宛 健

天津市南開大學信息技術科學學院，天津 300020

數(shù)字簽名和證書在網(wǎng)絡技術加密中的綜合應用

宛 健

天津市南開大學信息技術科學學院，天津 300020

隨著網(wǎng)絡技術的發(fā)展，引發(fā)各種競爭，網(wǎng)絡安全問題也被提上議事日程。在加密技術應用中，數(shù)字簽名和數(shù)字證書技術都是信息保密的重要技術方法，如果把數(shù)字簽名和數(shù)字證書結(jié)合起來，綜合應用，則更能有效提高網(wǎng)絡信息安全程度，而且過程簡潔，兩種技術無縫接軌，能有效保證網(wǎng)絡信息傳遞的安全，值得在實踐中進一步發(fā)展創(chuàng)新。

數(shù)字簽名；數(shù)字證書；網(wǎng)絡；加密

0 引言

隨著計算機技術的快速發(fā)展，信息網(wǎng)絡技術廣泛推普應用，與之相應的網(wǎng)絡安全問題也被提上議事日程。因為信息與網(wǎng)絡涉及到國家的各個方面，包括政治的、經(jīng)濟的、軍事的、文化的等諸多領域，在計算機網(wǎng)絡中存儲、傳輸和處理的信息，包括政府部門的宏觀調(diào)控決策、國家安全信息、商業(yè)經(jīng)濟信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)和高科技科研數(shù)據(jù)等息，其中有很多是敏感信息和國家機密，所以承載和集散這些數(shù)據(jù)信息的載體，如網(wǎng)絡、計算機等，難免會成為各種攻擊和破壞的對象。萬維網(wǎng)絡因之不斷地遭遇黑客的攻擊、破壞搗亂，許多國家機密及重要情報資料被竊取和破壞，甚至造成局部網(wǎng)絡系統(tǒng)的癱瘓等，這些破壞行為已經(jīng)給各個國家、眾多使用計算機網(wǎng)絡的部門和個人造成程度不同的損失。特別是，當許多安全保密應對措施出現(xiàn)的時候，網(wǎng)絡攻擊又更猖獗，近乎達到無孔不入的地步。因此，提高安全意識，加強網(wǎng)絡技術的安保措施，實施網(wǎng)絡技術加密，保障網(wǎng)絡使用安全，已經(jīng)成為網(wǎng)絡技術應用和發(fā)展的重要內(nèi)容。

目前，最常用的網(wǎng)絡安全防護技術主要有：加密技術、身份驗證技術、網(wǎng)絡防病毒技術和防火墻技術等。這些技術各有千秋，都能對網(wǎng)絡信息安全保障，立下汗馬功勞，但又各有不足。尤其是，以往的安全防范措施多是各自為政，互不關聯(lián)，其防范效果也就有限了。我們設想，如果把幾種加密技術和措施結(jié)合起來使用，可能有效提高加密層級，比如，把加密技術和身份驗證技術結(jié)合應用，其安全效果當大幅度提高，保障性更強。其初步的界定是：加密技術和身份驗證技術相結(jié)合，是指對在網(wǎng)絡中所發(fā)送的明文消息，用加密密鑰加密成密文進行傳送，同時給以數(shù)字簽名和數(shù)字證書保障，接收方用解密密鑰進行解密，核對證書，確認身份，再現(xiàn)明文消息，從而保證傳輸過程中密文信息即使被泄露，在無密鑰的情況下仍是安全保密的。通過數(shù)字簽名和數(shù)字證書技術的結(jié)合應用，以很小的投入和代價，提供可靠的安全保護，目的是保護有關數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上集散的信息數(shù)據(jù)，能有效地保證網(wǎng)絡技術應用和信息資料的安全。

1 數(shù)字簽名

1.1 數(shù)字簽名的界定

所謂數(shù)字簽名（Digital Signature），是公開密鑰加密技術的一種應用，是指用發(fā)送方的私有密鑰加密報文摘要，然后將其與原始的信息附加在一起，合稱為數(shù)字簽名。

