1 引言

    在當(dāng)今日新月異的信息社會(huì)，計(jì)算機(jī)網(wǎng)絡(luò)得到了突飛猛進(jìn)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)日益成為工業(yè)、農(nóng)業(yè)和國(guó)防等領(lǐng)域的重要信息交換手段，并逐漸滲透到社會(huì)的各個(gè)領(lǐng)域。企業(yè)實(shí)現(xiàn)無(wú)紙化辦公，提高工作效率已是大勢(shì)所趨，隨著無(wú)紙化辦公的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)的安全越來(lái)越受到重視，防止信息被未經(jīng)授權(quán)泄漏、竄改和破壞等都是亟待解決的問(wèn)題。在Internet上，數(shù)字簽名作為一項(xiàng)重要的安全技術(shù)，在保證數(shù)據(jù)的完整性、私有性和不可抵賴性方面起著極為重要的作用。數(shù)字簽名在Intemet上的應(yīng)用需要專門的數(shù)字證書(shū)頒發(fā)認(rèn)證機(jī)構(gòu)，統(tǒng)一管理數(shù)字簽名的應(yīng)用和校驗(yàn)。但是，由于部分企業(yè)的信息的特殊性和重要性，不能在互聯(lián)網(wǎng)上傳送，企業(yè)內(nèi)部局域網(wǎng)不能與Internet連接，所以，數(shù)字簽名在局域網(wǎng)中的使用受到限制。本文利用密碼學(xué)的知識(shí)，建立了企業(yè)內(nèi)部局域網(wǎng)的文件加密和數(shù)字簽名系統(tǒng)，成功地實(shí)現(xiàn)了企業(yè)內(nèi)部局域網(wǎng)中的數(shù)據(jù)安全傳送。

2 數(shù)據(jù)加密技術(shù)

    數(shù)據(jù)加密技術(shù)就是對(duì)信息進(jìn)行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無(wú)法獲取信息的真實(shí)內(nèi)容的一種技術(shù)手段。目前，數(shù)據(jù)加密主要使用的有對(duì)稱密鑰加密和非對(duì)稱密鑰(也稱公開(kāi)密鑰)加密兩種技術(shù)。

    對(duì)稱密鑰加密技術(shù)中，加密和解密使用相同的密鑰，最常用的是DEs(Digital Encryption standard)算法，DES算法是公開(kāi)的。DES內(nèi)部的復(fù)雜結(jié)構(gòu)對(duì)信息安全起了重要作用，使其保密性僅取決于對(duì)密鑰的保密程度。

    非對(duì)稱密鑰加密技術(shù)中，加密和解密使用不同的密鑰，每個(gè)用戶有一對(duì)密鑰：公開(kāi)密鑰PK和私人密鑰sK，PK可以公開(kāi)，SK由用戶自己保存。非對(duì)稱密鑰加密技術(shù)常采用RsA算法。RSA算法的特點(diǎn)有以下四點(diǎn)：

    (1)由用戶的公開(kāi)密鑰PK加密的信息只能通過(guò)他的私人密鑰SK來(lái)解密，用私人密鑰SK加密的信息只能用公開(kāi)密鑰PK解密。

    (2)加密密鑰不能用于解密。

    (3)在計(jì)算機(jī)上很容易產(chǎn)生成對(duì)的PK和sK。

    (4)已知PK．不可能推導(dǎo)出SK。

3 數(shù)字簽名的原理

    數(shù)字簽名技術(shù)是在數(shù)據(jù)信息上附加一些數(shù)據(jù)或?qū)��?shù)據(jù)信息作密碼變換，這種附加數(shù)據(jù)或密碼變換使接收方能確認(rèn)信息的真正來(lái)源和完整性，并且發(fā)送方事后不能否認(rèn)發(fā)送的信息，而接收方或非法者不能偽造或竄改發(fā)送方的信息。數(shù)字簽名類似于手工簽名，是手工簽名的數(shù)字實(shí)現(xiàn)。

