淺析數(shù)字簽名及其應(yīng)用

楊娟 趙婷婷 揚州市職業(yè)大學(xué)信息工程學(xué)院，揚州 225000

淺析數(shù)字簽名及其應(yīng)用

楊娟 趙婷婷 揚州市職業(yè)大學(xué)信息工程學(xué)院，揚州 225000

本文從網(wǎng)絡(luò)安全的角度出發(fā)，論述了計算機網(wǎng)絡(luò)的安全問題和與其相關(guān)的數(shù)字簽名技術(shù)；詳細介紹了數(shù)字簽名技術(shù)及其原理，并在此基礎(chǔ)上介紹了基于數(shù)字簽名技術(shù)的安全通信方式和發(fā)展前景。

網(wǎng)絡(luò)安全；數(shù)字簽名；數(shù)字證書

隨著信息技術(shù)的技術(shù)發(fā)展和社會信息化的要求的不斷變化，計算機網(wǎng)絡(luò)的應(yīng)用領(lǐng)域也不斷擴大，網(wǎng)絡(luò)技術(shù)已深入到軍事、商業(yè)、金融、郵電等諸多領(lǐng)域。但是，人們在這些領(lǐng)域的應(yīng)用時常會遇到一類特殊的問題，即如何確保網(wǎng)絡(luò)中敏感數(shù)據(jù)的安全。因此用來保證信息完整性的安全技術(shù)——數(shù)字簽名技術(shù)就成為人們關(guān)心的課題。數(shù)字簽名可以解決否認(rèn)、偽造、篡改及冒充等問題。

1、數(shù)字簽名的含義和功能

數(shù)字簽名以加密技術(shù)為實現(xiàn)基礎(chǔ)，通過一個單向函數(shù)對要傳送的報文進行處理，得到的用以認(rèn)證報文來源并核實報文是否發(fā)生變化的一個字母數(shù)字串。數(shù)字簽名主要有以下幾個功能：

1）數(shù)據(jù)的保密性。通過對一些敏感的數(shù)據(jù)文件進行加密來保護系統(tǒng)之間的數(shù)據(jù)交換，防止除接收方之外的第三方截獲數(shù)據(jù)及即使獲取文件也無法得到其內(nèi)容。如在電子交易中，避免遭到黑客攻擊丟失信用卡信息的問題。

2）數(shù)據(jù)的完整性。防止非法用戶修改交換的數(shù)據(jù)或因此造成的數(shù)據(jù)丟失等。

3）數(shù)據(jù)的不可否認(rèn)性。對數(shù)據(jù)和信息的來源進行驗證，以確保數(shù)據(jù)由合法的用戶發(fā)出；防止數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后又加以否認(rèn)，同時防止接收方在收到數(shù)據(jù)后又否認(rèn)曾收到過此數(shù)據(jù)或篡改數(shù)據(jù)。

2、數(shù)字簽名的原理

數(shù)字簽名技術(shù)的基本使用程序是：發(fā)送方用自己的私鑰對報文作身份加密，接收方用發(fā)送方的公鑰對發(fā)送方身份解密，這實現(xiàn)了網(wǎng)絡(luò)信息的抗否定性；發(fā)送方用接收方公鑰加密將報文發(fā)送，接收方用自己的私鑰解密接收，這實現(xiàn)報文傳輸?shù)陌踩Ｃ苄浴?shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。 其原理為:

⑴ 被發(fā)送文件用 SHA 編碼加密產(chǎn)生128bit 的數(shù)字摘要；

⑵發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名；

⑶ 將原文和加密的摘要同時傳給對方；

⑷ 對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用 SHA 編碼加密產(chǎn)生又一摘要；

⑸ 將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比，如兩者一致則說明傳送過程中信息沒有被破壞或篡改過，否則不然。過程如下圖：

圖1 數(shù)字簽名過程

3、數(shù)字簽名技術(shù)在網(wǎng)絡(luò)通信安全中的應(yīng)用

3.1、數(shù)字證書的傳輸

一般是每一個公鑰做一張數(shù)字證書，私鑰用最安全的方式交給用戶或自己生產(chǎn)密鑰對，數(shù)字證書的內(nèi)容包括用戶的公鑰、姓名、發(fā)證機構(gòu)的數(shù)字簽名及用戶的其他信息，對方可以借此來驗證身份的真假。當(dāng)然，證書必須預(yù)防密鑰丟失，可采用恢復(fù)密鑰和密鑰托管等方式處理丟失問題。證書的有效期超過后，必須重新簽發(fā)，如果私鑰丟失或被非法使用 ，則應(yīng)廢止證書。