1.2 數(shù)字簽名的使用方法

數(shù)字簽名的具體使用方法是：報文的發(fā)送方從報文文本中生成一個128位或160位的單向散列值（或報文摘要），并用自己的私有的密鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名;然后將這個數(shù)字簽名作文的附件和報文一起發(fā)送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發(fā)送方的公開密鑰對報文附加的數(shù)字簽名進行解密;如果這兩個散列值相同，那么接收方就能確認數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別和驗證，保證報文的完整性、權威性和發(fā)送者對報文的不可抵賴性。數(shù)字簽名機制提供了一種鑒別方法，普遍用于銀行、電子商務等，以解決偽造、抵賴、冒充、篡改等問題。

1.3 數(shù)字簽名的技術實現(xiàn)

在技術實現(xiàn)上，數(shù)字簽名的步驟一般有如下幾步：

1）發(fā)送方用一個Hash函數(shù)對消息進行處理，產(chǎn)生消息摘要（Message Digest）；

2）發(fā)送方將自己的私人密鑰和消息摘要進行DSA算法（Digital Signature Algorithm）計算，產(chǎn)生數(shù)字簽名；

3）將數(shù)字簽名和消息一起發(fā)送出去；

4）接收方用同樣的Hash函數(shù)對消息進行計算，產(chǎn)生消息摘要；

5）接收方用DSA算法消息摘要和發(fā)送方的公開密鑰進行計算，產(chǎn)生數(shù)字簽名S1。同時從接收到的消息中可以得到附加的數(shù)字簽名S2。對比數(shù)字簽名S1和S2，若S1與S2相等，則該數(shù)字簽名得到驗證，否則數(shù)字簽名驗證失敗，消息發(fā)出后可能曾被修改或者是偽造的。整個過程如圖1。

圖1 數(shù)字簽名及其驗證過程

數(shù)字簽名因其使用方便，技術層級高，在網(wǎng)絡信息傳遞的保密過程中，最常應用。

2 數(shù)字證書

2.1 數(shù)字證書的概念

顧名思義，數(shù)字證書是一個文件。數(shù)字證書（Digital Certification，Digital ID）是網(wǎng)絡上用以證實一個用戶的身份和證實其對網(wǎng)絡資源的訪問權限。它是一個加密并用口令保護的文件，一般的數(shù)字證書總是把一個密鑰同一個用戶的一個或多個屬性進行綁定。數(shù)字證書包含有證書擁有者的個人主要信息，可以編碼的信息、證書驗證機構(gòu)CA （Certification Authority）和證實的有效期等。其中，個人信息包括證書持有者的姓名、證件編號和電子郵件地址等等，編碼的信息指文件中包含一個公開密鑰以用來驗證消息發(fā)送者事先用匹配的私有密鑰簽過的數(shù)字簽名。數(shù)字證書的內(nèi)部格式由CC ITTX. 509國際標準所規(guī)定。

2.2 數(shù)字證書的傳輸

一般是每一個公鑰做一張數(shù)字證書，私鑰用最安全的方式交給用戶或自己生產(chǎn)密鑰對，數(shù)字證書的內(nèi)容包括用戶的公鑰、姓名、發(fā)證機構(gòu)的數(shù)字簽名及用戶的其他信息，對方可以借此來驗證身份的真假。當然，證書必須預防密鑰丟失，可采用恢復密鑰和密鑰托管等方式處理丟失問題。證書的有效期超過后，必須重新簽發(fā)，如果私鑰丟失或被非法使用，則應廢止證書。

3 數(shù)字簽名與數(shù)字證書的綜合使用

把數(shù)字簽名和數(shù)字證書技術兩者綜合起來，一起用于信息傳遞過程的保密工作，可以有效地提高加密層級，保障網(wǎng)絡信息安全。這主要是因為其保密過程增加了幾道防范措施。數(shù)字簽名和數(shù)字證書綜合應用于網(wǎng)絡信息加密，其過程依附在信息傳遞過程中的。