    數(shù)字簽名技術(shù)是公開(kāi)密鑰加密體制的一種實(shí)際應(yīng)用，其具體實(shí)現(xiàn)過(guò)程如下：

    (1)生成信息摘要

    發(fā)送方對(duì)要發(fā)送的信息進(jìn)行哈希(Hash)運(yùn)算，形成信息摘要。哈希算法是一類符合特殊要求的散列函數(shù)，這些特殊函數(shù)對(duì)輸入的信息數(shù)據(jù)沒(méi)有長(zhǎng)度限制，對(duì)任何輸入的數(shù)據(jù)都能生成固定長(zhǎng)度的摘要輸出，由輸入信息能方便地算出摘要，而難以對(duì)指定的摘要生成原來(lái)的輸入信息，并且輸人兩次不同的信息難以生成相同的摘要。

    (2)加密摘要

    發(fā)送方用自己的私人密鑰對(duì)生成的信息摘要加密，形成原始信息的數(shù)字簽名。

    (3)發(fā)送信息

    發(fā)送方將要發(fā)送的原始信息和數(shù)字簽名一起發(fā)送給接收方。

    (4)接收方驗(yàn)證簽名

    接收方收到信息和數(shù)字簽名后，對(duì)接收到的信息作哈希運(yùn)算，得到原文的摘要，用發(fā)送方的公開(kāi)密鑰解密接收的數(shù)字簽名，然后用自己計(jì)算出的信息摘要與解密的結(jié)果進(jìn)行比較，如果相同說(shuō)明信息是真實(shí)的，如果不相同，說(shuō)明信息是不可信的或被竄改的。發(fā)送方不可否認(rèn)所發(fā)送的信息，因?yàn)槠渌�人無(wú)法偽造他的數(shù)字簽名(除非其私人密鑰被竊取)。

4 局域網(wǎng)中文件加密和數(shù)字簽名的實(shí)現(xiàn)方法

    在局域網(wǎng)中實(shí)現(xiàn)文件加密和數(shù)字簽名采用服務(wù)器／客戶端模式，服務(wù)器端有一個(gè)數(shù)據(jù)庫(kù)服務(wù)器，負(fù)責(zé)存取各個(gè)用戶的公開(kāi)密鑰和用戶信息以及用戶的公開(kāi)密鑰的有效起止時(shí)間等信息。該數(shù)據(jù)庫(kù)服務(wù)器由專門數(shù)據(jù)庫(kù)管理員負(fù)責(zé)管理維護(hù)。

    在客戶端，我們利用Microsoft提供的加密接口函數(shù)cryptOAPI編寫了客戶端的程序�？蛻舳顺绦蛑饕�由以下幾個(gè)功能部分組成：

5 局域網(wǎng)中文件加密和數(shù)字簽名系統(tǒng)的管理

    在局域網(wǎng)中文件加密和數(shù)字簽名系統(tǒng)的管理主要是對(duì)服務(wù)器端公開(kāi)密鑰數(shù)據(jù)庫(kù)的管理。管理員應(yīng)該是一個(gè)有官方人員參加的管理小組，他們主要的工作有以下幾個(gè)方面：

    (1)公開(kāi)密鑰的申請(qǐng)登記

    當(dāng)新用戶加入時(shí)，用戶把他的公開(kāi)密鑰和用戶信息傳送給管理員，管理員確認(rèn)后，把用戶密鑰和資料加入到數(shù)據(jù)庫(kù)中。

    (2)密鑰的備份和恢復(fù)

    為了系統(tǒng)的穩(wěn)定和安全，管理員應(yīng)定期對(duì)公開(kāi)密鑰數(shù)據(jù)庫(kù)進(jìn)行備份，在系統(tǒng)出錯(cuò)或崩潰時(shí)負(fù)責(zé)數(shù)據(jù)的恢復(fù)。

    (3)公開(kāi)密鑰的更新

    當(dāng)用戶的私人密鑰發(fā)生災(zāi)難性毀壞不能恢復(fù)時(shí)，需要重新申請(qǐng)加入公開(kāi)密鑰，管理員負(fù)責(zé)更新公開(kāi)密鑰庫(kù)，但其原來(lái)的公開(kāi)密鑰必須轉(zhuǎn)移到相關(guān)數(shù)據(jù)庫(kù)中。

