數字簽名在ISO7498-2標準中定義為:"附加在數據單元上的壹些數據,或是對數據單元所作的密碼變換,這種數據和變換允許數據單元的接收者用以確認數據單元來源和數據單元的完整性,並保護數據,防止被人(例如接收者)進行偽造"。美國電子簽名標準(DSS,FIPS186-2)對數字簽名作了如下解釋:"利用壹套規則和壹個參數對數據計算所得的結果,用此結果能夠確認簽名者的身份和數據的完整性"。按上述定義PKI(Public Key Infrastructino 公鑰基礎設施)提供可以提供數據單元的密碼變換,並能使接收者判斷數據來源及對數據進行驗證。
PKI的核心執行機構是電子認證服務提供者,即通稱為認證機構CA(Certificate Authority),PKI簽名的核心元素是由CA簽發的數字證書。它所提供的PKI服務就是認證、數據完整性、數據保密性和不可否認性。它的作法就是利用證書公鑰和與之對應的私鑰進行加/解密,並產生對數字電文的簽名及驗證簽名。數字簽名是利用公鑰密碼技術和其他密碼算法生成壹系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名和印章;這種電子式的簽名還可進行技術驗證,其驗證的準確度是在物理世界中對手工簽名和圖章的驗證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認證,或在多個可信的PKI域中進行交*認證,它特別適用於互聯網和廣域網上的安全認證和傳輸。
“數字簽名”與普通文本簽名的最大區別在於,它可以使用個性鮮明的圖形文件,妳只要利用掃描儀或作圖工具將妳的個性簽名、印章甚至相片等,制作成BMP文件,就可以當做“數字簽名”的素材。
目前可以提供“數字簽名”功能的軟件很多,用法和原理都大同小異,其中比較常用的有“ OnSign”。安裝“OnSign”後,在Word、Outlook等程序的工具欄上,就會出現,“OnSign”的快捷按鈕,每次使用時,需輸入自己的密碼,以確保他人無法盜用。
對於使用了“OnSign”寄出的文件,收件人也需要安裝“OnSign”或“OnSign Viewer”,這樣才具備了識別“數字簽名”的功能。根據“OnSign”的設計,任何文件內容的竄改與攔截,都會讓簽名失效。因此當對方識別出妳的“數字簽名”,就能確定這份文件是由妳本人所發出的,並且中途沒有被竄改或攔截過。當然如果收件人還不放心,也可以單擊“數字簽名”上的藍色問號,“OnSign”就會再次自動檢查,如果文件有問題,“數字簽名”上就會出現紅色的警告標誌。
在電子郵件使用頻繁的網絡時代,使用好“數字簽名”,就像傳統信件中的“掛號信”,無疑為網絡傳輸文件的安全又增加了壹道保護屏障。
例子說明:
現在我們就轉入正題了。JAVA的數字簽名類封裝在Signature類(java.security.Signature)中。
接下來,我會編寫三個功能(即三個Java類):
a、生成壹對密鑰,即私鑰和公鑰,對於密鑰的保存可以使用對象流的方式進行保存和傳送,也可以使用編碼的方式保存;在這裏基於方便,我是使用編碼方式進行保存的;類名是:GenerateKeyPair.java
b、編寫發送者的功能:首先通過私鑰加密待輸出數據Data,並輸出Data和簽名後的Data;類名是:SignatureData.java
c、編寫接收者的功能:使用發送者的公鑰來驗證發送過來的加密Data,判斷簽名的合法性;類名是:VerifySignature.java