4,md5算法，但是隨著計算能力和散列密碼分析的發展，這兩種算法的安全性及受歡迎程度有所下降。本文采用一種比較新的散列算法――sha算法。

4解決方案：

下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖：

4解決方案：

下面是醫藥審批系統中各個物理組成部分及其相互之間的邏輯關系圖：

圖示：電子文本傳輸加密、簽名過程

下面是將醫藥審批過程中的電子文本安全傳輸的解決方案：

具體過程如下：

（1）發送方a將發送原文用sha函數編碼，產生一段固定長度的數字摘要。

（2）發送方a用自己的私鑰（key a私）對摘要加密，形成數字簽名，附在發送信息原文后面。

（3）發送方a產生通信密鑰（aes對稱密鑰），用它對帶有數字簽名的原文進行加密，傳送到接收方b。這里使用對稱加密算法aes的優勢是它的加解密的速度快。

（4）發送方a用接收方b的公鑰（key b公）對自己的通信密鑰進行加密后，傳到接收方b。這一步利用了數字信封的作用，。

（5）接收方b收到加密后的通信密鑰，用自己的私鑰對其解密，得到發送方a的通信密鑰。

（6）接收方b用發送方a的通信密鑰對收到的經加密的簽名原文解密，得數字簽名和原文。

（7）接收方b用發送方a公鑰對數字簽名解密，得到摘要；同時將原文用sha－1函數編碼，產生另一個摘要。

（8）接收方b將兩摘要比較，若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

這個過程滿足5個方面的安全性要求：（1）原文的完整性和簽名的快速性：利用單向散列函數sha－1先將原文換算成摘要，相當原文的指紋特征，任何對原文的修改都可以被接收方b檢測出來，從而滿足了完整性的要求；再用發送方公鑰算法（ecc）的私鑰加密摘要形成簽名，這樣就克服了公鑰算法直接加密原文速度慢的缺點。（2）加解密的快速性：用對稱加密算法aes加密原文和數字簽名，充分利用了它的這一優點。（3）更高的安全性：第四步中利用數字信封的原理，用接收方b的公鑰加密發送方a的對稱密鑰，這樣就解決了對稱密鑰傳輸困難的不足。這種技術的安全性相當高。結合對稱加密技術(aes)和公開密鑰技術(ecc)的優點，使用兩個層次的加密來獲得公開密鑰技術的靈活性和對稱密鑰技術的高效性。（4）保密性：第五步中，發送方a的對稱密鑰是用接收方b的公鑰加密并傳給自己的，由于沒有別人知道b的私鑰，所以只有b能夠對這份加密文件解密，從而又滿足保密性要求。（5）認證性和抗否認性：在最后三步中，接收方b用發送方a的公鑰解密數字簽名，同時就認證了該簽名的文檔是發送a傳遞過來的；由于沒有別人擁有發送方a的私鑰，只有發送方a能夠生成可以用自己的公鑰解密的簽名，所以發送方a不能否認曾經對該文檔進進行過簽名。

5方案評價與結論

為了解決傳統的新藥審批中的繁瑣程序及其必有的缺點，本文提出利用基于公鑰算法的數字簽名對文檔進行電子簽名，從而大大增強了文檔在不安全網絡環境下傳遞的安全性。

本方案在選擇加密和數字簽名算法上都是經過精心的比較，并且結合現有的相關應用實例情況，提出醫藥審批過程的解決方案，其優越性是：將對稱密鑰aes算法的快速、低成本和非對稱密鑰ecc算法的有效性以及比較新的算列算法sha完美地結合在一起，從而提供了完整的安全服務，包括身份認證、保密性、完整性檢查、抗否認等。

參考文獻：

1．李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期 2003年3月，p47~49.

2．康麗軍。數字簽名技術及應用，太原重型機械學院學報。第24卷第1期 2003年3月 p31~34.

3．胡炎，董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期 2002年1月 p58～61。

4． leung k r p h ,hui l,c k.handing signature purposes in workflow systems. journal of systems.journal of systems and software, 2001,55(3),p245~259.

5． wright m a,a look at public key certificates. network security ,1998(2)p10~13.

6.bruce schneier.應用密碼學---協議、算法與c源程序（吳世終，祝世雄，張文政，等）.北京：機械工業出版社，2001。

7.賈晶，陳元，王麗娜，信息系統的安全與保密[m]，北京：清華大學出版社，1999

8．陳彥學.信息安全理論與實務【m】。北京：中國鐵道出版社，2000 p167~178.

9．顧婷婷，《aes和橢圓曲線密碼算法的研究》。四川大學碩士學位論文，【館藏號】y462589 2002。

下面是將醫藥審批過程中的電子文本安全傳輸的解決方案：

具體過程如下：

（1）發送方a將發送原文用sha函數編碼，產生一段固定長度的數字摘要。

（2）發送方a用自己的私鑰（key a私）對摘要加密，形成數字簽名，附在發送信息原文后面。

（4）發送方a用接收方b的公鑰（key b公）對自己的通信密鑰進行加密后，傳到接收方b。這一步利用了數字信封的作用，。

（5）接收方b收到加密后的通信密鑰，用自己的私鑰對其解密，得到發送方a的通信密鑰。

（6）接收方b用發送方a的通信密鑰對收到的經加密的簽名原文解密，得數字簽名和原文。

（7）接收方b用發送方a公鑰對數字簽名解密，得到摘要；同時將原文用sha－1函數編碼，產生另一個摘要。

（8）接收方b將兩摘要比較，若一致說明信息沒有被破壞或篡改。否則丟棄該文檔。

5方案評價與結論

參考文獻：

1．李永新.數字簽名技術的研究與探討。紹興文理學院學報。第23卷第7期 2003年3月，p47~49.

