數(shù)字簽名技術(shù)的主要功能

數(shù)字簽名技術(shù)可以解決數(shù)據(jù)的否認(rèn)、偽造、篡改及冒充等問題，滿足上述要求的數(shù)字簽名技術(shù)有如下主要功能：

（1）發(fā)送者事后不能否認(rèn)自己發(fā)送的簽名；

（2）接收者能夠核實發(fā)送者發(fā)送的簽名；

（3）接收者不能偽造發(fā)送者的簽名；

（4）接收者不能對發(fā)送者的原文進(jìn)行篡改；

（5）數(shù)據(jù)交換中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。

簡單說來，數(shù)字簽名是指用密碼算法，對待發(fā)的數(shù)據(jù)進(jìn)行加密處理，生成一段數(shù)據(jù)摘要信息附在原文上一起發(fā)送，接受方對其進(jìn)行驗證，判斷原文真?zhèn)?，其簽名思想是簽名只能南一個人（個體）創(chuàng)建，但可以被任何人校驗。

數(shù)字簽名是防止他人對傳輸?shù)奈募M(jìn)行破壞．以及確定發(fā)信人的身份的手段該技術(shù)在數(shù)據(jù)單元上附加數(shù)據(jù)，或?qū)?shù)據(jù)單元進(jìn)行秘密變換．這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，從而達(dá)到保護(hù)數(shù)據(jù)，防止被人進(jìn)行偽造的目的。

數(shù)字簽名技術(shù)的實現(xiàn)過程

對一個電子文件進(jìn)行數(shù)字簽名并在網(wǎng)上傳輸，其技術(shù)實現(xiàn)過程大致如下：首先要在網(wǎng)上進(jìn)行身份認(rèn)證，然后再進(jìn)行簽名，最后是對簽名的驗證。

1.認(rèn)證

PKI提供的服務(wù)首先是認(rèn)證，即身份識別與鑒別，確認(rèn)實體即為自己所聲明的實體。認(rèn)證的前提是甲乙雙方都具有第三方CA所簽發(fā)的證書，認(rèn)證分單向認(rèn)證和雙向認(rèn)證。

（1）單向認(rèn)證是甲乙雙方在網(wǎng)上通信時，甲只需要認(rèn)證乙的身份即可。這時甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時乙直接將證書傳送給甲，另一種是甲向CA的目錄服務(wù)器查詢索取。甲獲得乙的證書后，首先用CA的根證書公鑰驗證該證書的簽名，驗證通過說明該證書是第三方CA簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢（LRC檢查）而進(jìn)入黑名單。

（2）雙向認(rèn)證。雙向認(rèn)證是甲乙雙方在網(wǎng)上通信時，甲不但要認(rèn)證乙的身份，乙也要認(rèn)證甲的身份。其認(rèn)證過程與單向認(rèn)證過程相同。

甲乙雙方在網(wǎng)上查詢對方證書的有效性及黑名單時，采用的是LDAP協(xié)議（LightDirectoryAccessProtocol），它是一種輕型目錄訪問協(xié)議。

2.數(shù)字簽名與驗證過程

網(wǎng)上通信的雙方，在互相認(rèn)證身份之后，即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名的全過程分兩大部分，即簽名與驗證。

數(shù)字簽名過程分兩部分：左側(cè)為簽名，右側(cè)為驗證過程。即發(fā)方將原文用哈希算法求得數(shù)字摘要，用簽名私鑰對數(shù)字摘要加密得數(shù)字簽名，發(fā)方將原文與數(shù)字簽名一起發(fā)送給接受方；收方驗證簽名，即用發(fā)方公鑰解密數(shù)字簽名，得出數(shù)字摘要；收方將原文采用同樣哈希算法又得一新的數(shù)字摘要，將兩個數(shù)字摘要進(jìn)行比較，如果二者匹配，說明經(jīng)數(shù)字簽名的電子文件傳輸成功。

3.數(shù)字簽名的操作過程

數(shù)字簽名的操作過程需要有發(fā)方的簽名證書的私鑰及其驗證公鑰。

數(shù)字簽名操作具體過程如下：首先是生成被簽名的電子文件（《電子簽名法》中稱數(shù)據(jù)電文），然后對電子文件用哈希算法做數(shù)字摘要，再對數(shù)字摘要用簽名私鑰做非對稱加密，即做數(shù)字簽名；之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進(jìn)行封裝，形成簽名結(jié)果發(fā)送給收方，待收方驗證。

