數字簽名技術的應用

侯 剛

（中國人民銀行天津分行，天津 300040）

數字簽名技術的應用

侯 剛

（中國人民銀行天津分行，天津 300040）

數字簽名技術建立在公鑰加密系統基礎之上，可以檢驗數據傳輸過程中是否被篡改以及數據的真實性和完整性。利用其提供的安全保障機制，在某市自建的橫向聯網系統中實現了對交易報文在傳遞過程中的安全加密，從軟件架構上進一步完善了系統的安全體系。

數字簽名；安全加密；交易報文

1．基本概念

數字簽名技術是目前電子商務、電子政務中應用最普遍、技術最成熟的一種電子簽名方法，是實現交易安全的核心技術之一。數字簽名利用數字證書中的私鑰對信息原文進行單向hash函數處理后的數字摘要進行加密，從而保證信息傳輸和保存過程的完整性、真實性和交易的不可否認性。數字簽名是非對稱密鑰加密技術與數字摘要技術的應用。

1．1 公鑰基礎設施（PKI）

公鑰基礎設施即Public Key Infrastructure，使用不對稱加密提供身份驗證、數據保密、不可否認和數據完整性的系統。數字證書和數字簽名是PKI的基礎要素。

1．2 認證機構（ CA）

認證機構即 CertificationAuthority，頒發用以創建數字簽名和公/私鑰對的數字證書的可信第三方組織或者公司。

1．3 證書

證書也稱為數字證書。證書是綁定某些信息（例如用戶身份和公鑰）的電子文檔。典型地，認證機構可以發放證書，而企業、政府或者其他實體可以簽名自己的證書。這種自簽名的證書稱為該實體的根證書并用來簽署下屬證書。證書遵循X.509標準。

1．4 公鑰

在不對稱加密或者PKI中，公布出來以便他人同私鑰持有者安全通信的加密密鑰。公鑰可以用于解密由對應私鑰加密的消息，從而保證了認證信息的驗證；也可以用于對只面向私鑰持有者公開的消息進行加密。

1．5 私鑰

在不對稱加密或者PKI中，由用戶私人秘密保存的加密密鑰。私鑰可以用來加密信息，如果相應的公鑰能夠正確地解開密文就保證了認證信息的驗證；由于私鑰也可以用來解密信息，所以當另一方以對應公鑰加密消息并發送給私鑰持有者，這一過程就保證了機密性。

1．6 RSA算法

RSA是被研究得最廣泛的公鑰算法，也易于理解和操作。從提出到現今的三十多年里，經歷了各種攻擊的考驗，逐漸為人們接受，普遍認為是目前最優秀的公鑰方案之一。

2．數字簽名技術應用案例

在某市自建的財稅庫行橫向聯網系統中，人民銀行國庫部門作為信息中心，負責報文的接收、處理和轉發，財政、地稅、國稅、代收稅（費）銀行等單位作為聯網節點與信息中心間互相收發報文。雖然各節點之間通過業務專網進行連接，但相關數據在沒有任何加密措施的前提下，從節點到節點的傳輸過程中存在一定的安全風險和隱患。對此，系統采用了軟件實現數字簽名的方法，保證了交易報文的安全傳遞。圖1為各節點間實現數字簽名后的架構圖。

圖1 數字簽名軟件實現架構圖

各節點只與中心進行通信，聯網單位間無直接信息交互。在無第三方 CA的情況下可以在中心建立小型 CA，并且在設計時采用PKI設計模式，方便與將來加入第三方 CA認證方案兼容。同時，各節點的應用程序只與API進行信息交互，在API層進行報文的加解密等安全處理，實現應用架構的松耦合。

2．1 軟件結構實現

因為中心節點API公共模塊是不連接數據庫的，為保證對中心證書庫中的證書進行安全讀寫，安全模塊沒有放入中心的API，而是分別位于應用控制程序和信息發送模塊中。其他各聯網節點的安全模塊則全部位于API中，證書和私鑰的路徑放入環境變量供API進行訪問。聯網節點軟件結構實現如圖2所示。

圖2 聯網節點軟件實現結構圖

考慮到未來業務發展的需要，聯網節點的數量會逐步增加，采用獨立API處理模塊可以滿足安全體系的可擴展性，使得后續加入的節點單位的安全部署簡單易操作，安全性高，且與其本地軟硬件環境兼容性更好。

2．2 私鑰和證書管理

根據實際條件，逐步實現公私鑰及證書管理的標準化和規范化。目前系統各節點之間架構為星型結構，中心 CA可成為可信任實體。聯網單位向中心提交證書申請，中心 CA根據相關申請信息，生成個人私鑰和個人證書，把個人證書寫入證書庫，并導出個人證書和私鑰。中心通過加密設備將個人證書及私鑰下發到聯網單位。聯網單位通過專用軟件將個人證書和私鑰導入前置服務器后，完成全部證書申請工作。具體流程如圖3所示。

如果聯網單位可以提供非對稱算法并且遵循RSA標準，或者系統引入第三方信任機構為 CA后，則公私鑰對可由聯網單位根據相關算法或 CA機構提供的web程序自行生成，同時向中心提交包含公鑰的證書申請即可獲得所需個人證書。

圖3 聯網單位私鑰和證書申請

3．結語

數字簽名技術的引入和實現確保了交易報文的安全，進一步完善了財稅庫行橫向聯網系統的安全體系。經過業務測試與壓力測試，軟件實現數字簽名技術不僅滿足業務部門需求，同時也保證了系統的整體性能。實現了安全功能模塊與應用之間的松耦合，使得對安全策略的升級與對系統應用的優化相對獨立，增強了系統整體架構的可擴展性和適應能力。

[1]Mohan Atreya．數字簽名[M]．賀軍譯．北京：清華大學出版社，2003．

[2]張先紅．數字簽名原理及技術[M]．北京：機械工業出版社，2004．

[3]曲蘊慧，白新國．淺談數字簽名技術的原理及應用[J]．福建電腦，2010．

[4]林曉芬，付敏峰．網絡傳輸中的數據安全[J]．軟件導刊，2012．

TheApplication of Digital Signature Technology

Hou Gang
(Tianjin Branch of the People Bank of China,Tianjin 300040)

Digital signature technology is used on the basis of public key cryptosystem,which can examine whether data has been distorted in transmission process and its authenticity and integrity.By using the security guarantee mechanism provided by the technology,we realized the security encryption for transaction message in transmission in horizontal network established by a city,thus improving the security of the system from software framework.

digital signature;security encryption;transaction message

侯剛，男，天津人，碩士研究生，工程師，研究方向：計算機應用。