2．康麗軍。數字簽名技術及應用，太原重型機械學院學報。第24卷第1期 2003年3月 p31~34.

3．胡炎，董名垂。用數字簽名解決電力系統敏感文檔簽名問題。電力系統自動化。第26卷第1期 2002年1月 p58～61。

4． leung k r p h ,hui l,c k.handing signature purposes in workflow systems. journal of systems.journal of systems and software, 2001,55(3),p245~259.

5． wright m a,a look at public key certificates. network security ,1998(2)p10~13.

6.bruce schneier.應用密碼學---協議、算法與c源程序（吳世終，祝世雄，張文政，等）.北京：機械工業出版社，2001。

篇（5）

所謂電子商務(Electronic Commerce) 是利用計算機技術、網絡技術和遠程通信技術, 實現整個商務(買賣)過程中的電子化、數字化和網絡化。目前，因特網上影響交易最大的阻力就是交易安全問題, 據最新的中國互聯網發展統計報告顯示, 在被調查的人群中只有2.8%的人對網絡的安全性是感到很滿意的, 因此，電子商務的發展必須重視安全問題。

一、電子商務安全的要求

1、信息的保密性：指信息在存儲、傳輸和處理過程中，不被他人竊取。

2、信息的完整性：指確保收到的信息就是對方發送的信息，信息在存儲中不被篡改和破壞，保持與原發送信息的一致性。

3、信息的不可否認性：指信息的發送方不可否認已經發送的信息，接收方也不可否認已經收到的信息。

4、交易者身份的真實性：指交易雙方的身份是真實的，不是假冒的。

5、系統的可靠性：指計算機及網絡系統的硬件和軟件工作的可靠性。

在電子商務所需的幾種安全性要求中，以保密性、完整性和不可否認性最為關鍵。電子商務安全性要求的實現涉及到以下多種安全技術的應用。

二、數據加密技術

將明文數據進行某種變換，使其成為不可理解的形式，這個過程就是加密，這種不可理解的形式稱為密文。解密是加密的逆過程，即將密文還原成明文。

（一）對稱密鑰加密與DES算法

對稱加密算法是指文件加密和解密使用一個相同秘密密鑰，也叫會話密鑰。目前世界上較為通用的對稱加密算法有RC4和DES。這種加密算法的計算速度非?？欤虼吮粡V泛應用于對大量數據的加密過程。

最具代表的對稱密鑰加密算法是美國國家標準局于1977年公布的由IBM公司提出DES (Data Encrypuon Standard)加密算法。

（二）非對稱密鑰加密與RSA算法

為了克服對稱加密技術存在的密鑰管理和分發上的問題，1976年產生了密鑰管理更為簡化的非對稱密鑰密碼體系，也稱公鑰密碼體系(PublicKeyCrypt-system)，用的最多是RSA算法，它是以三位發明者（Rivest、Shamir、Adleman）姓名的第一個字母組合而成的。

在實踐中，為了保證電子商務系統的安全、可靠以及使用效率，一般可以采用由RSA和DES相結合實現的綜合保密系統。

三、認證技術

認證技術是保證電子商務交易安全的一項重要技術。主要包括身份認證和信息認證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性以及信息的完整性

（一）身份認證

用戶身份認證三種常用基本方式

1、口令方式

這種身份認證方法操作十分簡單，但最不安全，因為其安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，不能抵御口令猜測攻擊，整個系統的安全容易受到威脅。

2、標記方式

訪問系統資源時，用戶必須持有合法的隨身攜帶的物理介質(如存儲有用戶個性化數據的智能卡等)用于身份識別，訪問系統資源。

3、人體生物學特征方式

某些人體生物學特征，如指紋、聲音、DNA圖案、視網膜掃描圖案等等，這種方案一般造價較高，適用于保密程度很高的場合。

加密技術解決信息的保密性問題，對于信息的完整性則可以用信息認證方面的技術加以解決。在某些情況下，信息認證顯得比信息保密更為重要。

（二）數字摘要

數字摘要，也稱為安全Hash編碼法，簡稱SHA或MD5 ，是用來保證信息完整性的一項技術。它是由Ron Rivest發明的一種單向加密算法，其加密結果是不能解密的。類似于人類的“指紋”，因此我們把這一串摘要而成的密文稱之為數字指紋，可以通過數字指紋鑒別其明文的真偽。

（三）數字簽名

數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術。

它的作用:確認當事人的身份，起到了簽名或蓋章的作用；能夠鑒別信息自簽發后到收到為止是否被篡改。

（四）數字時間戳

在電子交易中，時間和簽名同等重要。數字時間戳技術是數字簽名技術一種變種的應用，是由DTS服務機構提供的電子商務安全服務項目，專門用于證明信息的發送時間。包括三個部分：需加時間戳的文件的數字摘要；DTS機構收到文件摘要的日期和時間； DTS機構的數字簽名。

（五）認證中心

認證中心：（Certificate Authority，簡稱CA），也稱之為電子商務認證中心，是承擔網上安全電子交易認證服務，能簽發數字證書，確認用戶身份的、與具體交易行為無關的第三方權威機構。認證中心通常是企業性的服務機構，主要任務是受理證書的申請、簽發和管理數字證書。其核心是公共密鑰基礎設（PKI）。

我國現有的安全認證體系(CA)在金融CA方面，根證書由中國人民銀行管理，根認證管理一般是脫機管理；品牌認證中心采用“統一品牌、聯合建設”的方針進行。在非金融CA方面，最初主要由中國電信負責建設。

