數(shù)字簽名技術的主要功能

數(shù)字簽名技術可以解決數(shù)據的否認、偽造、篡改及冒充等問題，滿足上述要求的數(shù)字簽名技術有如下主要功能：

（1）發(fā)送者事后不能否認自己發(fā)送的簽名；

（2）接收者能夠核實發(fā)送者發(fā)送的簽名；

（3）接收者不能偽造發(fā)送者的簽名；

（4）接收者不能對發(fā)送者的原文進行篡改；

（5）數(shù)據交換中的某一用戶不能冒充另一用戶作為發(fā)送者或接收者。

簡單說來，數(shù)字簽名是指用密碼算法，對待發(fā)的數(shù)據進行加密處理，生成一段數(shù)據摘要信息附在原文上一起發(fā)送，接受方對其進行驗證，判斷原文真?zhèn)危浜灻枷胧呛灻荒苣弦粋€人（個體）創(chuàng)建，但可以被任何人校驗。

數(shù)字簽名是防止他人對傳輸?shù)奈募M行破壞．以及確定發(fā)信人的身份的手段該技術在數(shù)據單元上附加數(shù)據，或對數(shù)據單元進行秘密變換．這種數(shù)據和變換允許數(shù)據單元的接收者用以確認數(shù)據單元來源和數(shù)據單元的完整性，從而達到保護數(shù)據，防止被人進行偽造的目的。

數(shù)字簽名技術的實現(xiàn)過程

對一個電子文件進行數(shù)字簽名并在網上傳輸，其技術實現(xiàn)過程大致如下：首先要在網上進行身份認證，然后再進行簽名，最后是對簽名的驗證。

1.認證

PKI提供的服務首先是認證，即身份識別與鑒別，確認實體即為自己所聲明的實體。認證的前提是甲乙雙方都具有第三方CA所簽發(fā)的證書，認證分單向認證和雙向認證。

（1）單向認證是甲乙雙方在網上通信時，甲只需要認證乙的身份即可。這時甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時乙直接將證書傳送給甲，另一種是甲向CA的目錄服務器查詢索取。甲獲得乙的證書后，首先用CA的根證書公鑰驗證該證書的簽名，驗證通過說明該證書是第三方CA簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證書是否已被作廢（LRC檢查）而進入黑名單。

（2）雙向認證。雙向認證是甲乙雙方在網上通信時，甲不但要認證乙的身份，乙也要認證甲的身份。其認證過程與單向認證過程相同。

甲乙雙方在網上查詢對方證書的有效性及黑名單時，采用的是LDAP協(xié)議（LightDirectoryAccessProtocol），它是一種輕型目錄訪問協(xié)議。

2.數(shù)字簽名與驗證過程

網上通信的雙方，在互相認證身份之后，即可發(fā)送簽名的數(shù)據電文。數(shù)字簽名的全過程分兩大部分，即簽名與驗證。

數(shù)字簽名過程分兩部分：左側為簽名，右側為驗證過程。即發(fā)方將原文用哈希算法求得數(shù)字摘要，用簽名私鑰對數(shù)字摘要加密得數(shù)字簽名，發(fā)方將原文與數(shù)字簽名一起發(fā)送給接受方；收方驗證簽名，即用發(fā)方公鑰解密數(shù)字簽名，得出數(shù)字摘要；收方將原文采用同樣哈希算法又得一新的數(shù)字摘要，將兩個數(shù)字摘要進行比較，如果二者匹配，說明經數(shù)字簽名的電子文件傳輸成功。

3.數(shù)字簽名的操作過程

數(shù)字簽名的操作過程需要有發(fā)方的簽名證書的私鑰及其驗證公鑰。

數(shù)字簽名操作具體過程如下：首先是生成被簽名的電子文件（《電子簽名法》中稱數(shù)據電文），然后對電子文件用哈希算法做數(shù)字摘要，再對數(shù)字摘要用簽名私鑰做非對稱加密，即做數(shù)字簽名；之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起進行封裝，形成簽名結果發(fā)送給收方，待收方驗證。

