1、时代变革数字认证走向实用 教育管理现代化的时代变革走向时代变革:数字认证走向实用 教育管理现代化的时代变革走向中华人民共和国电子签名法已经通过整一周年了。实践证明它的颁布对我国的电子商务和电子政务的发展产生了深远的影响并象征着一个时代的变革。目前,我国已有17家合法设立的电子认证服务机构,向交易双方发放了250多万张电子认证证书,应用领域涉及网上税收、社区服务、招标采购、网上银行等多个方面,可以说应用已经进入了正规。本专题对电子认证技术等相关知识做了详细剖析。要理解什么是电子签名,需要从传统手工签名或盖印章谈起。在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人
2、签字、盖章,以便让交易双方识别是谁签的合同,保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而随着互联网应用的越来越成熟,在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠it技术手段来替代。电子认证与电子签名从法律上讲,签名有两个功能:即标识签名人和表示签名人对文件内容的认可。联合国贸发会的电子签名示范法中对电子签名做如下定义:“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”;在欧盟的电子签名共同框架指令中就规定:“以电子形式所附或在逻辑上与其他电子数据相关的数据,作为一种判
3、别的方法”称为电子签名。而我国电子签名法对电子签名的定义:“是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。根据这一定义,能识别签名人身份的电子签名方法可能有很多种,比如:id/口令、指纹识别、虹膜/网膜识别和形态识别等等。但是,用这样一些电子签名手段,只能进行人的身份识别,即电子签名法中定义的电子认证。但不能做到在电子签名法中对电子签名的全面要求:即在识别签名人身份的同时,还要做到签名人认可其中的内容。从广义上讲,实现电子签名的技术手段有很多种,但目前比较成熟的,世界先进国家普遍使用的电子签名技术还是“数字签名”技术。由于保持技术中立性是制订法律的一个基本
4、原则,因此,目前还不能说明公钥密码理论是制作签名的惟一技术,因此有必要规定一个更一般化的概念以适应今后技术的发展。但是,目前电子签名法中提到的签名,一般指的就是“数字签名”。所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证无法比拟的。电子签名的一般实现方法目前,实现电子签名的方法有好多种技术手段,前提是在确认了签署者的确切身份即经过电子认证之后,电子签名承认人们可以用多种不同的方法签署一份电子记录。1.手写签名或图章的模式识别即将手写签名或印章作为图像,用光扫描经光
5、电转换后在数据库中加以存储,当验证此人的手写签名或盖印时,也用光扫描输入,并将原数据库中的对应图像调出,用模式识别的数学计算方法,进行二者比对,以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过,但由于需要大容量的数据库存储和每次手写签名和盖印的差异性,证明了它的不实用性,这种方法也不适用于互联网上传输,是较原始和落后的方法。2.生物识别技术生物识别技术是利用人体生物特征进行身份认证的一种技术,生物特征是一个人与他人不同的惟一表征,它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样,提取其惟一的特征进行数字化处理,转换成数字代码,并进一步将这些代码组成特征模板存于数据库中,
6、人们同识别系统交互进行身份认证时,识别系统获取其特征并与数据库中的特征模板进行比对,以确定是否匹配,从而决定确定或否认此人。生物识别技术主要有以下几种:(1)指纹识别技术。每个人的指纹皮肤纹路是惟一的,并且终身不变,依靠这种惟一性和稳定性,就可以把一个人同他的指纹对应起来,通过将他的指纹和预先保存在数据库中的指纹采用指纹识别算法进行比对,便可验证他的真实身份。在身份识别后的前提下,可以将一份纸质公文或数据电文按手印签名或放于ic卡中签名。但这种签名需要有大容量的数据库支持,适用于本地面对面的处理,不适宜网上传输,目前指纹签名还做不到与数据电文内容相关联。(2)视网膜、虹膜识别技术。视网膜识别技
