基于PKI的数字签名研究和改进|数字签名

　　【摘要】在电子商务中实际应用的数字签名主要是基于PKI体系结构的数字签名，其安全性主要由PKI体系结构系统本身的安全性决定。本文简单介绍PKI系统的组成和PKI系统提供的服务，对PKI提供的服务进行安全分析，并提出相应改进措施。提出了添加随机因子和时间戳的数字签名方案，该方案能抵御基于RSA算法的假冒，攻击防止信息破译和骗取用户签字，具有很高安全性和实用价值。
　　【关键词】PKI；数字签名算法；加密解密
　　一、PKI系统基本组成
　　PKI是一个以公钥密码技术为基础，数字证书为媒介，结合对称加密和非对称加密技术，将个人的信息和公钥绑在一起的系统。其主要目的是通过管理密钥和证书，为用户建立一个安全、可信的网络应用环境，使用户可以在网络上方便地使用加密和数字签名技术，在Internet上验证通信双方身份，从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。完整的PKI系统包括一个RA中心、CA中心、用户终端系统EE、证书/CRL资料库和秘钥管理系统。
　　二、PKI系统提供的服务
　　PKI作为安全基础设施，主要提供的服务有保密性服务、身份认证服务、验证信息完整性服务以及电子商务中的不可抵赖性服务。
　　1.保密性服务
　　所谓保密性服务就是提供信息的保密性服务，包括存储文件和传输信息的保密性，所有需要保密的信息都加密，这样即使被攻击者获取到也只是密文形式，攻击者没有解密密钥，无法得到信息的真实内容，从而实现了对信息的保护。PKI提供了保密性服务，并且这个服务对于所有用户都是透明的。
　　2.身份认证服务
　　PKI的认证服务在ITU-TX.509标准中定义为强鉴别服务，即采用公开密钥技术、数字签名技术和安全的认证协议进行强鉴别的服务。
　　3.完整性服务
　　完整性服务就是保证数据在保存或传输过程中没有被非法篡改，PKI体系中采用对信息的信息摘要进行数字签名的方式验证信息的完整性。
　　4.不可抵赖性服务
　　不可抵赖性服务是对参与者对做过某件事提供一个不可抵赖的证据。在PKI体系中，发送方的数字签名就是不可抵赖的证据。
　　三、基于PKI的数字签名的实现
　　基于PKI的数字签名，用户首先向PKI的RA中心注册自己的信息，RA审核用户信息，审核通过则向CA中心发起证书申请请求，CA中心为用户生成秘钥对，私钥私密保存好，公钥和用户信息打包并用CA私钥进行数字签名，形成数字证书并发布在CA服务器的证书列表，用户到证书列表查看并下载证书。
　　假设用户A要向用户B发送信息M，用户A首先对信息进行哈希函数h运算得到M的信息摘要hA，再用自己的私钥DA对hA进行加密得到数字签名Sig(hA）。将明文M、数字签名Sig(hA）以及A的证书CertA组成信息包，用B的公钥EB加密得到密文C并传送给B。其中数字签名与信息原文一起保存，私钥DA只有用户A拥有，因此别人不可能伪造A的数字签名；又由于B的私钥只有B拥有，所以只有B可以解密该信息包，这样就保证了信息的保密性。
　　四、基于PKI体系结构的数字签名安全性分析
　　从基于PKI数字签名的实现过程和验证过程中我们知道，数字签名的安全性取决于以下几点：
　　1.CA服务器确实安全可靠，用户的证书不会被篡改。CA服务器的安全性主要包括物理安全和系统安全。所谓物理安全是指CA服务器放置在物理环境安全的地方，不会有水、火、虫害、灰尘等的危害；系统安全是指服务器系统的安全，可以由计算机安全技术与防火墙技术实现。
　　2.用户私钥确实被妥善管理，没有被篡改或泄露。现在采用的技术是USB Key或智能卡存储用户私钥，并由用户用口令方式保护私钥，而且实现了私钥不出卡，要用私钥必须插卡，从技术实现了私钥不会被篡改和泄露。
　　3.数字签名方案的安全性好。基于PKI公钥加密技术的数字签名是建立在一些难解的数学难题的基础上，其中基于RSA算法的签名方案应用最多。RSA算法是基于大数分解的困难性，目前当模数达到1024位时，分解其因子几乎是不可能的，未来十年内也是安全的。但是由于RSA算法保存了指数运算的特性，RSA不能抵御假冒攻击，就算攻击者不能破解密钥，也可进行假冒攻击实现消息破译和骗取用户签名。
　　六、总结
　　在电子商务交易的过程中，PKI系统是降低电子商务交易风险的一种常用且有效的方法，本文介绍了PKI系统的组成，PKI系统提供的服务，分析了基于PKI通信的安全性，其安全主要通过数字证书和数字签名来实现，而数字签名的安全性则主要依赖于签名方案，在研究和分析现有数字签名方案的基础上提出了改进的新方案，即添加随机因子和时间戳的RSA签名方案，新方案增加了通信双方交互次数，虽然系统效率有所降低，但提高了方案的安全性，并且新方案既可保证信息的保密性、完整性，又使得通信双方都具备了不可抵赖性，具有很高安全性和较强的实用意义。
　　参考文献
　　[1]刘颖.基于身份的数字签名的研究[D].西安电子科技大学硕士学位论文,2006,1.
　　[2]段保护.一种改进的基于时间戳的数字签名方案[D].长沙理工大学硕士学位论文,2009,3.
　　[3]陈昕.基于一次性口令的身份认证系统研究及实现[D].南京信息工程大学硕士学位论文,2009,5.
　　[4]潘恒.电子商务环境下基于PKI的信任问题研究[D].信息工程大学博士学位论文,2006,10.
　　[5]张宁.电子商务安全性分析[D].北京邮电大学硕士研究生学位论文,2007,3.
　　[6]任晓东.基于PKI的认证中心研究与实现[D].西南交通大学硕士学位论文,2008,5.
　　[7]梁雪梅.安全数字签名在电子商务中的应用研究[D].重庆大学硕士学位论文,2008,9.
　　[8]贾杰.基于RSA的概率公钥密码算法[D].中央民族大学硕士学位论文,2009,4.

推荐访问:数字签名 改进 研究 PKI