4.數(shù)字簽名的驗證過程

接收方收到發(fā)方的簽名結果后進行簽名驗證，其具體操作過程如下：

接收方收到數(shù)字簽名的結果，其中包括數(shù)字簽名、電子原文和發(fā)方公鑰，即待驗證的數(shù)據。接收方進行簽名驗證。驗證過程是：接收方首先用發(fā)方公鑰解密數(shù)字簽名，導出數(shù)字摘要，并對電子文件原文做同樣哈希算法得出一個新的數(shù)字摘要，將兩個摘要的哈希值進行結果比較，相同簽名得到驗證，否則無效。這就做到了《電子簽名法》中所要求的對簽名不能改動，對簽署的內容和形式也不能改動的要求。

5.數(shù)字簽名的作用

如果接收方對發(fā)方數(shù)字簽名驗證成功，就可以說明以下三個實質性的問題：

（1）該電子文件確實是由簽名者的發(fā)方所發(fā)出的，電子文件來源于該發(fā)送者。因為，簽署時電子簽名數(shù)據由電子簽名人所控制。

（2）被簽名的電子文件確實是經發(fā)方簽名后發(fā)送的，說明發(fā)方用了自己的私鑰做的簽名，并得到驗證，達到不可否認的目的。

（3）接收方收到的電子文件在傳輸中沒有被篡改，保持了數(shù)據的完整性，因為，簽署后對電子簽名的任何改動都能夠被發(fā)現(xiàn)。

以上三點就是對《電子簽名法》中所規(guī)定的“安全的電子簽名具有與手寫簽名或者蓋章同等的效力”的具體體現(xiàn)。

6.原文保密的數(shù)字簽名的實現(xiàn)方法

在上述數(shù)字簽名原理中定義的是對原文做數(shù)字摘要和簽名并傳輸原文，在很多場合傳輸?shù)脑氖且蟊Ｃ艿模髮υ倪M行加密的數(shù)字簽名方法如何實現(xiàn)？這里就要涉及到“數(shù)字信封”的概念。請參照圖8的簽名過程。

下面流程是一個典型的“電子信封”處理過程。基本原理是將原文用對稱密鑰加密傳輸，而將對稱密鑰用收方公鑰加密發(fā)送給對方。收方收到電子信封，用自己的私鑰解密信封，取出對稱密鑰解密得原文。其詳細過程如下：

（1）發(fā)方A將原文信息進行哈希運算，得一哈希值即數(shù)字摘要MD；

（2）發(fā)方A用自己的私鑰PVA，采用非對稱RSA算法，對數(shù)字摘要MD進行加密，即得數(shù)字簽名DS；

（3）發(fā)方A用對稱算法DES的對稱密鑰SK對原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA采用對稱算法加密，得加密信息E；

（4）發(fā)方用收方B的公鑰PBB，采用RSA算法對對稱密鑰SK加密，形成數(shù)字信封DE，就好像將對稱密鑰SK裝到了一個用收方公鑰加密的信封里；

（5）發(fā)方A將加密信息E和數(shù)字信封DE一起發(fā)送給收方B；

（6）收方B接受到數(shù)字信封DE后，首先用自己的私鑰PVB解密數(shù)字信封，取出對稱密鑰SK；

（7）收方B用對稱密鑰SK通過DES算法解密加密信息E，還原出原文信息、數(shù)字簽名SD及發(fā)方A證書的公鑰PBA；

（8）收方B驗證數(shù)字簽名，先用發(fā)方A的公鑰解密數(shù)字簽名得數(shù)字摘要MD；

（9）收方B同時將原文信息用同樣的哈希運算，求得一個新的數(shù)字摘要MD’；

（10）將兩個數(shù)字摘要MD和MD’進行比較，驗證原文是否被修改。如果二者相等，說明數(shù)據沒有被篡改，是保密傳輸?shù)模灻钦鎸嵉模环駝t拒絕該簽名。

這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，未經認證和授權的人，看不見原數(shù)據，起到了在數(shù)字簽名傳輸中對敏感數(shù)據的保密作用。

精彩閱讀推薦：

數(shù)字簽名技術具有什么特性_數(shù)字簽名技術的三個安全性

數(shù)字簽名技術的應用