數(shù)字簽名和證書在網(wǎng)絡(luò)技術(shù)加密中的綜合應(yīng)用

宛 健

天津市南開大學(xué)信息技術(shù)科學(xué)學(xué)院，天津 300020

數(shù)字簽名和證書在網(wǎng)絡(luò)技術(shù)加密中的綜合應(yīng)用

宛 健

天津市南開大學(xué)信息技術(shù)科學(xué)學(xué)院，天津 300020

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，引發(fā)各種競(jìng)爭(zhēng)，網(wǎng)絡(luò)安全問(wèn)題也被提上議事日程。在加密技術(shù)應(yīng)用中，數(shù)字簽名和數(shù)字證書技術(shù)都是信息保密的重要技術(shù)方法，如果把數(shù)字簽名和數(shù)字證書結(jié)合起來(lái)，綜合應(yīng)用，則更能有效提高網(wǎng)絡(luò)信息安全程度，而且過(guò)程簡(jiǎn)潔，兩種技術(shù)無(wú)縫接軌，能有效保證網(wǎng)絡(luò)信息傳遞的安全，值得在實(shí)踐中進(jìn)一步發(fā)展創(chuàng)新。

數(shù)字簽名；數(shù)字證書；網(wǎng)絡(luò)；加密

0 引言

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，信息網(wǎng)絡(luò)技術(shù)廣泛推普應(yīng)用，與之相應(yīng)的網(wǎng)絡(luò)安全問(wèn)題也被提上議事日程。因?yàn)樾畔⑴c網(wǎng)絡(luò)涉及到國(guó)家的各個(gè)方面，包括政治的、經(jīng)濟(jì)的、軍事的、文化的等諸多領(lǐng)域，在計(jì)算機(jī)網(wǎng)絡(luò)中存儲(chǔ)、傳輸和處理的信息，包括政府部門的宏觀調(diào)控決策、國(guó)家安全信息、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)和高科技科研數(shù)據(jù)等息，其中有很多是敏感信息和國(guó)家機(jī)密，所以承載和集散這些數(shù)據(jù)信息的載體，如網(wǎng)絡(luò)、計(jì)算機(jī)等，難免會(huì)成為各種攻擊和破壞的對(duì)象。萬(wàn)維網(wǎng)絡(luò)因之不斷地遭遇黑客的攻擊、破壞搗亂，許多國(guó)家機(jī)密及重要情報(bào)資料被竊取和破壞，甚至造成局部網(wǎng)絡(luò)系統(tǒng)的癱瘓等，這些破壞行為已經(jīng)給各個(gè)國(guó)家、眾多使用計(jì)算機(jī)網(wǎng)絡(luò)的部門和個(gè)人造成程度不同的損失。特別是，當(dāng)許多安全保密應(yīng)對(duì)措施出現(xiàn)的時(shí)候，網(wǎng)絡(luò)攻擊又更猖獗，近乎達(dá)到無(wú)孔不入的地步。因此，提高安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)技術(shù)的安保措施，實(shí)施網(wǎng)絡(luò)技術(shù)加密，保障網(wǎng)絡(luò)使用安全，已經(jīng)成為網(wǎng)絡(luò)技術(shù)應(yīng)用和發(fā)展的重要內(nèi)容。

目前，最常用的網(wǎng)絡(luò)安全防護(hù)技術(shù)主要有：加密技術(shù)、身份驗(yàn)證技術(shù)、網(wǎng)絡(luò)防病毒技術(shù)和防火墻技術(shù)等。這些技術(shù)各有千秋，都能對(duì)網(wǎng)絡(luò)信息安全保障，立下汗馬功勞，但又各有不足。尤其是，以往的安全防范措施多是各自為政，互不關(guān)聯(lián)，其防范效果也就有限了。我們?cè)O(shè)想，如果把幾種加密技術(shù)和措施結(jié)合起來(lái)使用，可能有效提高加密層級(jí)，比如，把加密技術(shù)和身份驗(yàn)證技術(shù)結(jié)合應(yīng)用，其安全效果當(dāng)大幅度提高，保障性更強(qiáng)。其初步的界定是：加密技術(shù)和身份驗(yàn)證技術(shù)相結(jié)合，是指對(duì)在網(wǎng)絡(luò)中所發(fā)送的明文消息，用加密密鑰加密成密文進(jìn)行傳送，同時(shí)給以數(shù)字簽名和數(shù)字證書保障，接收方用解密密鑰進(jìn)行解密，核對(duì)證書，確認(rèn)身份，再現(xiàn)明文消息，從而保證傳輸過(guò)程中密文信息即使被泄露，在無(wú)密鑰的情況下仍是安全保密的。通過(guò)數(shù)字簽名和數(shù)字證書技術(shù)的結(jié)合應(yīng)用，以很小的投入和代價(jià)，提供可靠的安全保護(hù)，目的是保護(hù)有關(guān)數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上集散的信息數(shù)據(jù)，能有效地保證網(wǎng)絡(luò)技術(shù)應(yīng)用和信息資料的安全。