4.數(shù)字簽名的驗證過程

接收方收到發(fā)方的簽名結(jié)果后進(jìn)行簽名驗證，其具體操作過程如下：

接收方收到數(shù)字簽名的結(jié)果，其中包括數(shù)字簽名、電子原文和發(fā)方公鑰，即待驗證的數(shù)據(jù)。接收方進(jìn)行簽名驗證。驗證過程是：接收方首先用發(fā)方公鑰解密數(shù)字簽名，導(dǎo)出數(shù)字摘要，并對電子文件原文做同樣哈希算法得出一個新的數(shù)字摘要，將兩個摘要的哈希值進(jìn)行結(jié)果比較，相同簽名得到驗證，否則無效。這就做到了《電子簽名法》中所要求的對簽名不能改動，對簽署的內(nèi)容和形式也不能改動的要求。

5.數(shù)字簽名的作用

如果接收方對發(fā)方數(shù)字簽名驗證成功，就可以說明以下三個實質(zhì)性的問題：

（1）該電子文件確實是由簽名者的發(fā)方所發(fā)出的，電子文件來源于該發(fā)送者。因為，簽署時電子簽名數(shù)據(jù)由電子簽名人所控制。

（2）被簽名的電子文件確實是經(jīng)發(fā)方簽名后發(fā)送的，說明發(fā)方用了自己的私鑰做的簽名，并得到驗證，達(dá)到不可否認(rèn)的目的。

（3）接收方收到的電子文件在傳輸中沒有被篡改，保持了數(shù)據(jù)的完整性，因為，簽署后對電子簽名的任何改動都能夠被發(fā)現(xiàn)。

以上三點就是對《電子簽名法》中所規(guī)定的“安全的電子簽名具有與手寫簽名或者蓋章同等的效力”的具體體現(xiàn)。

6.原文保密的數(shù)字簽名的實現(xiàn)方法

在上述數(shù)字簽名原理中定義的是對原文做數(shù)字摘要和簽名并傳輸原文，在很多場合傳輸?shù)脑氖且蟊Ｃ艿?，要求對原文進(jìn)行加密的數(shù)字簽名方法如何實現(xiàn)？這里就要涉及到“數(shù)字信封”的概念。請參照圖8的簽名過程。

下面流程是一個典型的“電子信封”處理過程?；驹硎菍⒃挠脤ΨQ密鑰加密傳輸，而將對稱密鑰用收方公鑰加密發(fā)送給對方。收方收到電子信封，用自己的私鑰解密信封，取出對稱密鑰解密得原文。其詳細(xì)過程如下：

（1）發(fā)方A將原文信息進(jìn)行哈希運算，得一哈希值即數(shù)字摘要MD；

（2）發(fā)方A用自己的私鑰PVA，采用非對稱RSA算法，對數(shù)字摘要MD進(jìn)行加密，即得數(shù)字簽名DS；

（3）發(fā)方A用對稱算法DES的對稱密鑰SK對原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA采用對稱算法加密，得加密信息E；

（4）發(fā)方用收方B的公鑰PBB，采用RSA算法對對稱密鑰SK加密，形成數(shù)字信封DE，就好像將對稱密鑰SK裝到了一個用收方公鑰加密的信封里；

（5）發(fā)方A將加密信息E和數(shù)字信封DE一起發(fā)送給收方B；

（6）收方B接受到數(shù)字信封DE后，首先用自己的私鑰PVB解密數(shù)字信封，取出對稱密鑰SK；

（7）收方B用對稱密鑰SK通過DES算法解密加密信息E，還原出原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA；

（8）收方B驗證數(shù)字簽名，先用發(fā)方A的公鑰解密數(shù)字簽名得數(shù)字摘要MD；

（9）收方B同時將原文信息用同樣的哈希運算，求得一個新的數(shù)字摘要MD’；

（10）將兩個數(shù)字摘要MD和MD’進(jìn)行比較，驗證原文是否被修改。如果二者相等，說明數(shù)據(jù)沒有被篡改，是保密傳輸?shù)?，簽名是真實的；否則拒絕該簽名。

這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，未經(jīng)認(rèn)證和授權(quán)的人，看不見原數(shù)據(jù)，起到了在數(shù)字簽名傳輸中對敏感數(shù)據(jù)的保密作用。

精彩閱讀推薦：

數(shù)字簽名技術(shù)具有什么特性_數(shù)字簽名技術(shù)的三個安全性

數(shù)字簽名技術(shù)的應(yīng)用