    (4)公開(kāi)密鑰的吊銷

    當(dāng)用戶需要離開(kāi)單位或其他原因不再使用本系統(tǒng)時(shí)，管理員負(fù)責(zé)將其公開(kāi)密鑰轉(zhuǎn)移到相關(guān)數(shù)據(jù)庫(kù)中保存。

6 局域網(wǎng)中文件加密和數(shù)字簽名系統(tǒng)的具體應(yīng)用

    用戶使用文件加密和數(shù)字簽名系統(tǒng)的步驟：

    (1)當(dāng)用戶第一次使用該系統(tǒng)時(shí)，首先要安裝客戶端軟件，利用客戶端軟件生成用戶的公開(kāi)密鑰和私人密鑰，私人密鑰存儲(chǔ)在用戶的計(jì)算機(jī)內(nèi)部，把公開(kāi)密鑰導(dǎo)出到文件中，再把該文件和用戶的相關(guān)信息一起發(fā)送給服務(wù)器管理員。管理員收到信息后，根據(jù)其他手段確認(rèn)用戶的資料正確后，把用戶的公開(kāi)密鑰和資料加入到數(shù)據(jù)庫(kù)中，并用用戶的公開(kāi)密鑰把確認(rèn)信息加密后發(fā)送給用戶，用戶得到確認(rèn)信息后就可以使用文件加密和數(shù)字簽名了。

    (2)當(dāng)用戶之間傳送帶有數(shù)字簽名的文件時(shí)，發(fā)送方利用客戶端軟件產(chǎn)生要發(fā)送的文件的數(shù)字簽名，并把文件和數(shù)字簽名一起發(fā)送給接收方。接收方收到文件和數(shù)字簽名后，可以利用客戶端軟件對(duì)數(shù)字簽名進(jìn)行驗(yàn)證，驗(yàn)證時(shí)，客戶端軟件首先向服務(wù)器端索取發(fā)送方的公開(kāi)密鑰，利用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)據(jù)簽名進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)，接收方可以把文件和數(shù)字簽名保存，事后發(fā)送方不能否認(rèn)所發(fā)送的文件，如果所傳送的文件在傳送中出現(xiàn)錯(cuò)誤或被竄改，則數(shù)字簽名將不能通過(guò)驗(yàn)證。

    (3)當(dāng)用戶之間傳送加密文件時(shí)，發(fā)送方首先利用客戶端軟件對(duì)文件加密，加密時(shí)客戶端軟件隨機(jī)產(chǎn)生一個(gè)密鑰，以對(duì)稱加密算法用該密鑰對(duì)文件進(jìn)行加密，然后向服務(wù)器索取接收方的公開(kāi)密鑰，用接收方的公開(kāi)密鑰對(duì)加密文件所用的隨機(jī)密鑰進(jìn)行加密，并把加密后的隨機(jī)密鑰一起寫入到文件中。發(fā)送方把加密后的文件發(fā)送給接收方，接收方收到文件后用自己的私人密鑰可以對(duì)文件解密。根據(jù)公開(kāi)密鑰算法的原理，利用公開(kāi)密鑰加密的數(shù)據(jù)，只能用其對(duì)應(yīng)的私人密鑰進(jìn)行加密，所以，發(fā)送方發(fā)送的加密文件只能由相應(yīng)的合法接收方才能對(duì)文件進(jìn)行解密。在發(fā)送加密文件時(shí)，也可以同時(shí)使用數(shù)字簽名。

7 結(jié)束語(yǔ)

    公開(kāi)密碼體制和數(shù)字簽名作為信息安全的一項(xiàng)重要技術(shù)越來(lái)越得到廣泛的應(yīng)用。本文利用這項(xiàng)技術(shù)，建立了企業(yè)內(nèi)部局域網(wǎng)使用的文件加密和數(shù)字簽名系統(tǒng)，實(shí)現(xiàn)了企業(yè)內(nèi)部信息的安全傳輸，保證了傳輸信息的完整性和不可否認(rèn)性。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：數(shù)據(jù)加密和數(shù)字簽名技術(shù)在局域網(wǎng)中的應(yīng)用

本文網(wǎng)址：http://www.oesoe.com/html/support/1112158474.html