论文部分内容阅读
摘要:数字签名技术是保证网络信息安全的一个重要方法。本文系统阐述了数字签名技术的概念,实现的功能及其特性。描述了数字签名技术在现实生活中的应用,以及它的工作原理。
关键词:数字签名;报文;加密;公钥
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Digital Signature Technology Research and Application
Huang Shuhong
(Jiangsu Nanjing Sanjiang University,Nanjing210012,China)
Abstract:Digital signature technology to ensure network and information security is an important way.This system explains the concept of digital signature technology,functions and features.Describe the digital signature technology in real life applications,and it works.
Keywords:Digital signature;Message;Encryption;Public
引言:当今社会,计算机网络已广泛的应用到社会的各个领域,人类对它的依赖程度也越高。因此,计算机网络的安全就显得非常的重要。网络安全技术从根本上来说,就是通过解决网络中存在的安全问题,来达到确保信息在网络环境中的存储,处理与传输安全的目的。而数字签名技术是保证网络与信息安全的核心技术之一。通过数字签名技术,可以确定发送人的身份问题。
一、数组签名技术的基本框架
(一)数字签名技术的概念
数字签名是通过公开密钥的方法防止信息接受者伪造对接收报文的签名,以及接受者能够核实发送者的签名,以及经接收者核实后,发送者不能否认对报文的签名。
(二)数字签名实现的功能
数字签名需要实现3个功能:(1)接收方可以核对发送方对报文的签名,以确定对方的身份;(2)发送方在发送报文之后无法对发送的报文及签名抵赖;(3)接收方无法伪造发送方的签名。
(三)数字签名的签名过程
数字签名是利用公开密钥来实现的。首先报文的发送者用私钥对明文数据进行加密运算,得到一个新的结果。此结果被作为明文数据输入到加密算法中,并用接收方的公钥对其进行加密,得到密文数据。当接收方收到密文数据后,首先用自己的私钥和解密算法解读出具有加密签名的数据,然后,接收方用加密算法和发送方的私钥对具有加密签名的数据进行另一次运算,以获得发送者的签名。
二、数字签名的工作原理
非对称加密算法使用两个不同的密钥,其中有一个是用来加密的公钥,它可以保存在系统目录,未加密的电子邮件中,网上的任何用户都可以获得公钥;另一个是由用户本身持有的私钥,它可以对由公钥加密的信息进行解密。
非对称加密算法(例如RSA算法)效率比较低,并对加密的信息块长度有一定的限制。在使用非对称加密算法进行数字签名前,通常先使用单项散列函数hashing function对要签名的信息进行计算,声称信息摘要,并对信息摘要进行签名(RFC1321)。
我们可以用一个简单的例子来说明单向散裂函数的实现方法。假设生成单向散列函数的办法是:对一段英文消息中字母a,e,h,o出现的次数进行计数,生成的消息摘要的值H取字母a,e,h出现的次数相乘,再加上字母o出现的次数。那么,对于一段英文消息:
the combination to the safe is two,seven,thirty-five
这段英文中:a出现的次数为2,e出现的次数为6,h出现的次数为3,o出现的次数为4.那么,按照生成的消息摘要值的规则:
H0=(2X6X3)+4=40
如果有人截获了这段消息,并把它修改为:
You are being followed,use back roads hurry.
这段英文中:a出现的次数为3,e出现的次数为4,h出现的次数为1,o出现的次数为4.那么,按照生成的消息摘要值的规则:
H’=(3X4X1)+4=16
显然,被人修改过的消息摘要值就会发生变化。通过检查消息摘要值的方法可以发现的消息是否已经被人篡改。当然,单向散列函数是很复杂的,这里只是以一个简单的例子加以说明。单向散列函数可以根据一个任意长的报文生成固定的散列值。它所生成的散列值具有唯一性,人们将散列值比作消息的“指纹“。因此使用单向散列函数可以检测报文的完整性。
下图是数字签名的工作原理:
三、数字签名技术的特点
数字签名在现实中使用主要有以下特点:
(一)鉴权
公钥加密系统允许任何人在发送信息时使用公钥进行加密,数字签名能够让信息接收者确认发送者的身份。当然,接收者不可能百分之百确信发送者的真实身份,而只能在密码系统未被破译的情况下才有理由确信。鉴权的重要性在财务数据上表现得尤为突出。举个例子,假设一家银行将指令由它的分行传输到它的中央管理系统,指令的格式是(a,b),其中a是账户的账号,而b是账户的现有金额。这时一位远程客户可以先存入100元,观察传输的结果,然后接二连三的发送格式为(a,b)的指令。这种方法被称作重放攻击。
(二)完整性
传输数据的双方都总希望确认消息未在传输的过程中被修改。加密使得第三方想要读取数据十分困难,然而第三方仍然能采取可行的方法在传输的过程中修改数据。一个通俗的例子就是同形攻击:回想一下,还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令,其中a是账号,而b是账户中的金额。一个远程客户可以先存100元,然后拦截传输结果,再传输(a,b3),这样他就立刻变成百万富翁了。
(三)不可抵赖性
在密文背景下,抵赖这个词指的是不承认与消息有关的举动(即声称消息来自第三方)。消息的接收方可以通过数字签名来防止所有后续的抵赖行为,因为接收方可以出示签名给别人看来证明信息的来源。