（六）數字證書

數字證書就是標志網絡用戶身份信息的一系列數據，用于證明某一主體（如個人用戶、服務器等）的身份以及其公鑰的合法性的一種權威性的電子文檔，由權威公正的第三方機構，即CA中心簽發。

以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。

四、電子商務的安全交易標準

（一）安全套接層協議

SSL (secure sockets layer)是由Netscape Communication公司是由設計開發的，其目的是通過在收發雙方建立安全通道來提高應用程序間交換數據的安全性，從而實現瀏覽器和服務器（通常是Web服務器）之間的安全通信。

目前Microsoft和Netscape的瀏覽器都支持SSL，很多Web服務器也支持SSL。SSL是一種利用公共密鑰技術的工業標準，已經廣泛用于Internet。

（二）安全電子交易協議

SET (Secure Electronic Transaction)它是由VISA和MasterCard兩大信用卡公司發起，會同IBM、Microsoft等信息產業巨頭于1997年6月正式制定的用于因特網事務處理的一種標準。采用DES、RC4等對稱加密體制加密要傳輸的信息，并用數字摘要和數字簽名技術來鑒別信息的真偽及其完整性，目前已經被廣為認可而成了事實上的國際通用的網上支付標準，其交易形態將成為未來電子商務的規范。

五、總結

網絡應用以安全為本，只有充分掌握有關電子商務的技術，才能使電子商務更好的為我們服務。然而，如何利用這些技術仍是今后一段時間內需要深入研究的課題。

篇（6）

關鍵詞：信息安全；圓錐曲線數字簽名；登錄系統安全

中圖分類號：TP309 文獻標識碼：A文章編號：1009-3044(2008)35-2463-01

A Secure Login Resolution Scheme

LONG Yong1,CAI Chang-xu2,CAI Chang-shu3

(1. Yunnan Energy School,Qujing 650001,China;puter and Information Department of Qujing Normal University,Qujing 650011,China;3.Yunnan E-government Network Management Center,Kunming 650031,China)

Abstract: The common information system login method adopts only user name and password to authenticate the users.In order to avoid the drawbacks of conventional methods which is vulnerable to the attacks of record keyboard, dictionary guess, SQL injection and so forth, the thesis design a novel scheme adopting Hash algorithm and Conic Curve Digital Signature technology. It can meet the security requirement of authentication, information integrity, non-repudiation.

Key words:information security;conic curve digital signature;system login security

1 前言

在大部分的C/S與B/S的登錄頁面中，都僅僅采用了用戶名和密碼兩項來作為登錄用戶身份的驗證，用戶名和密碼還直接就以明文的形式存儲在數據庫中，更有甚者，還只有密碼一項來驗證用戶身份，且密碼以明文的形式存儲在數據庫中。這樣的系統都是極度不安全的，黑客打開數據庫、記錄合法用戶的鍵盤敲擊、或者字典猜測都很容易獲取登錄頁面的用戶名和密碼。對于用戶名推薦使用與部門或用戶沒有任何關聯的符合一定復雜性的隨機字符來最為用戶名，不得使用Administrator、Admin等。黑客輸入得到的用戶名和密碼就可以登錄系統肆意進行相關的工作了。采用用戶名加密碼的哈西值組合，密碼項就沒有直接存儲在數據庫中，黑客打開數據庫是找不到登錄用戶的密碼項的，這樣的安全性大大強于用戶名和密碼項的組合，但是它還不能抵抗字典猜測攻擊，更危險的是，如果沒有對用戶名和密碼框的輸入進行非法字符的過濾，這樣的系統還是很容易受到SQL注入攻擊的，而SQL注入攻擊是一種攻擊效果非常好的攻擊方法。

2 解決方案

為了保證登錄頁面的安全，必須采取更好的解決方案。本文針對常規解決方法的不足，設計了如下的安全登錄解決方案：采用單向哈西用戶名+用戶授權文件+授權文件完整性校驗+數字簽名技術來解決登錄的安全問題。登錄的實際帳戶在數據庫在不存儲實際名，而是存儲帳戶名的哈西摘要值，使用SHA-1，建議使用SHA-256。不同的用戶角色授權文件不同，授權文件可以是任意格式的文件。完整性校驗采用SHA-256算法，數字簽名算法采用CCDSA算法[1]。CCDSA算法的參數選取采用文獻[1]中的選取過成。數字簽名算法不采用國際上流行算法如RSA，ECDSA，可以在一定的程度上避開了常見密碼算法的已有攻擊算法。本登錄方案從源頭上杜絕了SQL注入攻擊，安全性極高。

登錄的輸入項目有：1)用戶名；2)導入的授權文件，用戶的私鑰。

本登錄方案的登錄過程如下：

1) 登錄用戶輸入符合一定復雜性要求的用戶名。

2) 計算用戶名的SHA-256哈西值，查找數據庫中有無此哈西值存在，若存在說明此用戶是一個存在的合法用戶，否則退出登錄。

3) 登錄的用戶導入登錄的授權文件，用SHA-256計算哈西摘要值，在數據庫中查找有無此授權文件的哈西值存在，若存在，則說明用戶的授權文件是完整的，沒有受到非法的篡改，否則退出登錄。

4) 登錄用戶導入自己的私鑰對計算出的授權文件哈西值進行圓錐曲線數字簽名。

5) 登錄的后臺對授權文件的哈西摘要值的數字簽名驗證數字簽名的合法性，若是合法的數字簽名，則用戶就可以最終登錄入后臺管理系統進行相關的操作了，否則退出登錄。

3 結束語

篇（7）

引言

配電終端是典型的嵌入式設備，多基于linux系統，是配電自動化建設的重要組成部分。國家電網公司物資采購標準的專用技術規范中提出，配電終端應配備符合國調〔2011〕168號文件技術功能要求的非對稱密鑰技術單向認證模塊，終端側應能夠鑒別配電主站（open3200）的數字簽名。

