最新文章专题视频专题问答1问答10问答100问答1000问答2000关键字专题1关键字专题50关键字专题500关键字专题1500TAG最新视频文章推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37视频文章20视频文章30视频文章40视频文章50视频文章60 视频文章70视频文章80视频文章90视频文章100视频文章120视频文章140 视频2关键字专题关键字专题tag2tag3文章专题文章专题2文章索引1文章索引2文章索引3文章索引4文章索引5123456789101112131415文章专题3
当前位置: 首页 - 正文

基于PKI技术的数字签名在办公网上的实现

来源:动视网 责编:小OO 时间:2025-10-01 12:05:17
文档

基于PKI技术的数字签名在办公网上的实现

总第244期2010年第2期计算机与数字工程Computer&DigitalEngineeringVol.38No.2104基于PKI技术的数字签名在办公网上的实现3袁珍珍朱荆州(武汉数字工程研究所武汉430074)摘要论述了一种基于公共密钥基础设施PKI体系结构的数字签名实现方式。数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合公钥加密原理来实现数字签名,采用权威机构CA发放的证书作为通信双方的身份标识。在内部网上将办公流程与数字签名相结合
推荐度:
导读总第244期2010年第2期计算机与数字工程Computer&DigitalEngineeringVol.38No.2104基于PKI技术的数字签名在办公网上的实现3袁珍珍朱荆州(武汉数字工程研究所武汉430074)摘要论述了一种基于公共密钥基础设施PKI体系结构的数字签名实现方式。数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合公钥加密原理来实现数字签名,采用权威机构CA发放的证书作为通信双方的身份标识。在内部网上将办公流程与数字签名相结合
总第244期2010年第2期

计算机与数字工程

Computer&Digital Engineering

Vol.38No.2

104

 

基于PKI技术的数字签名在办公网上的实现3

袁珍珍 朱荆州

(武汉数字工程研究所 武汉 430074)

摘 要 论述了一种基于公共密钥基础设施P KI体系结构的数字签名实现方式。数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用P KI技术,并结合公钥加密原理来实现数字签名,采用权威机构CA发放的证书作为通信双方的身份标识。在内部网上将办公流程与数字签名相结合保证了整个办公过程中信息的确定性与完整性。

关键词 P KI;CA;数字签名

中图分类号 TP309

Implement ation of Digit al Signat ure Based on P KI

Yua n Zhenzhe n Zhu J inzhou

(Wuhan Digital Engineering Institute,Wuhan 430074)

Abs t rac t The article introduces a method to implement digital signature based on P KI.We could use the data certifi2 cate issued by CA to confirm the validity of the customer’s identity.As the signature of data is not easy to forge,we use P KI,technique of public key encryption with the certificates issued by credible CA as the identity of both sides of the commu2 nication to achieve digital signature.Combine work flow with digital certificate could assure the certainty and integrality of information through Intranet.

Ke y Words P KI(public key inf rastructure),CA(certificate authority),digital signature

Clas s Num ber TP309

1 引言

计算机技术、计算机网络技术和软件技术的快速发展对传统的工作方式产生了巨大的冲击。网络让办公更加方便,流程更加通畅,这样不仅可以逐步实现无纸化办公,更重要的是节省了时间,不必再为繁琐的办公程序而烦恼。但是随之而来的问题是,如何在传输过程中保证信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。数字签名是一个有效的办法[1]。

2 基本概念

2.1 公钥基础设施

公钥基础设施(Public Key Inf rast ruct ure,简称P KI)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而建立一个安全的网络通信环境。从广义上讲,所有提供公钥加密和数字签名服务的系统,都可以叫做P KI 系统[2]。

一个典型、完整、有效的P KI体系必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细地了解P KI是怎样管理证书和密钥的。为了达到这个目的,它必须由认证机关、证书库、密钥备份及恢复系统、证书作废处理系统和证书应用管理系统等基本构件组成,构建一个P KI 系统也要围绕这几个部分进行。

3收稿日期:2009年10月31日,修回日期:2009年11月20日

作者简介:袁珍珍,女,硕士研究士,研究方向:信息系统设计技术。朱荆州,男,硕士生导师,研究员,研究方向:信息系统设计技术。

2010年第2期计算机与数字工程105

 

