1 引言
在當今日新月異的信息社會,計算機網絡得到了突飛猛進的發展,計算機網絡日益成為工業、農業和國防等領域的重要信息交換手段,并逐漸滲透到社會的各個領域。企業實現無紙化辦公,提高工作效率已是大勢所趨,隨著無紙化辦公的發展,計算機網絡的安全越來越受到重視,防止信息被未經授權泄漏、竄改和破壞等都是亟待解決的問題。在Internet上,數字簽名作為一項重要的安全技術,在保證數據的完整性、私有性和不可抵賴性方面起著極為重要的作用。數字簽名在Intemet上的應用需要專門的數字證書頒發認證機構,統一管理數字簽名的應用和校驗。但是,由于部分企業的信息的特殊性和重要性,不能在互聯網上傳送,企業內部局域網不能與Internet連接,所以,數字簽名在局域網中的使用受到限制。本文利用密碼學的知識,建立了企業內部局域網的文件加密和數字簽名系統,成功地實現了企業內部局域網中的數據安全傳送。
2 數據加密技術
數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。目前,數據加密主要使用的有對稱密鑰加密和非對稱密鑰(也稱公開密鑰)加密兩種技術。
對稱密鑰加密技術中,加密和解密使用相同的密鑰,最常用的是DEs(Digital Encryption standard)算法,DES算法是公開的。DES內部的復雜結構對信息安全起了重要作用,使其保密性僅取決于對密鑰的保密程度。
非對稱密鑰加密技術中,加密和解密使用不同的密鑰,每個用戶有一對密鑰:公開密鑰PK和私人密鑰sK,PK可以公開,SK由用戶自己保存。非對稱密鑰加密技術常采用RsA算法。RSA算法的特點有以下四點:
(1)由用戶的公開密鑰PK加密的信息只能通過他的私人密鑰SK來解密,用私人密鑰SK加密的信息只能用公開密鑰PK解密。
(2)加密密鑰不能用于解密。
(3)在計算機上很容易產生成對的PK和sK。
(4)已知PK.不可能推導出SK。
3 數字簽名的原理
數字簽名技術是在數據信息上附加一些數據或對數據信息作密碼變換,這種附加數據或密碼變換使接收方能確認信息的真正來源和完整性,并且發送方事后不能否認發送的信息,而接收方或非法者不能偽造或竄改發送方的信息。數字簽名類似于手工簽名,是手工簽名的數字實現。
數字簽名技術是公開密鑰加密體制的一種實際應用,其具體實現過程如下:
(1)生成信息摘要
發送方對要發送的信息進行哈希(Hash)運算,形成信息摘要。哈希算法是一類符合特殊要求的散列函數,這些特殊函數對輸入的信息數據沒有長度限制,對任何輸入的數據都能生成固定長度的摘要輸出,由輸入信息能方便地算出摘要,而難以對指定的摘要生成原來的輸入信息,并且輸人兩次不同的信息難以生成相同的摘要。
(2)加密摘要
發送方用自己的私人密鑰對生成的信息摘要加密,形成原始信息的數字簽名。
(3)發送信息
發送方將要發送的原始信息和數字簽名一起發送給接收方。
(4)接收方驗證簽名
接收方收到信息和數字簽名后,對接收到的信息作哈希運算,得到原文的摘要,用發送方的公開密鑰解密接收的數字簽名,然后用自己計算出的信息摘要與解密的結果進行比較,如果相同說明信息是真實的,如果不相同,說明信息是不可信的或被竄改的。發送方不可否認所發送的信息,因為其他人無法偽造他的數字簽名(除非其私人密鑰被竊取)。
4 局域網中文件加密和數字簽名的實現方法
在局域網中實現文件加密和數字簽名采用服務器/客戶端模式,服務器端有一個數據庫服務器,負責存取各個用戶的公開密鑰和用戶信息以及用戶的公開密鑰的有效起止時間等信息。該數據庫服務器由專門數據庫管理員負責管理維護。
在客戶端,我們利用Microsoft提供的加密接口函數cryptOAPI編寫了客戶端的程序。客戶端程序主要由以下幾個功能部分組成:
5 局域網中文件加密和數字簽名系統的管理
在局域網中文件加密和數字簽名系統的管理主要是對服務器端公開密鑰數據庫的管理。管理員應該是一個有官方人員參加的管理小組,他們主要的工作有以下幾個方面:
(1)公開密鑰的申請登記
當新用戶加入時,用戶把他的公開密鑰和用戶信息傳送給管理員,管理員確認后,把用戶密鑰和資料加入到數據庫中。
(2)密鑰的備份和恢復
為了系統的穩定和安全,管理員應定期對公開密鑰數據庫進行備份,在系統出錯或崩潰時負責數據的恢復。
(3)公開密鑰的更新
當用戶的私人密鑰發生災難性毀壞不能恢復時,需要重新申請加入公開密鑰,管理員負責更新公開密鑰庫,但其原來的公開密鑰必須轉移到相關數據庫中。
(4)公開密鑰的吊銷
當用戶需要離開單位或其他原因不再使用本系統時,管理員負責將其公開密鑰轉移到相關數據庫中保存。
6 局域網中文件加密和數字簽名系統的具體應用
用戶使用文件加密和數字簽名系統的步驟:
(1)當用戶第一次使用該系統時,首先要安裝客戶端軟件,利用客戶端軟件生成用戶的公開密鑰和私人密鑰,私人密鑰存儲在用戶的計算機內部,把公開密鑰導出到文件中,再把該文件和用戶的相關信息一起發送給服務器管理員。管理員收到信息后,根據其他手段確認用戶的資料正確后,把用戶的公開密鑰和資料加入到數據庫中,并用用戶的公開密鑰把確認信息加密后發送給用戶,用戶得到確認信息后就可以使用文件加密和數字簽名了。
(2)當用戶之間傳送帶有數字簽名的文件時,發送方利用客戶端軟件產生要發送的文件的數字簽名,并把文件和數字簽名一起發送給接收方。接收方收到文件和數字簽名后,可以利用客戶端軟件對數字簽名進行驗證,驗證時,客戶端軟件首先向服務器端索取發送方的公開密鑰,利用發送方的公開密鑰對數據簽名進行驗證,如果驗證通過,接收方可以把文件和數字簽名保存,事后發送方不能否認所發送的文件,如果所傳送的文件在傳送中出現錯誤或被竄改,則數字簽名將不能通過驗證。
(3)當用戶之間傳送加密文件時,發送方首先利用客戶端軟件對文件加密,加密時客戶端軟件隨機產生一個密鑰,以對稱加密算法用該密鑰對文件進行加密,然后向服務器索取接收方的公開密鑰,用接收方的公開密鑰對加密文件所用的隨機密鑰進行加密,并把加密后的隨機密鑰一起寫入到文件中。發送方把加密后的文件發送給接收方,接收方收到文件后用自己的私人密鑰可以對文件解密。根據公開密鑰算法的原理,利用公開密鑰加密的數據,只能用其對應的私人密鑰進行加密,所以,發送方發送的加密文件只能由相應的合法接收方才能對文件進行解密。在發送加密文件時,也可以同時使用數字簽名。
7 結束語
公開密碼體制和數字簽名作為信息安全的一項重要技術越來越得到廣泛的應用。本文利用這項技術,建立了企業內部局域網使用的文件加密和數字簽名系統,實現了企業內部信息的安全傳輸,保證了傳輸信息的完整性和不可否認性。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:數據加密和數字簽名技術在局域網中的應用
相關文章