配電主站與配電終端建立tcp連接后，以104規約通信，主站發往終端的重要104規約報文會單向加密并數字簽名。本文hook模塊設計的報文預處理功能正是用于終端側，在通信報文到達終端前定位tcp數據包中的data區報文內容，對報文進行數字簽名鑒別等預處理。

filter處理報文的流程

1.1 netfilter的框架

Netfilter是Linux 2.4版本引入的一個子系統，它作為一個通用的、抽象的框架，提供一整套的hook函數管理機制，使得諸如數據包過濾、網絡地址轉換（NAT）和基于協議類型的連接跟蹤成為可能[1]。同時netfilter也支持用戶自定義hook函數擴充以上功能。

Netfilter把數據包處理的更流程化，并且實現了擴展過濾策略而不必修改內核的功能[2]。該框架為每種網絡協議（ IPv4、IPv6等）定義了數據包處理過程，并定義一些鉤子點（Hook），在內核中建立了一個函數指針鏈表，函數指針所指的函數稱為鉤子函數，其返回值告訴協議棧如何處理數據包[3]。

1.2 報文處理的實現原理

Tcp包經過netfilter時的處理流程以及各“鉤點”如圖1所示。

圖1 數據包在netfilter中的處理流程

對于收到的每個數據包，都從“PRE_ROUTING”點進來，經過路由判決，如果是發送給本機的就經過“LOCAL_IN”點，然后往協議棧的上層繼續傳遞;否則，如果該數據包的目的地不是本機，那么就經過“RORWARD”點，由“POST_ROUTING”點將該包轉發出去。對于上層協議棧發送的每個數據包，首先也有一個路由判決，以確定該包是從哪個接口出去，然后經過“LOCAL_OUT”點，最后也是順著“POST_ROUTING”點將該包發送出去[4]。

filter下報文預處理功能設計與實現

2.1 報文預處理的功能設計

本文設計的報文預處理功能是在L inux內核Netfilter框架上開發的一個內核模塊，具有tcp包勾取、識別、數據修改（加密或加數字簽名）等基本功能，通過動態加載到

Linux內核中實現預處理功能。本文用到的鉤子點是POST_ROUTING，在該點編寫了相應的鉤子函數，并進行注冊和掛接，將tcp數據包鉤出來進行處理再放回去。

通信tcp包在通過linux網關轉發時由預處理hook程序進行處理，程序流程設計如圖2所示：

圖2 程序設計流程圖

2.2 報文預處理的hook函數實現

下文按圖2流程介紹報文處理的hook函數部分源代碼。

（1）hook函數定義如圖3所示：

圖3 hook函數定義

（2）獲取存放當前tcp包數據的skb_buff：

圖4 讀取skb_buff

（3）判斷數據包是否來自目標進程的端口號：

if （likely（ntohs（sport） = 5381）） {

return NF_ACCEPT;

} //判斷主站進程端口號是否為538

（4）判斷數據包是否需要處理

payload = （void *） skb->data + 40;

//+40是從data區偏移出 ip包頭與tcp包頭

if （*payload==0x68） {

//判斷是否為104規約報文

if （*（payload+6）==0x2E） {

//判斷是否為遙控報文

.......}

}

（5）取出tcp數據包中的應用層數據（data區）也就是實際的規約報文，存入replace字符串：

payload = （void *） skb->data + 40;

replace = payload ;

（6）如圖5處理報文，以0x00替換16 L1 L2 16型數字簽名，若想做其他處理都可以借助對指針字符串replace編程實現：

圖5 替換尾端報文16 L1 L2 16

（7）重新封裝tcp包，放入傳輸序列：

if （skb！=NULL） {

nf_nat_mangle_tcp_packet（skb，ct，ctinfo， 0，strlen（replace），（char*）replace，strlen（replace））; //重新封裝tcp包 return NF_ACCEPT;

}

這里的mangle函數調用是整個hook功能實現的核心。

用于修復seq的hook函數如圖6所示：

圖6 修復seq

3.測試運行

本文實驗環境是在windows系統下，用Linux虛擬機作為數據進出內網和外網的網關，報文預處理程序運行在該Linux虛擬機上，同時在該windows下用兩個網絡調試助手分別模擬外網主站與內網終端。內網終端與外網主站通過網關虛擬機交換數據，示意圖見圖7所示：

圖7 模擬通信示意圖

將104規約下的遙控報文68 0E 06 00 46 00 2E 01 06 00 01 00 01 60 00 82 16 77 74 16從模擬主站（Tcp server）發往終端（Tcp client），報文尾端16 77 74 16為簡單數字簽名。如圖8所示：

圖8 主站側發出遙控報文

終端接受到報文如圖9所示，可見報文的數字簽名已被解除，由00 00 00 00替代，如果要對報其他處理，可以在程序中對指針字符串replace做相應的處理。

4.結論

本文基于netfilter防火墻提出了一種報文預處理方法，用于配電終端側鑒別并處理配電主站（open3200）的遙控報文數字簽名。本方法能夠在傳輸網關準確定位到tcp包中的原始報文數據，可按用戶需求對通信報文進行預處理，無需再在終端應用層進行報文處理，減輕了終端的處理壓力、提高終端的響應速度。

圖9 終端側收到的遙控報文

本文設計亦可用于其他的tcp通信場合，提供了一種修改tcp包應用層data區數據的實現方法。

參考文獻

[1]陳慧春.Linux操作系統網絡協議棧的設計與實現研究. 成都：電子科技大學碩士論文，2004：44-47.