2.2 认证机构与数字证书

认证机构(Certificate Aut hority,简称CA)是保证网络信息安全的基础设施。它负责数字证书(Digital Certificate)的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。CA机构作为受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任[3]。

CA认证中心为客户发放数字证书。数字证书由CA签发,包括证书申请者的信息、颁证CA的信息以及一些证书适用范围的扩展选项。数字证书拥有者可以将其证书提供给其他人、WEB 站点及网络资源以证实他的合法身份。

2.3 数字签名

数字签名应该达到如下效果:在信息通信过程中,收方能够证明自己收到的报文内容是真实的,而且确实是由所认为的发送方发送过来的,同时,发送方事后不能根据自己的利益否认发送过的报文,接收方也不能根据自己的利益对报文或签名进行伪造[4]。

3 基于P KI的数字签名的实现过程3.1 建立CA认证体系

CA作为证书的颁发中心,是P KI体系的核心。它是一个具有权威性、可依赖性的第三方机构。认证中心作为“可信的第三方”获得证书使用者对它的信赖,从而达到用户之间的相互信任。CA机构为用户产生密钥对,公钥在证书上对外公开,私钥由用户保管。

3.1.1 CA系统的层次结构

在这里,我们将CA系统分为三层:根CA、下级CA以及最低层的用户数字证书。根CA的密钥由一个自签证书分配,根证书的公开密钥对所有各方公开,它是CA体系中的最高层。根CA作为可被信任的第三方,被其颁发证书的各子CA之间就可以建立信任关系,相互信任对方所发的终端实体证书了[5~6]。

在具体实施的过程中,根CA负责下一级CA 数字证书的申请、签发及管理等工作,在给一个下级CA颁发完证书后,就可以处于脱机状态了。与此同时,这个下级CA随即成为可信机构,开始处理终端用户的数字证书的签发等工作。当下级机构因为各种人为或非人为的不可预料的原因而暂时无法处理终端用户的数字证书申请业务时,

图1 CA系统的层次结构

CA重新颁发一个下

级CA中心的数字证

书,让这个下级CA

来接管因故而无法处

理的用户终端的数字

证书的申请业务。具

体结构图如图1所

示。

这样就构成了一个完整的CA认证体系。每一份数字证书都与上一级的签名相关联,最终追溯到一个已知的可依赖机构(即根CA)。

3.1.2 CA中心的建立

CA证书认证中心遵循国际标准,为用户提供数字证书的申请、审核、生成、颁发、存储、查询、废止等数字证书服务。

具体过程如下:

1)以系统管理员身份登录Windows2003 Server系统,安装IIS;

2)添加删除程序2安装Windows组件2证书服务;

3)选择CA类型:根CA,并完成证书数据库设置(证书数据库目录、证书日志目录等);

4)同样的方法创建企业级CA;

5)企业级CA向根CA申请数字证书;

6)根CA为企业级CA颁发数字证书。

企业级CA建立后由企业级CA来给处理终端用户数字证书的申请、颁发、废除等业务。

3.1.3 用户身份确认与数字证书的颁发

CA体系已经确立后,还有一个不容忽视的问题:如何确认申请数字证书的用户的身份。这一点在给用户分配数字证书时至关重要

图2 用户身份确认过程

如图3所示,当用户

需要用于确认身份的数字

证书时向CA提出申请。

申请时填写域用户名和密

码。CA获取用户的域用

户名及密码后在域服务器AD进行查询,确认存在此用户后,域服务器给CA 发送确认消息。当CA得到确认消息后给用户发放数字证书。中间任何一个环节中断都无法完成数字证书的发放。

只有经过身份信息确认的用户才拥有域帐号,这样既保证了用户信息的真实性又能使域用户与实际用户一一对应。利用域用户帐号的确认信息

106 袁珍珍等:基于P KI 技术的数字签名在办公网上的实现第38卷

很容易地达到了确认用户身份的目的。

经过身份认证后,用户得到CA 为其颁发的数字证书,证书中包含证书版本号、序号、签名算法、颁发者、有效期、使用者、使用者公钥等信息。3.2 数字签名的实现过程3.2.1 实现原理描述