3.2、 數(shù)字簽名與數(shù)字證書的綜合使用

把數(shù)字簽名和數(shù)字證書技術(shù)兩者綜合起來，一起用于信息傳遞過程的保密工作，可以有效地提高加密層級，保障網(wǎng)絡(luò)信息安全。這主要是因為其保密過程增加了幾道防范措施。數(shù)字簽名和數(shù)字證書綜合應(yīng)用于網(wǎng)絡(luò)信息加密 ，其過程依附在信息傳遞過程中的。數(shù)字簽名和數(shù)字證書的綜合應(yīng)用流程如下：

1）發(fā)送者 A 將一個簽名的證書請求( 包含其名字、公鑰可能還有其他一些信息) 發(fā)送到 CA（發(fā)證機構(gòu)）。

2）CA 使用發(fā)送者 A 的請求創(chuàng)建一個消息。CA 使用其私鑰對消息進行簽名 ，以便創(chuàng)建一個單獨的簽名。CA 將消息和簽名返回給發(fā)送者 A。消息和簽名共同構(gòu)成了發(fā)送者 A 的證書。

3）發(fā)送者 A 將證書發(fā)送給發(fā)送者 B，以便授權(quán)他訪問發(fā)送者A 的公鑰。

4）發(fā)送者 B 使用 CA 的公鑰對證書簽名進行驗證。如果證書簽名是有效的 ，就承認(rèn)證書中的公鑰是發(fā)送者 A 的公鑰。

與數(shù)字簽名的情況一樣，任何有權(quán)訪問CA公鑰的接收者都可以確定證書是否由特定 CA 簽名的。這個過程不要求訪問任何機密信息。上面這個方案假定發(fā)送者 B 有權(quán)訪問 CA 的公鑰。如果發(fā)送者B擁有含該公鑰的CA證書副本，則他有權(quán)訪問該密鑰。從這過程看來，數(shù)字簽名和數(shù)字證書兩種技術(shù)，其應(yīng)用過程并不矛盾，不會產(chǎn)生排斥，倒是能互相照應(yīng)，無縫接軌，過程也很簡潔 ，使用方便。

作為比較可靠的數(shù)字加密技術(shù)，數(shù)字簽名和數(shù)字證書的結(jié)合，可以應(yīng)用于電子郵件、電子支付、電子基金轉(zhuǎn)移等各種用途 ，以保障其信息安全。

4、數(shù)字簽名的發(fā)展

由于電子商務(wù)、電子政務(wù)的普及，就使得數(shù)字簽名技術(shù)有著更廣泛的發(fā)展前景。而因特網(wǎng)的跨區(qū)域性、無邊界性等特點，以及網(wǎng)上交易的迅猛發(fā)展等，都要求有相關(guān)法律條文在保護信息安全方面做出解釋與界定。使用建立在公鑰加密技術(shù)基礎(chǔ)上的數(shù)字簽名技術(shù)，可以解決否認(rèn)、偽造、篡改及冒充等問題，在電子事務(wù)中證明用戶的身份，保證電子文件的完整性和真實性。由此可見，只有在不斷提高數(shù)字簽名技術(shù)的同時，完善相關(guān)法規(guī)政策，才能促進并推動我國電子商務(wù)、電子政務(wù)的健康有序發(fā)展。

[1]蕭萍. 基于數(shù)字簽名技術(shù)的安全電子郵件.計算機安全.2008年第7期

[2]石翠. 數(shù)字簽名技術(shù)在電子郵件中的應(yīng)用.電腦與信息技術(shù).2010年,第18卷第01期

[3]鄧珂.在企業(yè)局域網(wǎng)中實現(xiàn)數(shù)據(jù)加密和數(shù)字簽名[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2008,(1)： 90 93

[4]費向東. 電子商務(wù)中基于數(shù)字簽名的安全協(xié)議研究[D]. 南京: 南京工業(yè)大學(xué).2005

[5]樊凱. 電子支付安全性問題研究[D].西安: 西安電子科技大學(xué).2007

[6]譚衛(wèi). 電子商務(wù)中安全技術(shù)的研究[D].哈爾濱: 哈爾濱工業(yè)大學(xué).2006

This article from the perspective of network security, discusses the security problems of computer networks and associated digital signature; details of digital signature technology and its principles,and on this basis, describes the security of digital signature technology based communication And development prospects.

network security; digital signature; digital certificate

楊娟，1981年，女，江蘇揚州人，揚州職業(yè)大學(xué)信息工程學(xué)院助教；

趙婷婷，1981年，女，江蘇鹽城人，揚州職業(yè)大學(xué)信息工程學(xué)院講師。

10.3969/j.issn.1001-8972.2011.08.083