篇（8）

隨著網絡的發展，電子商務的迅速崛起，使網絡成為國際競爭的新戰場。然而,由于網絡技術本身的缺陷,使得網絡社會的脆性大大增加，一旦計算機網絡受到攻擊不能正常運作時,整個社會就會陷入危機。所以,構筑安全的電子商務信息環境,愈來愈受到國際社會的高度關注。

一、電子商務中的信息安全技術

電子商務的信息安全在很大程度上依賴于技術的完善,包括密碼、鑒別、訪問控制、信息流控制、數據保護、軟件保護、病毒檢測及清除、內容分類識別和過濾、網絡隱患掃描、系統安全監測報警與審計等技術。

1.防火墻技術。防火墻主要是加強網絡之間的訪問控制, 防止外部網絡用戶以非法手段通過外部網絡進入內部網絡。

2.加密技術。數據加密就是按照確定的密碼算法將敏感的明文數據變換成難以識別的密文數據,當需要時可使用不同的密鑰將密文數據還原成明文數據。

3.數字簽名技術。數字簽名技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發送者的公鑰才能解密被加密的摘要。

4.數字時間戳技術。時間戳是一個經加密后形成的憑證文檔，包括需加時間戳的文件的摘要、dts 收到文件的日期與時間和dis 數字簽名，用戶首先將需要加時間的文件用hash編碼加密形成摘要，然后將該摘要發送到dts，dts 在加入了收到文件摘要的日期和時間信息后再對該文件加密,然后送回用戶。

二、電子商務安全防范措施

網絡安全是電子商務的基礎。網絡安全防范技術可以從數據的加密(解密)算法、安全的網絡協議、網絡防火墻、完善的安全管理制度、硬件的加密和物理保護、安全監聽系統和防病毒軟件等領域來進行考慮和完善。

1.防火墻技術

用過internet,企業可以從異地取回重要數據,同時又要面對 internet 帶來的數據安全的新挑戰和新危險:即客戶、推銷商、移動用戶、異地員工和內部員工的安全訪問;以及保護企業的機密信息不受黑客和工業間諜的入侵。因此,企業必須加筑安全的“壕溝”,而這個“壕溝”就是防火墻.防火墻系統決定了哪些內容服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火墻必須只允許授權的數據通過，而且防火墻本身必須能夠免于滲透。

2. vpn技術

虛擬專用網簡稱vpn,指將物理上分布在不同地點的網絡通過公用骨干網聯接而形成邏輯上的虛擬“私”網,依靠ips或 nsp在安全隧道、用戶認證和訪問控制等相關技術的控制下達到與專用網絡類同的安全性能,從而實現基于 internet 安全傳輸重要信息的效應。目前vpn 主要采用四項技術來保證安全, 這四項技術分別是隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術。

3.數字簽名技術

為了保證數據和交易的安全、防止欺騙,確認交易雙方的真實身份,電子商務必須采用加密技術。數字簽名就是基于加密技術的,它的作用就是用來確定用戶是否是真實的。數字簽名就是通過一個單向哈希函數對要傳送的報文進行處理而得到的用以認證報文是否發生改變的一個字母數字串。發送者用自己的私鑰把數據加密后傳送給接收者,接收者用發送者的公鑰解開數據后,就可確認消息來自于誰,同時也是對發送者發送的信息真實性的一個證明,發送者對所發信息不可抵賴,從而實現信息的有效性和不可否認性。

三、電子商務的安全認證體系

隨著計算機的發展和社會的進步,通過網絡進行的電子商務活動當今社會越來越頻繁,身份認證是一個不得不解決的重要問題,它將直接關系到電子商務活動能否高效而有序地進行。認證體系在電子商務中至關重要,它是用戶獲得訪問權限的關鍵步驟?，F代密碼的兩個最重要的分支就是加密和認證。加密目的就是防止敵方獲得機密信息。認證則是為了防止敵方的主動攻擊,包括驗證信息真偽及防止信息在通信過程被篡改刪除、插入、偽造及重放等。認證主要包括三個方面:消息認證、身份認證和數字簽名。

身份認證一般是通過對被認證對象(人或事)的一個或多個參數進行驗證。從而確定被認證對象是否名實相符或有效。這要求要驗證的參數與被認證對象之間應存在嚴格的對應關系,最好是惟一對應的。身份認證是安全系統中的第一道關卡。

數字證書是在互聯網通信中標志通信各方身份信息的一系列數據。提供了一種 internet 上驗證用戶身份的方式,其作用類似于司機的駕駛執照或身份證。它是由一個權威機構ca機構,又稱為證書授權(certificate authority)中心發行的,人們可以在網上用它識別彼此的身份。

四、結束語

安全實際上就是一種風險管理。任何技術手段都不能保證100%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。因此,為進一步促進電子商務體系的完善和行業的健康快速發展,必須在實際運用中解決電子商務中出現的各類問題,使電子商務系統相對更安全。電子商務的安全運行必須從多方面入手,僅在技術角度防范是遠遠不夠的,還必須完善電子商務立法,以規范飛速發展的電子商務現實中存在的各類問題,從而引導和促進我國電子商務快速健康發展。

參考文獻：

[1] 勞幗齡.電子商務的安全技術[m].北京:中國水利水電出版社,2005.