把Hash 函数和公钥算法结合起来,这样就能在提供数据完整性的同时,也保证了数据的真实性。完整性保证传输的数据没有在传送的过程中被修改,而真实性则保证是由确定的发送者产生,而不是由他人冒充。

在数学上,Hash 函数对不同的输入所产生的Hash 值是不同的。接收者用同样的Hash 函数对报

文进行计算,然后与用发送者的公钥进行解密的报文Hash 值进行比较,这样就保证了数据的真实性。

利用数字证书中发送方的公钥可以验证报文的完整性。假设A 要向B 发送一份报文M ,A 用自己的私钥对报文加密,发送给B 。B 收到后,用A 在数字证书中公开的公钥对收到的报文进行解

密,如果报文在传送过程中被修改,则无法解密得到正确(有意义)的报文[7]

图3 数字签名的实现原理

数字签名是针对整个报文进行的,是一组具有报文特征的固定长度的代码,同一个人对不同的报文产生不同的数字签名。利用发送方的公钥DA 对数字签名进行解密生成摘要MD ,同时,用Hash 函数从报文M 生成摘要MD1,比较MD 与MD1,如果不同,则说明报文被修改过,相同则说明信息是完整的,未被篡改。

因为只有发送方有自己的私钥EA ,只有该密钥才可能生成对应的数字签名,避免了发送方事后否认发送报文的可能。同样,没有除了发送方之外的第二人有发送方的私钥,也不可能将修改后的报文用发送方的密钥来生成数字签名,这样就避免了对发送方发送的信息进行篡改的可能。3.2.2 实现过程描述

我们利用CA PICOM 组件来实现数字签名。

CA PICOM 组件是由微软公司推出的一个用

于密码方面的组件,它包含了实现加、解密、数字证书、数字签名、签名认证、数字信封等技术对应的对象、属性和方法。这些方法具体的实现对用户是透明的,用户只需要通过相应的接口的调用就可以实现指定的功能。CA PICOM 可以在Windows 环境下任何语言中使用,而且大多数接口都是“脚本安全”的,这就意味着可以在浏览器网页脚本中安全地使用这些接口所提供的功能[8]。

1)获取数字证书

使用CA PICOM 提供的Certificates 类的Cer 2tificates.Select 方法来加载符合搜索条件的数字证

书并加载到某个Certificate 对象上。

2)生成摘要

CA PICOM 中的HashedData 类提供使用hash 函数生成指定字符串的摘要的功能。HashedData.Hash (p )方法使用Algorit hm 属性

中指定的算法标识产生字符串p 对应的摘要,结果存放在Value 属性中。

3)数字签名实现

CA PICOM 提供的SignedData 类封装了实现

数字签名的SignedData.Sign 方法。该方法的第一个参数是一个Signer 对象,该Signer 对象能够获得其Signer.Certificate 属性指定的数字证书对应的密钥,SignedData.Sign 方法将会使用该密钥对SignedData.Content 属性中指定的内容进行数字签名,然后返回经过加密后的数字签名。数字签名被提交到服务器的数据库中存放数字签名的列

中。

4)签名验证

在这里,利用数字签名技术为的是达到电子印章的效果,程序审核结束后审核人无法否认操作。任何查看审核内容的人都是信息接收方。这时验证的作用就是确认数字签名的内容是否与浏览到的内容相符。

将页面审核内容进行Hash (使用与生成摘要

时相同的Hash 函数),同时,将数字签名用证书公钥进行解密,将解密后的内容与哈希后的内容进行对比。从而确定审核的内容是否有效。根据验证的结果给出提示(提示签名内容被修改等)。

4 结语

在信息化技术不断推广的今天,数字签名技术

  

(下转第109页)

 

发送方A希望把真实的信息M发送给接收方B,要经过以下几个步骤:

1)生成发送方的数字签名,发送方先通过一个单向散列函数对要传送的电子病历进行处理,利用Hash算法得到用以证实病历来源并核实病历是否被篡改的一个特征数据(或称病历摘要),再用发送方自己的私钥对这个特征数据加密后形成数字签名。