3.1 數(shù)字簽名和數(shù)字證書的綜合應用流程

1）發(fā)送者A將一個簽名的證書請求(包含她的名字、公鑰、可能還有其他一些信息)發(fā)送到CA。

2）CA使用發(fā)送者A 的請求創(chuàng)建一個消息。CA使用其私鑰對消息進行簽名，以便創(chuàng)建一個單獨的簽名。CA將消息和簽名返回給發(fā)送者A。消息和簽名共同構(gòu)成了發(fā)送者A的證書。

3）發(fā)送者A將證書發(fā)送給發(fā)送者B，以便授權他訪問發(fā)送者A的公鑰。

4）發(fā)送者B使用CA的公鑰對證書簽名進行驗證。如果證書簽名是有效的，就承認證書中的公鑰是發(fā)送者A的公鑰。

圖2 數(shù)字認證過程

與數(shù)字簽名的情況一樣，任何有權訪問CA公鑰的接收者都可以確定證書是否由特定CA 簽名的。這個過程不要求訪問任何機密信息。上面這個方案假定發(fā)送者B有權訪問CA的公鑰。如果發(fā)送者B擁有發(fā)含該公鑰的CA證書副本，則他有權訪問該密鑰。具體的認證過程如圖2。

從這過程看來，數(shù)字簽名和數(shù)字證書兩種技術，其應用過程并不矛盾，不會產(chǎn)生排斥，倒是能互相照應，無縫接軌，過程也很簡潔，使用方便。

3.2 數(shù)字簽名和數(shù)字證書的綜合應用舉例

把數(shù)字加密和數(shù)字證書結(jié)合起來，可以加大網(wǎng)絡信息保密的力度。假如甲方要給乙方供應商發(fā)送一份業(yè)務合同，其步驟可以是：

第一步，在文字處理軟件中填寫合同內(nèi)容細節(jié)，在文檔地步，插入電子簽名，表示甲方已經(jīng)確認合同；

第二步，用數(shù)字簽名來生成一個唯一的數(shù)字，這就使得合同有了甲方的電子簽名和數(shù)字簽名，附在文件中，以保證合同條款年內(nèi)容不被修改；

第三步，用私有數(shù)字證書對這合同文件進行簽名。然后，用電子郵箱把合同文件發(fā)給乙方供應商。

乙方供應商收到合同文件之后，現(xiàn)獲得甲方的公鑰數(shù)字證書，確保電子郵件的確來自甲方。乙方運行數(shù)字簽名持續(xù)來驗證合同文件在甲方發(fā)出之后沒有被修改。最后乙方打開文件，在文件底部的電子簽名處，看到甲方同意合同條款的簽名。這樣，幾個環(huán)節(jié)和程序都獲得證實，合同文件確實來自甲方，并未被泄密或被修改。然后，乙方即可處理甲方來件，即處理合同訂單。這就是經(jīng)過數(shù)字證書和數(shù)字簽名等保密技術保護的網(wǎng)絡信息傳遞過程。作為比較可靠的數(shù)字加密技術，數(shù)字簽名和數(shù)字證書的結(jié)合，可以應用于電子郵件、電子支付、電子基金轉(zhuǎn)移等各種用途，以保障其信息安全。

4 結(jié)論

隨著計算機網(wǎng)絡技術的迅猛發(fā)展，網(wǎng)絡安全問題日益成為人們關注的焦點，加密技術與網(wǎng)絡安全密切相關，網(wǎng)絡加密的技術和理論也將不斷完善和發(fā)展，在網(wǎng)絡安全中的應用也將越來越廣。作為具體的加密技術應用，數(shù)字簽名和數(shù)字證書這兩種技術，各有千秋，而把兩者結(jié)合起來，綜合應用，則更能有效保證網(wǎng)絡信息傳遞的安全，值得在實踐中進一步發(fā)展創(chuàng)新。

[1]Atul Kahate著.邱仲潘，等譯.密碼學與網(wǎng)絡安全[M].清華大學出版社，2005.

[2]王玲.網(wǎng)絡信息安全的數(shù)據(jù)加密技術[M].信息安全與通信保密，2007.

[3]王群.計算機網(wǎng)絡安全技術[M].清華大學出版社，2008.

TP39

A

1674-6708（2010）31-0200-02