篇（9）

電子商務所具有的廣闊發展前景，越來越為世人所矚目。但在Inter給人們帶來巨大便利的同時，也把人們引進了安全陷阱。目前，阻礙電子商務廣泛應用的首要也是最大的問題就是安全問題。電子商務中的安全問題如得不到妥善解決，電子商務應用就只能是紙上談兵。從事電子商務活動的主體都已普遍認識到電子商務的交易安全是電子商務成功實施的基礎，是企業制訂電子商務策略時必須首先要考慮的問題。對于實施電子商務戰略的企業來說，保證電子商務的安全已成為當務之急。二、電子商務過程中面臨的主要安全問題

從交易角度出發，電子商務面臨的安全問題綜合起來包括以下幾個方面：

1.有效性

電子商務以電子形式取代了紙張，那么保證信息的有效性就成為開展電子商務的前提。因此，要對網絡故障、操作錯誤、應用程序錯誤、硬件故障、系統軟件錯誤及計算機病毒所產生的潛在威脅加以控制和預防，以保證貿易數據在確定的時刻、確定的地點是有效的。

2.真實性

由于在電子商務過程中，買賣雙方的所有交易活動都通過網絡聯系，交易雙方可能素昧平生，相隔萬里。要使交易成功，首先要確認對方的身份。對于商家而言，要考慮客戶端不能是騙子，而客戶端也會擔心網上商店是否是一個玩弄欺詐的黑店，因此，電子商務的開展要求能夠對交易主體的真實身份進行鑒別。

3.機密性

電子商務作為貿易的一種手段，其信息直接代表著個人、企業或國家的商業機密。如信用卡的賬號和用戶名被人知悉，就可能被盜用而蒙受經濟損失；訂貨和付款信息被競爭對手獲悉，就可能喪失商機。因此建立在開放的網絡環境電子商務活動，必須預防非法的信息存取和信息在傳輸過程中被非法竊取。三、電子商務安全中的幾種技術手段

由于電子商務系統把服務商、客戶和銀行三方通過互聯網連接起來，并實現了具體的業務操作。因此，電子商務安全系統可以由三個安全服務器及CA認證系統構成，它們遵循共同的協議，協調工作，實現電子商務交易信息的完整性、保密性和不可抵賴性等要求。其中采用的安全技術主要有以下幾種:

1.防火墻(FireWall)技術

防火墻是一種隔離控制技術，在某個機構的網絡和不安全的網絡(如Inter)之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業的網絡上被非法輸出。

2.加密技術

數據加密技術是電子商務中采取的主要安全措施，貿易方可根據需要在信息交換的階段使用。在網絡應用中一般采取兩種加密形式：對稱加密和非對稱加密，采用何種加密算法則要結合具體應用環境和系統，而不能簡單地根據其加密強度來做出判斷。

(1)對稱加密

在對稱加密方法中，對信息的加密和解密都使用相同的密鑰。也就是說，一把鑰匙開一把鎖。這種加密算法可簡化加密處理過程，貿易雙方都不必彼此研究和交換專用的加密算法，如果進行通信的貿易方能夠確保私有密鑰在交換階段未曾泄露，那么機密性和報文完整性就可以得到保證。不過，對稱加密技術也存在一些不足，如果某一貿易方有n個貿易關系，那么他就要維護n個私有密鑰。對稱加密方式存在的另一個問題是無法鑒別貿易發起方或貿易最終方。因為貿易雙方共享一把私有密鑰。目前廣泛采用的對稱加密方式是數據加密標準(DES)，它主要應用于銀行業中的電子資金轉賬(EFT)領域。DES對64位二進制數據加密，產生64位密文數據。使用的密鑰為64位，實際密鑰長度為56位(8位用于奇偶校驗)。解密時的過程和加密時相似，但密鑰的順序正好相反。

(2)非對稱加密/公開密鑰加密

在Inter中使用更多的是公鑰系統，即公開密鑰加密。在該體系中，密鑰被分解為一對：公開密鑰PK和私有密鑰SK。這對密鑰中的任何一把都可作為公開密鑰(加密密鑰)向他人公開，而另一把則作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能由生成密鑰對的貿易方掌握，公開密鑰可廣泛，但它只對應于生成該密鑰的貿易方。在公開密鑰體系中，加密算法E和解密算法D也都是公開的。雖然SK與PK成對出現，但卻不能根據PK計算出SK。公開密鑰算法的特點如下：

用加密密鑰PK對明文X加密后，再用解密密鑰SK解密，即可恢復出明文，或寫為：DSK(EPK(X))=X。

加密密鑰不能用來解密，即DPK(EPK(X))≠X

在計算機上可以容易地產生成對的PK和SK。

從已知的PK實際上不可能推導出SK。加密和解密的運算可以對調，即：EPK(DSK(X))=X

常用的公鑰加密算法是RSA算法，加密強度很高。具體做法是將數字簽名和數據加密結合起來。發送方在發送數據時必須加上數字簽名，做法是用自己的私鑰加密一段與發送數據相關的數據作為數字簽名，然后與發送數據一起用接收方密鑰加密。這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發送的數據和發送方的數字簽名，然后用方公布的公鑰對數字簽名進行解密，如果成功，則確定是由發送方發出的。由于加密強度高，而且不要求通信雙方事先建立某種信任關系或共享某種秘密，因此十分適合Inter網上使用。

3.數字簽名

數字簽名技術是實現交易安全核心技術之一，它實現的基礎就是加密技術。以往的書信或文件是根據親筆簽名或印章來證明其真實性的。但在計算機網絡中傳送的報文又如何蓋章呢？這就是數字簽名所要解決的問題。數字簽名必須保證以下幾點：接收者能夠核實發送者對報文的簽名；送者事后不能抵賴對報文的簽名；接收者不能偽造對報文的簽名。現在己有多種實現數字簽名的方法，采用較多的就是公開密鑰算法。

