电子签名的安全策略,本文主要内容关键词为:安全策略论文,电子签名论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
所谓电子签名,是指数据电文中以电子形式所含、所附、用于识别签名人身份并表明签名人认可其中内容的数据。电子签名有三层含义:一是电子签名是以电子形式存在的;二是电子签名能确认电子合同的内容;三是当事人通过电子签名表明其身份,并表明接受合同项下的权利义务,继之表明愿意承担可能产生的合同责任。电子签名在电子商务发展中有着广阔的发展前景,因为电子签名能够节约大量开支,提高办事效率。
电子签名本身是一种电子数据,储存在计算机硬盘或软盘中,极易被修改或破坏,且不会留下痕迹,电子签名的证明力不如书面签章。在电子交易中,当事人一方可能同时拥有多个电子签名,可能在不同的系统中使用不同的电子签名,不如书面签名那样具有惟一性。在电子商务中,电子签名采用技术手段取代手书签名或盖章已成必然,利用口令、代码、数字或生物鉴别等多种技术,对签署电子文件的发件人身份予以确认,成为电子商务中验证彼此身份的必然趋势。
由于网络具有虚拟性的特点,网络中的交易信息在传输、存储和交换过程中被删改、窃取、拦截等情况也会发生,使其签名的可靠性、可用性、完整性、保密性、不可抵赖性受到影响,导致当事人责任不明,阻碍交易的进行或不利于纠纷的解决。电子签名安全是电子商务的生命所在,随着电子商务的普遍推行,电子签名现已成为创建安全、可靠的网上交易环境的基础,因此,有必要进行电子签名的安全性研究,电子签名安全应从以下几方面入手。
电子签名法律化。虽然电子商务安全可靠的交易环境应从多方面入手,但其中最重要的还是电子签名的法律化。电子商务交易中需要立法保障的环节很多,其中最首要的是要对交易基础环节行为予以确认,首当其中的就是电子签名。1995年美国犹他州第一个颁布《数字签名法》,联合国于2001年审议通过了《电子签章示范法》成为国际上关于电子签章重要的立法文件,随着各国高度重视电子签名立法,迄今电子签名已在日本、法国等几十个国家获得与普通书面签名一样的法律地位。2004年8月28日,胡锦涛主席签署了第十八号主席令, 我国《电子签名法》已于2005年4月1日起正式实施。《电子签名法》的颁布实施,使得网上交易结算活动可完全实现无纸化,电子签名的出现使得传统的纸质合同能够以电子文件的形式出现,使得直接在网上签署合同有了法律保证。电子签名法律化加快了信息流、资金流与物流的流通,提高各部门的经营效益,是电子商务和电子政务向着现代化发展的一个重要里程碑。
广泛使用数字证书。数字证书是在网络环境下对某个网络实体身份的一种证明凭证,它虽然与居民身份证相类似,但与身份证有着本质的区别,主要区别在于数字证书以数字信息为介质,用在网络环境中证明某个网络实体的身份。数字证书有着巨大的功能,它可以参与数据存储加密、数据传输加密、数据传输完整性保护等过程。传统网上银行提供的数字证书主要存放在IE浏览器、IC卡和USB-Key等几种介质中,在信息的导入和导出中存在着较大的安全隐患。出于用户对安全性及保密性的需要,网上银行应该统一使用数字证书,单一的密码验证难以适应电子商务迅速发展的需要。由于PKI(Public Key Infrastructure)技术的引人,使用数字证书在技术上已经日趋成熟。
完善认证制度。由第三方为签名人提供保证,称为电子签名安全认证。电子签名的认证机构是一种网络服务机构,它主要提供信用服务,主要业务包括签发管理电子商务服务证书、产生和管理使用者密码以及CA(Certificate Authority)密码管理等,同时,作为认证机构还应该承担起审查企业从事电子商务的资格,执行电子市场的准入规则。认证机构通过自有的注册审核体系,审查交易主体资格,颁发电子证书,对电子签名及其签名人的真实性进行审查并做出证明。目前,各国设立的认证机构形式主要有三种:一种是由政府或政府授权机构组建;第二种是采取市场导向的原则,通过市场的方式建立;第三种是以政府或政府授权的认证机构为认证体系的核心,同时允许其他机构申请成为折衷型认证机构。认证机构主要有权威性、独立性、中立性、非营利性等特征。通过认证机构的认证,当事人对交易方的信任度大大的增强,电子合同交易安全性得到保障。
使用芯片卡。利用单一的口令、代码或数字鉴别技术已经不能满足安全的需要和电子商务的发展,因为在口令和代码的传送中,要经过很多个节点,在传送的过程中,这些代码可能会被控制和截取,从而使网络安全受到威胁。因此,在网上交易普及个人的芯片卡,会避免上述问题的发生。人们可将自己的签名经数字转化后存放在这张个人的芯片卡中。这张芯片卡能自动加密,而存储在芯片上的数据只有本人和一个经授权的部门才能访问,人们可以安全地使用自己的芯片卡从事商业活动。
采用生物鉴别技术。指纹和虹膜鉴别法也将会普遍使用,人们在需使用电子签名时,电脑上的数字相机会把交易人的手指或者眼睛中的虹膜记录下来,然后把指纹或眼睛中的虹膜信息传送到银行的数据库,和已储存在银行的有关顾客指纹或眼睛虹膜的资料进行核对。而不法分子可以盗窃其他人密码,也可以模仿签名,但是,指纹和眼睛虹膜是他们无法模仿的。因此,用此法进行电子签名甚至比白纸黑字的签名更加安全和可靠。
开发电子签名软件。目前,国内外电子签名广泛采用的是非对称密钥加密的数字签名技术,将数字签名与加密技术相结合,解决信息传输过程中的保密性、防抵赖性及身份认证等问题,一个主要的方法是使用电子签名软件,其原理是使用签名软件中的程序功能,通过程序进行计算,然后使用私密钥,将电子签名转化为数字签名。由于被签署的信息和用以生成数字签名的私密钥是独一无二的,数字签名被附在信息上,并随同信息一起储存和传送,之后予以签名确认,确认者可以检查数字签名是否是使用相应的私密钥签署的,如果满足了条件,则判定数字签名为有效签名。由此可见,数字签名的惟一对应性保证了签名人身份的真实性和信息内容的完整性,是一种安全性很高的签名技术。