數(shù)字簽名技術(shù)

1、數(shù)字簽名與數(shù)字證書數(shù)字簽名與數(shù)字證書學(xué)習(xí)要點(diǎn)：學(xué)習(xí)要點(diǎn)：l了解數(shù)字簽名產(chǎn)生的背景了解數(shù)字簽名產(chǎn)生的背景l(fā)了解數(shù)字簽名的基本要求了解數(shù)字簽名的基本要求l了解數(shù)字簽名方案了解數(shù)字簽名方案l了解數(shù)字簽名標(biāo)準(zhǔn)了解數(shù)字簽名標(biāo)準(zhǔn)DSS數(shù)字簽名問題l 假定A發(fā)送一個(gè)認(rèn)證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個(gè)不同的消息，但聲稱是從A收到的。A可以否認(rèn)發(fā)過該消息，B無法證明A確實(shí)發(fā)了該消息。l 例如：電子交易中改大金額；股票交易指令虧損后抵賴。數(shù)字簽名的含義和目的l是手寫簽名的一種電子模擬l對數(shù)字對象的合法性、真實(shí)性進(jìn)行標(biāo)記l提供簽名者的承諾 數(shù)字簽名的特殊性數(shù)字簽名的特殊性l 相應(yīng)的手寫簽名與被

2、簽名文檔使用共同的物理載體（不可分割性）l 手寫簽名能夠反映簽名者的個(gè)性特征（獨(dú)特性 ）l 可以任意分割、復(fù)制而不被察覺l 數(shù)字信息本身沒有個(gè)性特征l 很容易被偽造和重用，完全達(dá)不到簽名的目的l 傳統(tǒng)手寫簽名的驗(yàn)證具有一定程度的主觀性和模糊性數(shù)字簽名的要求數(shù)字簽名的要求 l 接收者能夠核實(shí)發(fā)送者對報(bào)文的簽名l 發(fā)送者事后不能抵賴對報(bào)文的簽名l 接收者不能偽造對報(bào)文的簽名l 必須能夠認(rèn)證簽名時(shí)刻的內(nèi)容l 簽名必須能夠被第三方驗(yàn)證，以解決爭議 數(shù)字簽名設(shè)計(jì)應(yīng)考慮l 簽名是對文檔的一種映射，簽名與文檔具有一一對應(yīng)關(guān)系（精確性）l 簽名應(yīng)基于簽名者的唯一性特征，從而確定簽名的不可偽造性和不可否認(rèn)性（唯

3、一性）l 簽名應(yīng)該具有時(shí)間特征，防止簽名的重復(fù)使用（時(shí)效性）數(shù)字簽名實(shí)現(xiàn)方法l用非對稱加密算法（RSA）進(jìn)行數(shù)字簽名。（書本47頁）4.2.2 數(shù)字證書l1數(shù)字證書的概念 l數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn) 4.2.2 數(shù)字證書l 一個(gè)標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容： l 證書的版本信息； l 證書的序列號，每個(gè)證書都有一個(gè)唯一的證書序列號；

4、l 證書所使用的簽名算法； l 證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用X.500格式； l 證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950-2049； l 證書所有人的名稱，命名規(guī)則一般采用X.500格式； l 證書所有人的公開密鑰； l 證書發(fā)行者對證書的簽名。 4.2.2 數(shù)字證書l2數(shù)字證書的作用 l（1）信息的保密性 l（2）信息的完整性 l（3）信息的不可否認(rèn)性 l（4）交易者身份的確定性 4.2.2 數(shù)字證書l3數(shù)字證書的原理 l數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行

5、解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了 4.2.2 數(shù)字證書l4數(shù)字證書的用途 l數(shù)字證書可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動(dòng)和行政作業(yè)活動(dòng)，包括支付型和非支付型電子商務(wù)活動(dòng)，其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng) 4.2.2 數(shù)字證書l 5數(shù)字證書的申請流程4.2.3 認(rèn)證中心l C

6、A(Certificate Authority)機(jī)構(gòu)，又稱為認(rèn)證中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任 1行業(yè)性認(rèn)證中心（1）中國金融認(rèn)證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認(rèn)證中心（1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認(rèn)證中心 （3）北京數(shù)字證書認(rèn)證中心 3.商業(yè)性認(rèn)證中心4.2.3 認(rèn)證中心l CA(Certificate Authority)機(jī)構(gòu)，又稱為認(rèn)證中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任 1行業(yè)性認(rèn)證中心（1）中國金融認(rèn)證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認(rèn)證中心（1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認(rèn)證中心 （3）北京數(shù)字證書認(rèn)證中心 3.商業(yè)性認(rèn)證中心4.1.1 PKI技術(shù)的含義lPKI是“Public Key Infrastructure”的縮寫，意為“公鑰基礎(chǔ)設(shè)施”。PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 4.1.2 PKI的組成及功能lPKI系統(tǒng)由五個(gè)基本部分組成：證書申請者（Subscriber）、注冊機(jī)構(gòu)（Registration Authority，RA）、認(rèn)證中心（Certificate Authority，CA）