4.數字證書

(1)認證中心

在電子交易中，數字證書的發放不是靠交易雙方來完成的，而是由具有權威性和公正性的第三方來完成的。認證中心就是承擔網上安全電子交易認證服務、簽發數字證書并確認用戶身份的服務機構。

(2)數字證書

數字證書是用電子手段來證實一個用戶的身份及他對網絡資源的訪問權限。在網上的電子交易中，如雙方出示了各自的數字證書，并用它來進行交易操作，那么交易雙方都可不必為對方身份的真偽擔心。

5.消息摘要(MessageDigest)

消息摘要方法也稱為Hash編碼法或MDS編碼法。它是由RonRivest所發明的。消息摘要是一個惟一對應一個消息的值。它由單向Hash加密算法對所需加密的明文直接作

這篇論文.用，生成一串128bit的密文，這一串密文又被稱為“數字指紋”(FingerPrint)。所謂單向是指不能被解密，不同的明文摘要成密文，其結果是絕不會相同的，而同樣的明文其摘要必定是一致的，因此，這串摘要成為了驗證明文是否是“真身”的數字“指紋”了。四、小結

篇（10）

中圖分類號:G640文獻標志碼:A文章編號:1673-291X(2010)04-0256-02

隨著計算機和互聯網應用的不斷發展,高?？萍颊撐牡木W絡發表和共享也得到逐步的發展。高校科技論文的網絡發表與共享打破了高校以往的只能通過傳統紙質期刊發表科技論文的程序,減少了科技的時間,使高校的科研人員學術交流更加方便、快捷;在推動高?？萍夹畔⒑椭R的快速傳播以及科技成果迅速得到共享和應用方面具有重要的作用?？萍冀j發表和共享平臺在中國還是一個新的事物,相關的制度和機制還沒有健全 [1],在版權保護方面還存在很多問題。科技絡發表與共享平臺的高度共享性使得版權保護的難度增大,如何有效保護高校科技絡發表與共享平臺作者的版權是目前首要解決的問題。

一、科技論文的網絡發表與傳統科技的版權比較

(一)網絡科技論文與傳統科技論文版權保護的復雜度

網絡侵權與傳統版權侵權相比,傳統版權侵權是紙質為載體的,是看得見摸得著的,網絡侵權是通過網絡發表與共享平臺實施的,侵權完成的速度快,復制、下載、傳輸行為變得簡單易行,同時侵權確認的難度大。與傳統版權保護相比,網絡版權保護變得更加復雜,版權保護的主體、客體及地域性的范圍加大。傳統版權保護的主體是作者、出版者及其用戶。網絡發表與共享平臺下的版權保護主體包括科技論文擁有者、科技論文傳播者、網絡服務開發商以及科技絡的使用者。另一方面,版權保護的客體范圍擴大;同時由于互聯網的無國界,一旦有侵權行為發生,版權保護就十分復雜。如表1所示,二者的侵權復雜程度比較。

(二)網絡科技論文與傳統科技論文著作權比較

1.發表權和修改權。發表權包含的內容很多,包括是否發表,何時發表,在何刊物發表等。所有這些都應由作者自己來決定,任何他人未經作者授權或委托,都不得擅自決定。但是由于傳統期刊需要經過投稿、審稿等漫長的過程,發表的周期很長。所有這些發表權版權人無法自己決定,一旦投稿就沒法修改,甚至有些出版社自行修改侵犯了作者的著作權 [2]。而網絡發表與共享平臺下的科技論文可以隨時發表。修改權,即修改或者授權他人修改作品的權利,這表明,作品可由作者自己修改,也可由取得授權的其他人修改。

2.保護作品完整權。傳統紙質期刊發表的論文,科技論文的完整性有時會被忽視,比如對于論文稿件,經專家審稿后,認為論文的內容很好,但由于版面限制等因素,就會對論文進行大量的修改和刪除,此種做法就侵犯了作者的保護作品完整權。然而相對于網絡科技論文,由于作其發表的載體為網頁沒有任何篇幅和尺寸上的限制,科技時完全可以從其內容本身的完整性編排內容。

3.信息網絡傳播權。信息網絡傳播權是中國2001年新修訂的《著作權法》增加的一項權利,保護通過互聯網方式向公眾提供作品,使公眾可以在其個人選定的時間和地點獲得作品的權利。是由于互聯網技術的發展,而出現的新的著作權權利是網絡科技論文傳播的一項重要權利。傳統科技論文則沒有此項權利。

二、高?？萍冀j發表與共享的版權侵權分析

1.信息網絡傳播權侵權。有些網絡發表與共享平臺未經版權人的同意或許可,擅自將其作品在網絡上發表,傳播。比如有些網絡平臺擅自把一些作者的博客作品在其網站上發表并予以共享,在網絡上使用他人作品時,擅自對作品進行修改、刪節等;根據信息網絡傳播權保護條例明確將此種行為定性為侵犯了作者的信息網絡傳播權。

2.科技論文作者權益侵權?？萍冀j發表和共享使得復制、盜版和修改變得更加容易,以中國科技論文在線發表與共享平臺為例,作者發表的論文根據文責自負的原則,只要作者所投論文遵守國家相關法律,有一定學術水平,符合其網站的基本投稿要求,就可以發表?？萍颊撐脑诰€允許文章在發表前,甚至審稿前首先在網上,科技論文在線采用的這種先公開,后評審的論文評價方法使得作者一旦上載的作品沒有經過授權或許可,通過科技論文在線進行傳播就會存在很大的版權風險。