1 數(shù)字簽名

1.1 數(shù)字簽名的界定

所謂數(shù)字簽名（Digital Signature），是公開密鑰加密技術(shù)的一種應(yīng)用，是指用發(fā)送方的私有密鑰加密報(bào)文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

1.2 數(shù)字簽名的使用方法

數(shù)字簽名的具體使用方法是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)128位或160位的單向散列值（或報(bào)文摘要），并用自己的私有的密鑰對(duì)這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名;然后將這個(gè)數(shù)字簽名作文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方；報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出128位的散列值（或報(bào)文摘要），接著再用發(fā)送方的公開密鑰對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密;如果這兩個(gè)散列值相同，那么接收方就能確認(rèn)數(shù)字簽名是發(fā)送方的。通過(guò)數(shù)字簽名能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和驗(yàn)證，保證報(bào)文的完整性、權(quán)威性和發(fā)送者對(duì)報(bào)文的不可抵賴性。數(shù)字簽名機(jī)制提供了一種鑒別方法，普遍用于銀行、電子商務(wù)等，以解決偽造、抵賴、冒充、篡改等問(wèn)題。

1.3 數(shù)字簽名的技術(shù)實(shí)現(xiàn)

在技術(shù)實(shí)現(xiàn)上，數(shù)字簽名的步驟一般有如下幾步：

1）發(fā)送方用一個(gè)Hash函數(shù)對(duì)消息進(jìn)行處理，產(chǎn)生消息摘要（Message Digest）；

2）發(fā)送方將自己的私人密鑰和消息摘要進(jìn)行DSA算法（Digital Signature Algorithm）計(jì)算，產(chǎn)生數(shù)字簽名；

3）將數(shù)字簽名和消息一起發(fā)送出去；

4）接收方用同樣的Hash函數(shù)對(duì)消息進(jìn)行計(jì)算，產(chǎn)生消息摘要；

5）接收方用DSA算法消息摘要和發(fā)送方的公開密鑰進(jìn)行計(jì)算，產(chǎn)生數(shù)字簽名S1。同時(shí)從接收到的消息中可以得到附加的數(shù)字簽名S2。對(duì)比數(shù)字簽名S1和S2，若S1與S2相等，則該數(shù)字簽名得到驗(yàn)證，否則數(shù)字簽名驗(yàn)證失敗，消息發(fā)出后可能曾被修改或者是偽造的。整個(gè)過(guò)程如圖1。

圖1 數(shù)字簽名及其驗(yàn)證過(guò)程

數(shù)字簽名因其使用方便，技術(shù)層級(jí)高，在網(wǎng)絡(luò)信息傳遞的保密過(guò)程中，最常應(yīng)用。

2 數(shù)字證書

2.1 數(shù)字證書的概念

顧名思義，數(shù)字證書是一個(gè)文件。數(shù)字證書（Digital Certification，Digital ID）是網(wǎng)絡(luò)上用以證實(shí)一個(gè)用戶的身份和證實(shí)其對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。它是一個(gè)加密并用口令保護(hù)的文件，一般的數(shù)字證書總是把一個(gè)密鑰同一個(gè)用戶的一個(gè)或多個(gè)屬性進(jìn)行綁定。數(shù)字證書包含有證書擁有者的個(gè)人主要信息，可以編碼的信息、證書驗(yàn)證機(jī)構(gòu)CA （Certification Authority）和證實(shí)的有效期等。其中，個(gè)人信息包括證書持有者的姓名、證件編號(hào)和電子郵件地址等等，編碼的信息指文件中包含一個(gè)公開密鑰以用來(lái)驗(yàn)證消息發(fā)送者事先用匹配的私有密鑰簽過(guò)的數(shù)字簽名。數(shù)字證書的內(nèi)部格式由CC ITTX. 509國(guó)際標(biāo)準(zhǔn)所規(guī)定。

2.2 數(shù)字證書的傳輸

一般是每一個(gè)公鑰做一張數(shù)字證書，私鑰用最安全的方式交給用戶或自己生產(chǎn)密鑰對(duì)，數(shù)字證書的內(nèi)容包括用戶的公鑰、姓名、發(fā)證機(jī)構(gòu)的數(shù)字簽名及用戶的其他信息，對(duì)方可以借此來(lái)驗(yàn)證身份的真假。當(dāng)然，證書必須預(yù)防密鑰丟失，可采用恢復(fù)密鑰和密鑰托管等方式處理丟失問(wèn)題。證書的有效期超過(guò)后，必須重新簽發(fā)，如果私鑰丟失或被非法使用，則應(yīng)廢止證書。

3 數(shù)字簽名與數(shù)字證書的綜合使用

把數(shù)字簽名和數(shù)字證書技術(shù)兩者綜合起來(lái)，一起用于信息傳遞過(guò)程的保密工作，可以有效地提高加密層級(jí)，保障網(wǎng)絡(luò)信息安全。這主要是因?yàn)槠浔Ｃ苓^(guò)程增加了幾道防范措施。數(shù)字簽名和數(shù)字證書綜合應(yīng)用于網(wǎng)絡(luò)信息加密，其過(guò)程依附在信息傳遞過(guò)程中的。

