數(shù)字簽名技術(shù)的主要功能

數(shù)字簽名技術(shù)可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問題，滿足上述要求的數(shù)字簽名技術(shù)有如下主要功能：

（1）發(fā)送者事后不能否認(rèn)自己發(fā)送的簽名；

（2）接收者能夠核實(shí)發(fā)送者發(fā)送的簽名；

（3）接收者不能偽造發(fā)送者的簽名；

（4）接收者不能對(duì)發(fā)送者的原文進(jìn)行篡改；

（5）數(shù)據(jù)交換中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。

簡單說來，數(shù)字簽名是指用密碼算法，對(duì)待發(fā)的數(shù)據(jù)進(jìn)行加密處理，生成一段數(shù)據(jù)摘要信息附在原文上一起發(fā)送，接受方對(duì)其進(jìn)行驗(yàn)證，判斷原文真?zhèn)?，其簽名思想是簽名只能南一個(gè)人（個(gè)體）創(chuàng)建，但可以被任何人校驗(yàn)。

數(shù)字簽名是防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞．以及確定發(fā)信人的身份的手段該技術(shù)在數(shù)據(jù)單元上附加數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行秘密變換．這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，從而達(dá)到保護(hù)數(shù)據(jù)，防止被人進(jìn)行偽造的目的。

數(shù)字簽名技術(shù)的實(shí)現(xiàn)過程

對(duì)一個(gè)電子文件進(jìn)行數(shù)字簽名并在網(wǎng)上傳輸，其技術(shù)實(shí)現(xiàn)過程大致如下：首先要在網(wǎng)上進(jìn)行身份認(rèn)證，然后再進(jìn)行簽名，最后是對(duì)簽名的驗(yàn)證。

1.認(rèn)證

PKI提供的服務(wù)首先是認(rèn)證，即身份識(shí)別與鑒別，確認(rèn)實(shí)體即為自己所聲明的實(shí)體。認(rèn)證的前提是甲乙雙方都具有第三方CA所簽發(fā)的證書，認(rèn)證分單向認(rèn)證和雙向認(rèn)證。

（1）單向認(rèn)證是甲乙雙方在網(wǎng)上通信時(shí)，甲只需要認(rèn)證乙的身份即可。這時(shí)甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時(shí)乙直接將證書傳送給甲，另一種是甲向CA的目錄服務(wù)器查詢索取。甲獲得乙的證書后，首先用CA的根證書公鑰驗(yàn)證該證書的簽名，驗(yàn)證通過說明該證書是第三方CA簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢（LRC檢查）而進(jìn)入黑名單。

（2）雙向認(rèn)證。雙向認(rèn)證是甲乙雙方在網(wǎng)上通信時(shí)，甲不但要認(rèn)證乙的身份，乙也要認(rèn)證甲的身份。其認(rèn)證過程與單向認(rèn)證過程相同。

甲乙雙方在網(wǎng)上查詢對(duì)方證書的有效性及黑名單時(shí)，采用的是LDAP協(xié)議（LightDirectoryAccessProtocol），它是一種輕型目錄訪問協(xié)議。

2.數(shù)字簽名與驗(yàn)證過程

網(wǎng)上通信的雙方，在互相認(rèn)證身份之后，即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名的全過程分兩大部分，即簽名與驗(yàn)證。

數(shù)字簽名過程分兩部分：左側(cè)為簽名，右側(cè)為驗(yàn)證過程。即發(fā)方將原文用哈希算法求得數(shù)字摘要，用簽名私鑰對(duì)數(shù)字摘要加密得數(shù)字簽名，發(fā)方將原文與數(shù)字簽名一起發(fā)送給接受方；收方驗(yàn)證簽名，即用發(fā)方公鑰解密數(shù)字簽名，得出數(shù)字摘要；收方將原文采用同樣哈希算法又得一新的數(shù)字摘要，將兩個(gè)數(shù)字摘要進(jìn)行比較，如果二者匹配，說明經(jīng)數(shù)字簽名的電子文件傳輸成功。

3.數(shù)字簽名的操作過程

數(shù)字簽名的操作過程需要有發(fā)方的簽名證書的私鑰及其驗(yàn)證公鑰。

數(shù)字簽名操作具體過程如下：首先是生成被簽名的電子文件（《電子簽名法》中稱數(shù)據(jù)電文），然后對(duì)電子文件用哈希算法做數(shù)字摘要，再對(duì)數(shù)字摘要用簽名私鑰做非對(duì)稱加密，即做數(shù)字簽名；之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進(jìn)行封裝，形成簽名結(jié)果發(fā)送給收方，待收方驗(yàn)證。

