數(shù)字簽名技術(shù)

所謂"數(shù)字簽名"就是通過(guò)某種密碼運(yùn)算生成一系列符號(hào)及代碼組成電子密碼進(jìn)行簽名，來(lái)代替書(shū)寫(xiě)簽名或印章，對(duì)于這種電子式的簽名還可進(jìn)行技術(shù)驗(yàn)證，其驗(yàn)證的準(zhǔn)確度是一般手工簽名和圖章的驗(yàn)證無(wú)法比擬的?！皵?shù)字簽名”是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟的、可操作性最強(qiáng)的一種電子簽名方法。它采用了規(guī)范化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對(duì)一項(xiàng)電子數(shù)據(jù)內(nèi)容的認(rèn)可。它還能驗(yàn)證出文件的原文在傳輸過(guò)程中有無(wú)變動(dòng)，確保傳輸電子文件的完整性、真實(shí)性和不可抵賴性。

（一）  數(shù)字簽名的原理

在公鑰密碼學(xué)中，密鑰是由公開(kāi)密鑰和私有密鑰組成的密鑰對(duì)。數(shù)字簽名就是用私有密鑰進(jìn)行加密，接收方用公開(kāi)密鑰進(jìn)行解密。由于公開(kāi)密鑰不能推算出私有密鑰，所以公開(kāi)密鑰不會(huì)損壞私有密鑰的安全，公開(kāi)密鑰無(wú)需保密可以公開(kāi)傳播，而私有密鑰必須保密。因此，當(dāng)某人用其私有密鑰加密信息，能夠用他的公開(kāi)密鑰正確解密就可以肯定該消息是經(jīng)過(guò)某人簽字的，因?yàn)槠渌说墓_(kāi)密鑰不可能正確解密該加密信息，其他人也不可能擁有該人的私有密鑰而制造出該加密過(guò)的信息。

數(shù)字簽名并非是書(shū)面簽名的數(shù)字圖像化，而是通過(guò)密碼技術(shù)對(duì)電子文檔進(jìn)行的電子形式簽名。實(shí)際上人們可以否認(rèn)曾對(duì)一個(gè)文件簽過(guò)名，且筆跡鑒定的準(zhǔn)確率并非100%，但卻難以否認(rèn)一個(gè)數(shù)字簽名。因?yàn)閿?shù)字簽名的生成需要使用私有密鑰，其對(duì)應(yīng)的公開(kāi)密鑰則用以驗(yàn)證簽名，再加上目前已有一些方案，如數(shù)字證書(shū)，就是把一個(gè)實(shí)體（法律主體）的身份同一個(gè)私有密鑰和公開(kāi)密鑰對(duì)綁定在一起，使得這個(gè)主體很難否認(rèn)數(shù)字簽名。

就其實(shí)質(zhì)而言，數(shù)字簽名是接收方能夠向第三方證明接收到的消息及發(fā)送源的真實(shí)性而采取的一種安全措施，其使用可以保證發(fā)送方不能否認(rèn)和偽造信息。數(shù)字簽名的主要方式是：報(bào)文的發(fā)送方從報(bào)文文本中生成一個(gè)散列值（或報(bào)文摘要）。發(fā)送方用自己的私有密鑰對(duì)這個(gè)散列值進(jìn)行加密來(lái)形成發(fā)送方的數(shù)字簽名。然后，這個(gè)數(shù)字簽名將作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方。報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值（或報(bào)文摘要），接著再用發(fā)送方的公開(kāi)密鑰來(lái)對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密。如果兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

（二）數(shù)字簽名的作用

數(shù)字簽名作為維護(hù)數(shù)據(jù)信息安全的重要方法之一，可以解決偽造、抵賴、冒充和篡改等問(wèn)題，其主要作用體現(xiàn)在以下幾個(gè)方面：

（1）防重放攻擊。重放攻擊（Replay Attacks），是計(jì)算機(jī)世界黑客常用的攻擊方式，是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過(guò)的包，來(lái)達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過(guò)程，破壞認(rèn)證的正確性。這種攻擊會(huì)不斷惡意或欺詐性地重復(fù)一個(gè)有效的數(shù)據(jù)傳輸。攻擊者利用網(wǎng)絡(luò)監(jiān)聽(tīng)或者其他方式盜取認(rèn)證憑據(jù)，之后再把它重新發(fā)給認(rèn)證服務(wù)器。在數(shù)字簽名中，如果采用了對(duì)簽名報(bào)文加蓋時(shí)戳等或添加流水號(hào)等技術(shù)，就可以有效防止重放攻擊。

（2）防偽造。其他人不能偽造對(duì)消息的簽名，因?yàn)樗接忻荑€只有簽名者自己知道，所以其他人不可以構(gòu)造出正確的簽名結(jié)果數(shù)據(jù)。

（3）防篡改。數(shù)字簽名與原始文件或摘要一起發(fā)送給接收者，一旦信息被篡改，接收者可通過(guò)計(jì)算摘要和驗(yàn)證簽名來(lái)判斷該文件無(wú)效，從而保證了文件的完整性。

（4）防抵賴。數(shù)字簽名即可以作為身份認(rèn)證的依據(jù)，也可以作為簽名者簽名操作的證據(jù)。要防止接收者抵賴，可以在數(shù)字簽名系統(tǒng)中要求接收者返回一個(gè)自己簽名的表示收到的報(bào)文，給發(fā)送者或受信任第三方。如果接收者不返回任何消息，此次通信可終止或重新開(kāi)始，簽名方也沒(méi)有任何損失，由此雙方均不可抵賴。

（5）保密性。手寫(xiě)簽字的文件一旦丟失，文件信息就極可能泄露，但數(shù)字簽名可以加密要簽名的消息，在網(wǎng)絡(luò)傳輸中，可以將報(bào)文用接收方的公鑰加密，以保證信息機(jī)密性。

（6）身份認(rèn)證。在數(shù)字簽名中，客戶的公鑰是其身份的標(biāo)志，當(dāng)使用私鑰簽名時(shí)，如果接收方或驗(yàn)證方用其公鑰進(jìn)行驗(yàn)證并獲通過(guò)，那么可以肯定，簽名人就是擁有私鑰的那個(gè)人，因?yàn)樗借€只有簽名人知道。

（三）數(shù)字證書(shū)

在網(wǎng)上電子交易中，商戶需要確認(rèn)持卡人是信用卡或借記卡的合法持有者，同時(shí)持卡人也必須能夠鑒別商戶是否是合法商戶，是否被授權(quán)接受某種品牌的信用卡或借記卡支付。為處理這些關(guān)鍵問(wèn)題，必須有一個(gè)大家都信賴的機(jī)構(gòu)來(lái)發(fā)放數(shù)字安全證書(shū)。數(shù)字證書(shū)就是參與網(wǎng)上交易活動(dòng)的各方（如持卡人、商家、支付網(wǎng)關(guān)）身份的代表，每次交易時(shí)，都要通過(guò)數(shù)字證書(shū)對(duì)各方的身份進(jìn)行驗(yàn)證。數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即證書(shū)授權(quán)（Certificate Authority，簡(jiǎn)稱CA）中心簽發(fā)的，它在證書(shū)申請(qǐng)被認(rèn)證中心批準(zhǔn)后，通過(guò)登記服務(wù)機(jī)構(gòu)將證書(shū)發(fā)放給申請(qǐng)者。

數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱以及證書(shū)授權(quán)中心的數(shù)字簽名。一般情況下證書(shū)中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書(shū)授權(quán)中心)的名稱，該證書(shū)的序列號(hào)等信息。