03第三讲 密码学基础（二）第4课.pdf

河海大学郑峋如 电子商务安全与风险管理讲义 2010-05 第三讲 密码学基础（二） （第 4 课） 目录 第三讲 密码学基础（二） ........................................................................................................... 1 3.3 认证技术 .................................................................................................................................. 1 3.3.1 认证技术概述 ....................................................................................................................... 1 3.3.2 数字签名 ............................................................................................................................... 1 3.3.3 身份认证技术 ....................................................................................................................... 5 第三讲 密码学基础（二） 3.3 认证技术 3.3.1 认证技术概述 认证技术是解决电子商务活动中的安全问题的技术基础。认证采用对称密码、公钥加 密、散列算法等技术为电子商务活动中的信息完整性和不可否认性以及电子商务实体的身份 真实性提供技术保障。 认证是信息安全中的一个重要内容，认证可分为消息认证（也称数据源认证）和身份 认证。消息认证用于保证信息的完整性与抗否认性，身份认证则用于鉴别用户身份。 在电子商务系统中有时候认证技术可能比信息加密本身更加重要。比如在网上购物和 支付系统中，用户往往对购物信息的必威体育官网网址性不是很看重，而对网上商店的身份的真实性则倍 加关注（这就需要身份认证）；另外，用户的个人信息（如银行账号、身份证、密码等）和 提交的购物信息未被第三方修改或伪造，并且网上商家不能抵赖（这就需要消息认证），同 样，商家也面临着这些问题。 本节将重点对数字签名和身份认证技术作介绍，对数字签名和身份认证中的相关技术 （如数字时间戳技术、散列算法等）进行简要介绍，并介绍相关技术的实现方案。 3.3.2 数字签名 数字签名从传统的手写签名衍生而来，它可以提供一些基本的密码服务，如数据的完 整性、真实性以及不可否认性。数字签名是实现电子交易安全的核心技术之一，它在身份认 证、数据完整性、不可否认性以及匿名性等方面有着重要的应用。如文件的制造者可以在电 子文件上签一个可信、不可伪造、不可更改、不可抵赖的数字签名；电子商务实体可以向对 方发送自己的身份识别码、用户名、口令等身份信息的数字签名来进行身份验证。 简单地说，数字签名就是通过一个单向函数对要传送的报文进行处理，得到用于认证 报文来源并核实报文是否发生变化的一个字母数字串，用这个字符串来代替书写签名或印章， 起到与书写签名或印章同样的法律效用。数字签名具有法律效力，签名者一旦签名便需要对 自己的签名负责，接收者通过验证签名来确认信息来源的正确性、完整性和可靠性。 第 1 页 共 8 页 河海大学郑峋如 电子商务安全与风险管理讲义 2010-05 数字签名必须能保证：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对 报文的签名；接收者不能伪造对报文的签名。 目前有许多数字签名的方法，它们可以分为两类：直接的和需仲裁的数字签名。 直接的数字签名仅涉及通信双方，数字签名