3.1 數(shù)字簽名和數(shù)字證書的綜合應(yīng)用流程

1）發(fā)送者A將一個(gè)簽名的證書請(qǐng)求(包含她的名字、公鑰、可能還有其他一些信息)發(fā)送到CA。

2）CA使用發(fā)送者A 的請(qǐng)求創(chuàng)建一個(gè)消息。CA使用其私鑰對(duì)消息進(jìn)行簽名，以便創(chuàng)建一個(gè)單獨(dú)的簽名。CA將消息和簽名返回給發(fā)送者A。消息和簽名共同構(gòu)成了發(fā)送者A的證書。

3）發(fā)送者A將證書發(fā)送給發(fā)送者B，以便授權(quán)他訪問(wèn)發(fā)送者A的公鑰。

4）發(fā)送者B使用CA的公鑰對(duì)證書簽名進(jìn)行驗(yàn)證。如果證書簽名是有效的，就承認(rèn)證書中的公鑰是發(fā)送者A的公鑰。

圖2 數(shù)字認(rèn)證過(guò)程

與數(shù)字簽名的情況一樣，任何有權(quán)訪問(wèn)CA公鑰的接收者都可以確定證書是否由特定CA 簽名的。這個(gè)過(guò)程不要求訪問(wèn)任何機(jī)密信息。上面這個(gè)方案假定發(fā)送者B有權(quán)訪問(wèn)CA的公鑰。如果發(fā)送者B擁有發(fā)含該公鑰的CA證書副本，則他有權(quán)訪問(wèn)該密鑰。具體的認(rèn)證過(guò)程如圖2。

從這過(guò)程看來(lái)，數(shù)字簽名和數(shù)字證書兩種技術(shù)，其應(yīng)用過(guò)程并不矛盾，不會(huì)產(chǎn)生排斥，倒是能互相照應(yīng)，無(wú)縫接軌，過(guò)程也很簡(jiǎn)潔，使用方便。

3.2 數(shù)字簽名和數(shù)字證書的綜合應(yīng)用舉例

把數(shù)字加密和數(shù)字證書結(jié)合起來(lái)，可以加大網(wǎng)絡(luò)信息保密的力度。假如甲方要給乙方供應(yīng)商發(fā)送一份業(yè)務(wù)合同，其步驟可以是：

第一步，在文字處理軟件中填寫合同內(nèi)容細(xì)節(jié)，在文檔地步，插入電子簽名，表示甲方已經(jīng)確認(rèn)合同；

第二步，用數(shù)字簽名來(lái)生成一個(gè)唯一的數(shù)字，這就使得合同有了甲方的電子簽名和數(shù)字簽名，附在文件中，以保證合同條款年內(nèi)容不被修改；

第三步，用私有數(shù)字證書對(duì)這合同文件進(jìn)行簽名。然后，用電子郵箱把合同文件發(fā)給乙方供應(yīng)商。

乙方供應(yīng)商收到合同文件之后，現(xiàn)獲得甲方的公鑰數(shù)字證書，確保電子郵件的確來(lái)自甲方。乙方運(yùn)行數(shù)字簽名持續(xù)來(lái)驗(yàn)證合同文件在甲方發(fā)出之后沒有被修改。最后乙方打開文件，在文件底部的電子簽名處，看到甲方同意合同條款的簽名。這樣，幾個(gè)環(huán)節(jié)和程序都獲得證實(shí)，合同文件確實(shí)來(lái)自甲方，并未被泄密或被修改。然后，乙方即可處理甲方來(lái)件，即處理合同訂單。這就是經(jīng)過(guò)數(shù)字證書和數(shù)字簽名等保密技術(shù)保護(hù)的網(wǎng)絡(luò)信息傳遞過(guò)程。作為比較可靠的數(shù)字加密技術(shù)，數(shù)字簽名和數(shù)字證書的結(jié)合，可以應(yīng)用于電子郵件、電子支付、電子基金轉(zhuǎn)移等各種用途，以保障其信息安全。

4 結(jié)論

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益成為人們關(guān)注的焦點(diǎn)，加密技術(shù)與網(wǎng)絡(luò)安全密切相關(guān)，網(wǎng)絡(luò)加密的技術(shù)和理論也將不斷完善和發(fā)展，在網(wǎng)絡(luò)安全中的應(yīng)用也將越來(lái)越廣。作為具體的加密技術(shù)應(yīng)用，數(shù)字簽名和數(shù)字證書這兩種技術(shù)，各有千秋，而把兩者結(jié)合起來(lái)，綜合應(yīng)用，則更能有效保證網(wǎng)絡(luò)信息傳遞的安全，值得在實(shí)踐中進(jìn)一步發(fā)展創(chuàng)新。

[1]Atul Kahate著.邱仲潘，等譯.密碼學(xué)與網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2005.

[2]王玲.網(wǎng)絡(luò)信息安全的數(shù)據(jù)加密技術(shù)[M].信息安全與通信保密，2007.

[3]王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].清華大學(xué)出版社，2008.

TP39

A

1674-6708（2010）31-0200-02