通過對廣西某幾所高校的一些科研人員調查發現,80% 的科研人員不愿意在網絡平臺上發表及共享其科研成果。40%的被訪者認為如果網絡上發表共享其論文,再次向正規期刊投稿難度會增加,甚至一些正規期刊不接受這樣的投稿。20.7% 的認為將會導致盜版現象;7.3% 的認為可能會被用于商業目的;12%的認為可能會損害文章的完整性和署名權;只有20% 的人考慮過將自己的文章公布在網絡平臺上。其主要原因是由于目前存在不少版權糾紛的問題。所以說科技論文在線發表與共享應妥善處理好網絡版權侵權。

三、高?？萍冀j發表與共享版權保護的建議措施

(一)科技絡著作權人采取的措施

1.增強高校著作權人的版權保護意識。在目前網絡版權保護方面還不夠完善的情況下,樹立高?？蒲腥藛T的版權保護意識更為重要。目前,高?？蒲腥藛T科技絡發表的著作權意識還比較淡薄。即使自己的作品被侵權,很多作者沒有拿起法律武器來保護自己的權益。從而導致現實生活中任意轉載、改編等方式使用科技論文的現象很普遍。因此要通過各種方式,開展版權教育,增強版權自我保護意識。高校應加強版權保護這方面的宣傳,在網絡發表與共享平臺上登載相關著作權保護知識,利用一切可能的媒介和渠道宣傳版權保護的相關知識。

2.采取技術措施。版權的保護措施是指版權人主動采取的,能有效控制進入受版權保護的作品并對版權人權利進行有效保護,防止侵犯其合法權利的設備、產品或方法 [3]。目前,在現有的技術條件下應對網絡中的侵權現象,版權人采取的技術措施通常包括采用反復制設備、訪問控制技術、數字水印、數字簽名或數字指紋技術等保護網絡科技論文的版權。

(1)反復制設備(anti-cope devices);由于網絡作品的復制非常容易,目前版權人一般采取反復制設備就是阻止復制作品的設備。其中最有代表性的就是“SCMS”系統(serial copy management systems),該系統的最大特點就在于它不僅可以控制作品的第一次復制,而且可以控制作品的再次復制,避免數字化作品的復制件被作為數字化主盤。(2)訪問控制技術;即控制進入受保護作品的技術保護措施(如登錄密碼)。它允許用戶對其常用的信息庫進行適當權利的訪問,限制用戶隨意刪除、修改或拷貝信息文件。(3)數字水印、數字簽名及數字指紋技術;為了防止網絡作品的易修改,易盜版現象出現了數字水印、數字簽名或數字指紋版權保護技術。數字水印是利用數字內嵌的方法隱藏在數字圖像、聲音、文檔、圖書、視頻等數字產品中,使得用戶只能在屏幕上閱讀,而無法復制。這種技術可以用以證明原創作者對其作品的所有權,并作為鑒定、非法侵權的證據。數字指紋是指同時在數字作品中嵌入的是作品傳播者和使用者的標識信,和數字水印技術相反,當某個用戶將其拷貝非法的傳播到外界,版權所有者就可以通過提取拷貝中的指紋來追蹤非法用戶。數字簽名技術即進行身份認證的技術,防止偽造,保證信息的真實性和完整性。其他技術措施比如防火墻技術、認證技術(CA)、追蹤系統、標準系統、電子版權管理系統等。

(二)完善版權保護法律制度

中國在著作權的網絡立法方面,其法律文件有《中華人民共和國著作權法》、《關于審理涉及計算機網絡域名民事糾紛案件適用法律若干問題的解釋》、《關于審理著作權民事糾紛案件適用法律若干問題的解釋》、《關于審理涉及計算機網絡著作權糾紛案件適用法律若干問題的解釋》、《保護知識產權刑事司法解釋》、《互聯網著作權行政保護辦法》等一系列涉及網絡版權保護的文件,為技術措施的實施提供了法律依據。其中《互聯網著作權行政保護辦法》是2005年由國家版權局與信息產業部聯合實施的,對網絡環境下的科技論文版權保護發揮著重要的作用。但是中國法律法規還不夠健全,政府應加快對《著作權法》的修改、完善,并制定保護網絡著作權的專項法律或行政法規。法律保護是一種事后控制的手段,即只有在發現侵權行為之后,法律才能進行干預,一旦有版權侵權,高?？蒲腥藛T應拿起法律武器保護自己的合法權益。

(三)網絡發表與共享平臺加大版權保護力度

網絡發表與共享平臺應增強維權意識,對抄襲剽竊他人論文成果侵犯版權的行為予以嚴懲。以中國科技論文在線為例,其網站上設有學術監督欄,對一些侵犯版權的作者取消已發表的論文,收回刊載證明,在中國科技論文在線網站上予以譴責,并禁止三年內在其網站上,對維護版權所有者的權益起到了一定的作用。但是這對于網站在保護版權方面還是不夠的。對于一些復制、盜版其網站上的論文在其他網絡平臺上發表或者在科技期刊上發表,則沒有相關的政策。網絡發表與共享平臺應當充分重視作者的論文版權保護需求,保護作者的著作權權益。

高校科技絡發表與共享版權保護要得到增強,首先要增強高校版權人的版權保護意識;其次則必須及時更新、完善相關法律制度,加快網絡版權保護的立法,最后要提高網絡發表與共享平臺的技術保護水平。只有作者的版權得到有效的保護,才能提高科技論文的發表數量和質量,推動高校科技論文的網絡發表與共享。

參考文獻:

上一篇: 銷售營銷策劃方案下一篇: 畢業生推薦表自我總結