4.數(shù)字簽名的驗(yàn)證過程

接收方收到發(fā)方的簽名結(jié)果后進(jìn)行簽名驗(yàn)證，其具體操作過程如下：

接收方收到數(shù)字簽名的結(jié)果，其中包括數(shù)字簽名、電子原文和發(fā)方公鑰，即待驗(yàn)證的數(shù)據(jù)。接收方進(jìn)行簽名驗(yàn)證。驗(yàn)證過程是：接收方首先用發(fā)方公鑰解密數(shù)字簽名，導(dǎo)出數(shù)字摘要，并對(duì)電子文件原文做同樣哈希算法得出一個(gè)新的數(shù)字摘要，將兩個(gè)摘要的哈希值進(jìn)行結(jié)果比較，相同簽名得到驗(yàn)證，否則無效。這就做到了《電子簽名法》中所要求的對(duì)簽名不能改動(dòng)，對(duì)簽署的內(nèi)容和形式也不能改動(dòng)的要求。

5.數(shù)字簽名的作用

如果接收方對(duì)發(fā)方數(shù)字簽名驗(yàn)證成功，就可以說明以下三個(gè)實(shí)質(zhì)性的問題：

（1）該電子文件確實(shí)是由簽名者的發(fā)方所發(fā)出的，電子文件來源于該發(fā)送者。因?yàn)?，簽署時(shí)電子簽名數(shù)據(jù)由電子簽名人所控制。

（2）被簽名的電子文件確實(shí)是經(jīng)發(fā)方簽名后發(fā)送的，說明發(fā)方用了自己的私鑰做的簽名，并得到驗(yàn)證，達(dá)到不可否認(rèn)的目的。

（3）接收方收到的電子文件在傳輸中沒有被篡改，保持了數(shù)據(jù)的完整性，因?yàn)椋炇鸷髮?duì)電子簽名的任何改動(dòng)都能夠被發(fā)現(xiàn)。

以上三點(diǎn)就是對(duì)《電子簽名法》中所規(guī)定的“安全的電子簽名具有與手寫簽名或者蓋章同等的效力”的具體體現(xiàn)。

6.原文保密的數(shù)字簽名的實(shí)現(xiàn)方法

在上述數(shù)字簽名原理中定義的是對(duì)原文做數(shù)字摘要和簽名并傳輸原文，在很多場合傳輸?shù)脑氖且蟊Ｃ艿模髮?duì)原文進(jìn)行加密的數(shù)字簽名方法如何實(shí)現(xiàn)？這里就要涉及到“數(shù)字信封”的概念。請(qǐng)參照?qǐng)D8的簽名過程。

下面流程是一個(gè)典型的“電子信封”處理過程?；驹硎菍⒃挠脤?duì)稱密鑰加密傳輸，而將對(duì)稱密鑰用收方公鑰加密發(fā)送給對(duì)方。收方收到電子信封，用自己的私鑰解密信封，取出對(duì)稱密鑰解密得原文。其詳細(xì)過程如下：

（1）發(fā)方A將原文信息進(jìn)行哈希運(yùn)算，得一哈希值即數(shù)字摘要MD；

（2）發(fā)方A用自己的私鑰PVA，采用非對(duì)稱RSA算法，對(duì)數(shù)字摘要MD進(jìn)行加密，即得數(shù)字簽名DS；

（3）發(fā)方A用對(duì)稱算法DES的對(duì)稱密鑰SK對(duì)原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA采用對(duì)稱算法加密，得加密信息E；

（4）發(fā)方用收方B的公鑰PBB，采用RSA算法對(duì)對(duì)稱密鑰SK加密，形成數(shù)字信封DE，就好像將對(duì)稱密鑰SK裝到了一個(gè)用收方公鑰加密的信封里；

（5）發(fā)方A將加密信息E和數(shù)字信封DE一起發(fā)送給收方B；

（6）收方B接受到數(shù)字信封DE后，首先用自己的私鑰PVB解密數(shù)字信封，取出對(duì)稱密鑰SK；

（7）收方B用對(duì)稱密鑰SK通過DES算法解密加密信息E，還原出原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA；

（8）收方B驗(yàn)證數(shù)字簽名，先用發(fā)方A的公鑰解密數(shù)字簽名得數(shù)字摘要MD；

（9）收方B同時(shí)將原文信息用同樣的哈希運(yùn)算，求得一個(gè)新的數(shù)字摘要MD’；

（10）將兩個(gè)數(shù)字摘要MD和MD’進(jìn)行比較，驗(yàn)證原文是否被修改。如果二者相等，說明數(shù)據(jù)沒有被篡改，是保密傳輸?shù)?，簽名是真?shí)的；否則拒絕該簽名。

這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，未經(jīng)認(rèn)證和授權(quán)的人，看不見原數(shù)據(jù)，起到了在數(shù)字簽名傳輸中對(duì)敏感數(shù)據(jù)的保密作用。

精彩閱讀推薦：

數(shù)字簽名技術(shù)具有什么特性_數(shù)字簽名技術(shù)的三個(gè)安全性

數(shù)字簽名技術(shù)的應(yīng)用