四、数字签名的应用
(一)数字签名技术是网络环境中进行公文签发、内容审批等流程必不可少的技术手段
因为它提供了确认机制,保证了公文或审批结果的权威性、有效性和可信性,在网络上建立起了信任机制,从根本上解决了伪造、假冒等安全问题。此外,在电子文档易于修改,而且修改后不留痕迹这方面,这时可以通过对电子文档进行数字签名,来保证文档不被篡改,而且一旦被篡改,可以马上检查出来。
(二)利用数字签名技术可以保证文件在网络环境中可以安全的送到接收者手中
这是只要对文件进行数字签名,当签过名的文件到达接收者手中时,接收者验证数字签名,确认文件内容没有丢失,没被篡改,然后发送回执,并对回执进行数字签名。发送者收到接收者的回执并验证签名,一方面可以确认接收者已经正确接收了文件,而且确认了接收者的身份。
(三)数字签名还可以为电子政务的日志系统提供权威鉴定
普通的日志系统只记录了使用者的操作等情况,但这种记录可以被修改,因此在做审计或发生事故时作为证据的力度不够,而数字签名技术却可以确认日志的正确性。
五、结束语
随着信息技术的发展与应用,网络的内涵在不断的延伸。从最初的信息保密性发展到信息的完整性,可用性与不可否认性,进而又发展为“攻击,防范,检测,控制,管理,评估”等多方面的基础理论与实施技术。在这些防范网络安全的技术中,数字签名技术在理论研究,技术成熟度和实用性发面都有着无法之相比的优势,同时它又存在的巨大的发展潜力,特别是在电子商务发面,起着举足轻重的作用,相信在不久的将来会发挥更大的作用。同时,数字签名技术与通信技术的结合,必将在网络安全领域得到广泛的应用。
参考文献:
[1]贾铁军,沈学东,苏庆刚,王坚,王小刚.网络安全技术及应用[M].机械工业出版社,2009
[2]吴功宜.计算机网络[M].清华大学出版社,2006
[3]张福炎,孙志辉.信息技术教程[M].南京大学出版社,2007
[4]Allan Liske.CISSP:The Practice of Network Security.Person Education,2003
关键词:数字签名;报文;加密;公钥
中图分类号:TP309 文献标识码:A文章编号:1007-9599 (2011) 16-0000-02
Digital Signature Technology Research and Application
Huang Shuhong
(Jiangsu Nanjing Sanjiang University,Nanjing210012,China)
Abstract:Digital signature technology to ensure network and information security is an important way.This system explains the concept of digital signature technology,functions and features.Describe the digital signature technology in real life applications,and it works.
Keywords:Digital signature;Message;Encryption;Public
引言:当今社会,计算机网络已广泛的应用到社会的各个领域,人类对它的依赖程度也越高。因此,计算机网络的安全就显得非常的重要。网络安全技术从根本上来说,就是通过解决网络中存在的安全问题,来达到确保信息在网络环境中的存储,处理与传输安全的目的。而数字签名技术是保证网络与信息安全的核心技术之一。通过数字签名技术,可以确定发送人的身份问题。
一、数组签名技术的基本框架
(一)数字签名技术的概念
数字签名是通过公开密钥的方法防止信息接受者伪造对接收报文的签名,以及接受者能够核实发送者的签名,以及经接收者核实后,发送者不能否认对报文的签名。
(二)数字签名实现的功能
数字签名需要实现3个功能:(1)接收方可以核对发送方对报文的签名,以确定对方的身份;(2)发送方在发送报文之后无法对发送的报文及签名抵赖;(3)接收方无法伪造发送方的签名。
(三)数字签名的签名过程
数字签名是利用公开密钥来实现的。首先报文的发送者用私钥对明文数据进行加密运算,得到一个新的结果。此结果被作为明文数据输入到加密算法中,并用接收方的公钥对其进行加密,得到密文数据。当接收方收到密文数据后,首先用自己的私钥和解密算法解读出具有加密签名的数据,然后,接收方用加密算法和发送方的私钥对具有加密签名的数据进行另一次运算,以获得发送者的签名。
二、数字签名的工作原理
非对称加密算法使用两个不同的密钥,其中有一个是用来加密的公钥,它可以保存在系统目录,未加密的电子邮件中,网上的任何用户都可以获得公钥;另一个是由用户本身持有的私钥,它可以对由公钥加密的信息进行解密。
非对称加密算法(例如RSA算法)效率比较低,并对加密的信息块长度有一定的限制。在使用非对称加密算法进行数字签名前,通常先使用单项散列函数hashing function对要签名的信息进行计算,声称信息摘要,并对信息摘要进行签名(RFC1321)。
我们可以用一个简单的例子来说明单向散裂函数的实现方法。假设生成单向散列函数的办法是:对一段英文消息中字母a,e,h,o出现的次数进行计数,生成的消息摘要的值H取字母a,e,h出现的次数相乘,再加上字母o出现的次数。那么,对于一段英文消息:
the combination to the safe is two,seven,thirty-five
这段英文中:a出现的次数为2,e出现的次数为6,h出现的次数为3,o出现的次数为4.那么,按照生成的消息摘要值的规则:
H0=(2X6X3)+4=40
如果有人截获了这段消息,并把它修改为:
You are being followed,use back roads hurry.
