《基于PKI的数字签名研究和改进.pdf》由会员分享,可在线阅读,更多相关《基于PKI的数字签名研究和改进.pdf(3页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、龙源期刊网 http:/基于基于 PKIPKI 的数字签名研究和改进的数字签名研究和改进作者:贺慧玲来源:电子世界2012 年第 24 期【摘要】在电子商务中实际应用的数字签名主要是基于PKI体系结构的数字签名,其安全性主要由 PKI体系结构系统本身的安全性决定。本文简单介绍PKI系统的组成和 PKI系统提供的服务,对 PKI提供的服务进行安全分析,并提出相应改进措施。提出了添加随机因子和时间戳的数字签名方案,该方案能抵御基于RSA算法的假冒,攻击防止信息破译和骗取用户签字,具有很高安全性和实用价值。【关键词】PKI;数字签名算法;加密解密一、PKI系统基本组成 PKI是一个以公钥密码技术为基
2、础,数字证书为媒介,结合对称加密和非对称加密技术,将个人的信息和公钥绑在一起的系统。其主要目的是通过管理密钥和证书,为用户建立一个安全、可信的网络应用环境,使用户可以在网络上方便地使用加密和数字签名技术,在Internet上验证通信双方身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。完整的 PKI系统包括一个 RA中心、CA中心、用户终端系统EE、证书/CRL资料库和秘钥管理系统。二、PKI系统提供的服务 PKI作为安全基础设施,主要提供的服务有保密性服务、身份认证服务、验证信息完整性服务以及电子商务中的不可抵赖性服务。1.保密性服务所谓保密性服务就是提供信息的保密性服
3、务,包括存储文件和传输信息的保密性,所有需要保密的信息都加密,这样即使被攻击者获取到也只是密文形式,攻击者没有解密密钥,无法得到信息的真实内容,从而实现了对信息的保护。PKI提供了保密性服务,并且这个服务对于所有用户都是透明的。2.身份认证服务 PKI的认证服务在 ITU-TX.509标准中定义为强鉴别服务,即采用公开密钥技术、数字签名技术和安全的认证协议进行强鉴别的服务。3.完整性服务龙源期刊网 http:/完整性服务就是保证数据在保存或传输过程中没有被非法篡改,PKI体系中采用对信息的信息摘要进行数字签名的方式验证信息的完整性。4.不可抵赖性服务不可抵赖性服务是对参与者对做过某件事提供一个
4、不可抵赖的证据。在PKI体系中,发送方的数字签名就是不可抵赖的证据。三、基于 PKI的数字签名的实现基于 PKI的数字签名,用户首先向PKI的 RA中心注册自己的信息,RA审核用户信息,审核通过则向 CA 中心发起证书申请请求,CA 中心为用户生成秘钥对,私钥私密保存好,公钥和用户信息打包并用CA私钥进行数字签名,形成数字证书并发布在CA服务器的证书列表,用户到证书列表查看并下载证书。假设用户 A要向用户 B发送信息 M,用户 A首先对信息进行哈希函数h运算得到 M 的信息摘要 hA,再用自己的私钥 DA对 hA进行加密得到数字签名Sig(hA)。将明文 M、数字签名 Sig(hA)以及 A
5、的证书 CertA组成信息包,用 B的公钥 EB加密得到密文 C并传送给 B。其中数字签名与信息原文一起保存,私钥DA只有用户 A 拥有,因此别人不可能伪造A 的数字签名;又由于 B的私钥只有 B 拥有,所以只有 B可以解密该信息包,这样就保证了信息的保密性。四、基于 PKI体系结构的数字签名安全性分析从基于 PKI数字签名的实现过程和验证过程中我们知道,数字签名的安全性取决于以下几点:1.CA服务器确实安全可靠,用户的证书不会被篡改。CA服务器的安全性主要包括物理安全和系统安全。所谓物理安全是指CA 服务器放置在物理环境安全的地方,不会有水、火、虫害、灰尘等的危害;系统安全是指服务器系统的安
6、全,可以由计算机安全技术与防火墙技术实现。2.用户私钥确实被妥善管理,没有被篡改或泄露。现在采用的技术是USB Key或智能卡存储用户私钥,并由用户用口令方式保护私钥,而且实现了私钥不出卡,要用私钥必须插卡,从技术实现了私钥不会被篡改和泄露。3.数字签名方案的安全性好。基于PKI公钥加密技术的数字签名是建立在一些难解的数学难题的基础上,其中基于RSA算法的签名方案应用最多。RSA算法是基于大数分解的困难性,目前当模数达到 1024位时,分解其因子几乎是不可能的,未来十年内也是安全的。但是由于 RSA算法保存了指数运算的特性,RSA不能抵御假冒攻击,就算攻击者不能破解密钥,也可进行假冒攻击实现消
7、息破译和骗取用户签名。龙源期刊网 http:/六、总结在电子商务交易的过程中,PKI系统是降低电子商务交易风险的一种常用且有效的方法,本文介绍了 PKI系统的组成,PKI系统提供的服务,分析了基于PKI通信的安全性,其安全主要通过数字证书和数字签名来实现,而数字签名的安全性则主要依赖于签名方案,在研究和分析现有数字签名方案的基础上提出了改进的新方案,即添加随机因子和时间戳的RSA签名方案,新方案增加了通信双方交互次数,虽然系统效率有所降低,但提高了方案的安全性,并且新方案既可保证信息的保密性、完整性,又使得通信双方都具备了不可抵赖性,具有很高安全性和较强的实用意义。参考文献 1刘颖.基于身份的数字签名的研究D.西安电子科技大学硕士学位论文,2006,1.2段保护.一种改进的基于时间戳的数字签名方案D.长沙理工大学硕士学位论文,2009,3.3陈昕.基于一次性口令的身份认证系统研究及实现D.南京信息工程大学硕士学位论文,2009,5.4潘恒.电子商务环境下基于PKI的信任问题研究D.信息工程大学博士学位论文,2006,10.5张宁.电子商务安全性分析D.北京邮电大学硕士研究生学位论文,2007,3.6任晓东.基于 PKI的认证中心研究与实现D.西南交通大学硕士学位论文,2008,5.7梁雪梅.安全数字签名在电子商务中的应用研究D.重庆大学硕士学位论文,2008,9.