第四讲-数字签名与认证技术.pptVIP

计算机网络安全 第四章 数字签名与CA 认证技术 数字签名的实现方法 CA认证与认证产品 鉴别技术与方法 个人数字凭证的申请、颁发和使用 第四章 数字签名与CA 认证技术 4.1 数字签名原理、种类与方法 4.1.1 数字签名原理 在传统商务活动中，为了保证交易的安全与真实，一份书面合同或公文要由当事人或其负责人签字、盖章，以便让交易双方识别是谁签的合同，保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中，合同或文件是以电子文件的形式表现和传递的。能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵赖性，起到与手写签名或者盖章同等作用的签名的电子技术手段，称为电子签名。 4.1.1 数字签名原理 联合国贸发会的《电子签名示范法》中对电子签名做如下定义：“指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息”； 在欧盟的《电子签名共同框架指令》中就规定：“以电子形式所附或在逻辑上与其他电子数据相关的数据，作为一种判别的方法”称电子签名。 4.1.1 数字签名原理 所谓数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证无法比拟的。 数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。 4.1.2 数字签名的种类 1. 手写签名或图章的模式识别 即将手写签名或印章作为图像，用光扫描经光电转换后在数据库中加以存储，当验证此人的手写签名或盖印时，也用光扫描输入，并将原数据库中的对应图像调出，用模式识别的数学计算方法对将两者进行比对，以确认该签名或印章的真伪。这种方法曾经在银行会计柜台使用过，但由于需要大容量的数据库存储和每次手写签名和盖印的差异性，证明它不实用，这种方法也不适合在互联网上传输。 4.1.2 数字签名的种类 2. 生物识别技术 利用人体生物特征进行身份认证的一种技术。生物特征是一个人与他人不同的唯一表征，它是可以测量、自动识别和验证的。生物识别系统对生物特征进行取样，提取其唯一的特征进行数字化处理，转换成数字代码，并进一步将这些代码组成特征模板存于数据库中。人们同识别系统交互进行身份认证时，识别系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定确认或否认此人。 4.1.2 数字签名的种类 生物识别技术主要有以下几种。 1) 指纹识别技术 可以将一份纸质公文或数据电文按手印签名或放于IC卡中签名。但这种签名需要有大容量的数据库支持，适用于本地面对面的处理，不适宜网上传输。 2) 视网膜识别技术 使用困难，不适用于直接数字签名和网络传输。 3) 声音识别技术 这种技术精确度较差，使用困难，不适用于直接数字签名和网络传输。 4.1.2 数字签名的种类 3. 密码、密码代号或个人识别码 指用一种传统的对称密钥加/解密的身份识别和签名方法。甲方需要乙方签名一份电子文件，甲方可产生一个随机码传送给乙方，乙方用事先双方约定好的对称密钥加密该随机码和电子文件回送给甲方，甲方用同样的对称密钥解密后得到电文并核对随机码，如随机码核对正确，甲方即可认为该电文来自乙方。适合远程网络传输，但不适合大规模人群认证，因为对称密钥管理困难。 在实际应用方面经常采用的是ID+PIN(身份唯一标识+口令)。日常生活中使用的银行卡就是用的这种认证方法。 4.1.2 数字签名的种类 4．基于量子力学的计算机 是以量子力学原理直接进行计算的计算机。它比传统的计算机具有更强大的功能，它的计算速度要比现代的计算机快几亿倍。它是利用一种新的量子密码的编码方法，即利用光子的相位特性编码。由于量子力学的随机性非常特殊，无论多么聪明的窃听者，在破译这种密码时都会留下痕迹，甚至在密码被窃听的同时会自动改变。可以说，这将是世界上最安全的密码认证和签名方法。但是，这种计算机还只是停留在理论研究阶段，离实际应用还很遥远。 4.1.2 数字签名的种类 5．基于PKI的电子签名 基于PKI的电子签名被称作数字签名。有人称“电子签名”就是“数字签名”，其实这是一般性说法。数字签名只是电子签名的一种特定形式。目前，具有实际意义的电子签名只有公钥密码理论。所以，目前国内外普遍使用的还