这段英文中:a出现的次数为3,e出现的次数为4,h出现的次数为1,o出现的次数为4.那么,按照生成的消息摘要值的规则:
H’=(3X4X1)+4=16
显然,被人修改过的消息摘要值就会发生变化。通过检查消息摘要值的方法可以发现的消息是否已经被人篡改。当然,单向散列函数是很复杂的,这里只是以一个简单的例子加以说明。单向散列函数可以根据一个任意长的报文生成固定的散列值。它所生成的散列值具有唯一性,人们将散列值比作消息的“指纹“。因此使用单向散列函数可以检测报文的完整性。
下图是数字签名的工作原理:
三、数字签名技术的特点
数字签名在现实中使用主要有以下特点:
(一)鉴权
公钥加密系统允许任何人在发送信息时使用公钥进行加密,数字签名能够让信息接收者确认发送者的身份。当然,接收者不可能百分之百确信发送者的真实身份,而只能在密码系统未被破译的情况下才有理由确信。鉴权的重要性在财务数据上表现得尤为突出。举个例子,假设一家银行将指令由它的分行传输到它的中央管理系统,指令的格式是(a,b),其中a是账户的账号,而b是账户的现有金额。这时一位远程客户可以先存入100元,观察传输的结果,然后接二连三的发送格式为(a,b)的指令。这种方法被称作重放攻击。
(二)完整性
传输数据的双方都总希望确认消息未在传输的过程中被修改。加密使得第三方想要读取数据十分困难,然而第三方仍然能采取可行的方法在传输的过程中修改数据。一个通俗的例子就是同形攻击:回想一下,还是上面的那家银行从它的分行向它的中央管理系统发送格式为(a,b)的指令,其中a是账号,而b是账户中的金额。一个远程客户可以先存100元,然后拦截传输结果,再传输(a,b3),这样他就立刻变成百万富翁了。
(三)不可抵赖性
在密文背景下,抵赖这个词指的是不承认与消息有关的举动(即声称消息来自第三方)。消息的接收方可以通过数字签名来防止所有后续的抵赖行为,因为接收方可以出示签名给别人看来证明信息的来源。
四、数字签名的应用
(一)数字签名技术是网络环境中进行公文签发、内容审批等流程必不可少的技术手段
因为它提供了确认机制,保证了公文或审批结果的权威性、有效性和可信性,在网络上建立起了信任机制,从根本上解决了伪造、假冒等安全问题。此外,在电子文档易于修改,而且修改后不留痕迹这方面,这时可以通过对电子文档进行数字签名,来保证文档不被篡改,而且一旦被篡改,可以马上检查出来。
(二)利用数字签名技术可以保证文件在网络环境中可以安全的送到接收者手中
这是只要对文件进行数字签名,当签过名的文件到达接收者手中时,接收者验证数字签名,确认文件内容没有丢失,没被篡改,然后发送回执,并对回执进行数字签名。发送者收到接收者的回执并验证签名,一方面可以确认接收者已经正确接收了文件,而且确认了接收者的身份。
(三)数字签名还可以为电子政务的日志系统提供权威鉴定
普通的日志系统只记录了使用者的操作等情况,但这种记录可以被修改,因此在做审计或发生事故时作为证据的力度不够,而数字签名技术却可以确认日志的正确性。
五、结束语
随着信息技术的发展与应用,网络的内涵在不断的延伸。从最初的信息保密性发展到信息的完整性,可用性与不可否认性,进而又发展为“攻击,防范,检测,控制,管理,评估”等多方面的基础理论与实施技术。在这些防范网络安全的技术中,数字签名技术在理论研究,技术成熟度和实用性发面都有着无法之相比的优势,同时它又存在的巨大的发展潜力,特别是在电子商务发面,起着举足轻重的作用,相信在不久的将来会发挥更大的作用。同时,数字签名技术与通信技术的结合,必将在网络安全领域得到广泛的应用。
参考文献:
[1]贾铁军,沈学东,苏庆刚,王坚,王小刚.网络安全技术及应用[M].机械工业出版社,2009
[2]吴功宜.计算机网络[M].清华大学出版社,2006
[3]张福炎,孙志辉.信息技术教程[M].南京大学出版社,2007
[4]Allan Liske.CISSP:The Practice of Network Security.Person Education,2003