7、术是利用激光照射眼球的背面,扫描摄取几百个视网膜的特征点,代码摸板存储,经数字化处理后形成记忆模板存储于数据库中,供以后的比对验证。视网膜是一种极其稳定的生物特征,作为身份认证是精确度较高的识别技术。但使用困难,不适用于直接数字签名和网络传输,只能做到身份识别,还做不到与数据电文内容相绑定。虹膜识别技术:红外照射,取样制作代码摸板存储,用时进行比对。这种签名也只能是进行身份识别。(3)声音识别技术。声音识别技术是一种行为识别技术,用声音录入设备反复不断地测量、记录声音的波形和变化,并进行频谱分析,经数字化处理之后作成声音模板加以存储。使用时将现场采集到的声音同登记过的声音模板进行精确的匹配,以
8、识别该人的身份。这种技术精确度较差,使用困难,不适用于直接数字签名和网络传输。以上这种身份识别的方法解决的都是“你是什么。”,“你是谁。”,适用于面对面的场合,不适用远程网络认证,不适合大规模人群认证。3.密码、口令和个人识别码。这里是指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件,甲方可产生一个随机码传送给乙方,乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方,甲方用同样对称密钥解密后得到电文并核对随机码,如随机码核对正确,甲方即可认为该电文来自乙方。这种方法解决的是“你知道什么。”。适于远程网络传输,但不适合大规模人群认证,因为对称密钥管理困
9、难。但是,对加密的数据电文签名人做不到认可。在对称密钥加/解密认证中,在实际应用方面经常采用的是id+pin(身份惟一标识+口令)。即发方直接将id和pin发给收方,收方与后台已存放的id和口令进行比对,达到认证的目的。人们在日常生活中使用的银行卡就是用的这种认证方法。这种方法解决的是“你有什么。”和“你知道什么。”。适用远程网络传输,但不安全,易被黑客窃取,只能简单的身份识别,不适用于电子签名。4.基于pki的电子签名基于公钥基础设施(publickeyinfrastructure)的电子签名被称做“数字签名”。有人称“电子签名”就是“数字签名”,这种说法是错误的。数字签名是电子签名的一种主
10、要形式。因为电子签名具有技术中立性,但也带来使用的不便,法律上又对电子签名做了进一步规定,如联合国贸发会的电子签名示范法和欧盟的电子签名共同框架指令中就规定了“可靠电子签名”和“高级电子签名”,其目的就是规定了数字签名的具体功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于pki的数字签名技术。作为公钥基础设施可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。数字签名的技术保障1.什么是数字签名数字签名在iso7498-2标准中定义为:“
11、附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造”。美国电子签名标准(dss,fips186-2)对数字签名做了如下解释:“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。按上述定义pki可以提供数据单元的密码变换,并能使接收者判断数据来源及对数据进行验证,是数字签名的技术保障。pki的核心执行机构是电子签名法中所定义的电子认证服务提供者,即通称为认证机构ca(certificateauthority),pki签名的核心元素是由
12、ca签发的数字证书。数字证书所提供的pki服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章。这种电子式的签名还可进行技术验证,其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信pki域人群中进行认证,或在多个可信的pki域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。关振胜中国建设银行科技部副总工程师,高级工程师。现受聘中国金融认证中心(cfca)技
13、术顾问、中国人民银行“网上银行发展与监管工作组”专家、亚洲pki论坛(中国)委员、中国电子商务协会专家委员会专家、电子协会电子签名专家委员会常委。主持领导设计、开发多个银行大型应用系统。著作有“公钥基础设施pki与认证机构ca”、“中国金融认证中心建设”、“第四代语言informix4gl”等。曾获得科技进步奖一等、二等、三等奖。(如右图)2.公钥密码技术原理公开密钥密码理论是1976年美国发表的rsa算法,它是以三个发明人的名字而命名的,后来又有椭圆算法ecc,但常用的、成熟的公钥算法是rsa。它与传统的对称密钥算法有本质的区别,对称密钥算法常用的是des算法,它具有一个密钥,加/解密时用的