2)嵌入水印,发送方利用密钥、一定的水印嵌入算法,把初始水印信息嵌入到电子病历中。

3)加密,发送方利用接收方的公钥进行加密后发送给B。

4)解密,接收方利用自己的私钥进行解密。

5)水印检测,接收方对受到的电子病历利用水印检测算法和密钥,检测其水印是否含有水印,即水印是否符合要求。

6)最后,将数字签名解密后生成的文件摘要与电子病历生成的文件摘要进行比较,若符合,则接受病历。

4.2 系统性能分析

该体系在原有的基于数字签名技术的基础上,加入了易碎水印技术。半易碎水印的完整性保护的特性,使得不可能对数据信息进行篡改和替换;水印的透明性,使得攻击者对数据信息进行篡改和替换也已被发现。虽然水印的加入和提取需要牺牲一定的时间,但却大大提升了系统的安全性,进一步满足了对电子病历安全方面的要求。5 结语

随着医疗卫生事业的发展,电子病例系统的普及,如何保证患者的信息在传送过程中不被篡改,降低医患纠纷成为了众所瞩目的话题[8]。本文通过半脆弱水印机制,利用其信息隐蔽性和脆弱性来设计一个结合数字水印和数字签名的安全的电子病历认证体系,使得数据信息在网上进行传播时,不会轻易地被察觉进而被攻击,同时,即使被攻击,想要破译几乎是不可能的,而由于其脆弱性,对病历进行的篡改,也会变得很容易被检测到。

参考文献

[1]王世宝,门庆娟等.电子病历实现技术分析[J].医疗设

备信息,2006

[2]翁佶明.数字水印在电子病历安全中的应用[J].软件

工程,2006

[3]刘茜.数字签名在电子病历中的应用[J].广西科学院

学报,2005

[4]詹秋瑜,李静娟,范年丰.数字签名技术在电子病案中

的应用分析[J].现代医院,2008

[5]程兴国,王蔚然.一种有效地结合数字签名与数字水印

的算法[J].福建电脑,2004

[6]李如忠.数据加密和数字签名技术在局域网中的应用

[J].计算机应用研究,2004

[7]Feng Bao,et al.Tailored reversible watermarking

schemes for authentication of electronic clinical atlas [J].IEEE Transactions on Information Technology in Biomedicine,2005(9)

[8]熊新兵,陈亚光.远程医疗图像通信系统中的安全机制

[J].计算机与现代化,2005

(上接第106页)

被越来越广泛地应用。在保密管理软件上实施数字签名使各种保密管理审核过程可以直接在内部网上进行,并且能够达到与用纸质文件进行保密管理同样的效果。使保密管理趋向于标准化、有序化。

参考文献

[1]冯国登.计算机通信网安全[M].北京:清华大学出版社

[2][美]Carlisle Adams Steve Lloyd.公开密钥基础设施—

概念、标准和实施[M].冯国登,译.北京:人民邮电出版社

[3]关振胜.公共基础设施P KI与认证机构CA[M].北京:

电子工业出版社

[4]洪帆,崔国华,付小青.信息安全概论[M].武汉:华中科

技大学出版社

[5]李世清.P KI(CA)技术在信息网中的研究与应用

[D].重庆大学,2005,10

[6]刘世栋,杨林,侯滨,等.基于CA的电子印章系统设计

与实现[J].国防科技大学学报,2003(1)

[7]贺刚.数字签名在校园办公网上的实现[J].湖北民族

学院学报(自然科学版),2004(6)

[8]Matthew Macdonald,Erik Johansson.C#数据安全手

册[M].崔伟,译.北京:清华大学出版社

文档

基于PKI技术的数字签名在办公网上的实现

总第244期2010年第2期计算机与数字工程Computer&DigitalEngineeringVol.38No.2104基于PKI技术的数字签名在办公网上的实现3袁珍珍朱荆州(武汉数字工程研究所武汉430074)摘要论述了一种基于公共密钥基础设施PKI体系结构的数字签名实现方式。数字签名不容易伪造,且由CA颁发的数字证书可以确定用户身份的合法性,因此,可以利用PKI技术,并结合公钥加密原理来实现数字签名,采用权威机构CA发放的证书作为通信双方的身份标识。在内部网上将办公流程与数字签名相结合
推荐度:
  • 热门焦点

最新推荐

猜你喜欢

热门推荐

专题
Top