14、是同一个密钥。而公钥算法利用的是非对称密钥,即利用两个足够大的质数与被加密原文相乘生产的积来加/解密。这两个质数无论是用哪一个与被加密的原文相乘(模乘),即对原文件加密,均可由另一个质数再相乘来进行解密。但是,若想用这个乘积来求出另一个质数,就要进行对大数分解质因子,分解一个大数的质因子是十分困难的,若选用的质数足够大,这种求解几乎是不可能的。因此,将这两个质数称为密钥对,其中一个采用私密的安全介质保密存储起来,不对任何外人泄露,所以简称为“私钥”;另一个密钥可以公开发表,用数字证书的方式发布在称之为“网上黄页”的目录服务器上,用ldap协议进行查询,也可在网上请对方发送信息时主动将该公钥证书
15、传送给对方,这个密钥称之为“公钥”。公/私密钥对的用法是,当发方向收方通信时发方用收方的公钥对原文进行加密,收方收到发方的密文后,用自己的私钥进行解密,其中他人是无法解密的,因为他人不拥有自己的私钥,这就是用公钥加密,私钥解密用于通信;而用私钥加密文件公钥解密则是用于签名,即发方向收方签发文件时,发方用自己的私钥加密文件传送给收方,收方用发方的公钥进行解密。但是,在实际应用操作中发出的文件签名并非是对原文本身进行加密,而是要对原文进行所谓的“哈希”(hash)运算,即对原文作数字摘要。该密码算法也称单向散列运算,其运算结果称为哈希值,或称数字摘要,也有人将其称为“数字指纹”。哈希值有固定的长度
16、,运算是不可逆的,不同的明文其哈希值是不同的,而同样的明文其哈希值是相同并且惟一,原文的任何改动,其哈希值就要发生变化。数字签名是用私钥对数字摘要进行加密,用公钥进行解密和验证。公钥证书和私钥是用加密文件存放在证书介质中,证书是由认证服务机构ca所签发的权威电子文档,ca与数字证书等是公钥基础设施pki的主要组成机构和元素。3.认证机构ca认证机构ca是pki的核心执行机构,是pki的主要组成部分,一般简称为ca,在业界通常把它称为认证中心。ca认证机构在电子签名法中被称做“电子认证服务提供者”。根据电子签名法中规定,国务院信息产业部据本法制定了电子认证服务管理办法(中华人民共和国信息产业部令
17、第35号),并与2005年2月8日颁布。在该管理办法中第五条第七项有关人员、技术、设备、密码、安全和资金等,详细规定了电子认证机构(ca)应具备的市场准入条件。4.数字证书数字证书或称电子证书简称为证书,它是pki的核心元素,由认证机构服务者所签发,它是数字签名的技术基础保障;它符合x509标准,是网上实体身份的证明,证明某一实体的身份以及其公钥的合法性,证明该实体与公钥二者之间的匹配关系,证书是公钥的载体,证书上的公钥惟一与实体身份相绑定,并与其私钥相对应。国家标准规定作为第三方提供电子认证服务的ca,其签发证书机制一般应为双证书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一
18、个是签名证书,加密证书原则上是不能用于签名的。用加密证书的公钥加密,对应的私钥解密,用于通信;采用签名证书的私钥加密,对应的公钥解密用于签名。证书在公钥体制中是密钥管理的媒介,不同的实体可以通过证书来互相传递公钥,证书是由权威性、可信任性和公正性的第三方机构所签发。因此,它是权威性电子文档。证书的内容主要用于身份认证、签名的验证和有效期的检查。ca签发证书时,要对证书内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,将网上身份与该证书绑定。链接。什么是pki。工程学家对pki是这样定义的。“pki是一个用公钥概念与技术来实施和提供安全服务的普遍适用的安全基础设
19、施。换句话说,pki是一个利用非对称密码算法(即公开密钥算法)原理和技术实现的并提供网络安全服务的具有通用性的安全基础设施”。它是一种遵循标准的利用公钥加密技术为电子商务、电子政务、网上银行和网上证券业,提供一整套安全保证的基础平台。用户利用pki基础平台所提供的安全服务,能在网上实现安全地通信。pki这种遵循标准的密钥管理平台,能够为所有网上应用,透明地提供加解密和数字签名等安全服务所需要的密钥和证书管理。还有一种是学者们对pki的定义。“pki是硬件、软件、策略和人组成的系统,当安全并正确地实施后,能够提供一整套的信息安全保障,这些保障对保护敏感的通信和交易是非常重要的”。换句话说,pki是创建、颁发、管理和撤消公钥证书所涉及到的所有软件、硬件系统,以及所涉及到的整个过程安全策略规范、法律法规以及人员的集合。要安全地、正确地运营这些系统和规范就能提供一整套的网上安全服务。pki的核心执行机构是认证机构ca,其核心元素是数字证书。
