如何利用数字签名保证网上安全

如何使用网上银行的数字证书来保证网络交易的安全~

(1)为网上银行服务器 (Web 服务和其他服务器 ) 颁发全球通用的支持所有浏览器的支持强加密的SSL证书，确保用户在任何地方都可以使用任何浏览器从事网上银行服务，支持从浏览器到服务器之间机密信息的高强度加密传输，从而有效地防止了银行卡信息、网上银行帐号、密码和交易数据的机密性和完整性。

(2)银行应该为每个网上银行用户颁发一个全球通用的 ( 在任何地方，即使在国外也可以使用 ) 单位数字证书用于登录网上银行网站的真实身份认证和用于每个交易的数字签名，从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。为了杜绝使用公用电脑和专用电脑的间谍软件或其他可能的手段非法使用数字证书问题，强烈推荐用户使用 USB 移动数字证书来确保是真实的您在从事网上银行业务 ( 需要登录和交易时就把移动数字证书插入电脑的 USB 口，交易完毕就拔下 ) 。
(3)在网上银行网站的的显著位置显示安全认证签章，让用户一眼就看出他 / 她正准备联上的网站确实是该银行的网上银行网站， 不是假冒银行网站。现在假冒一个一模一样的网站只需几秒钟时间，而安全认证签章在假冒网站上是不能显示的。

参考资料：wosign.com/solution/Bank.htm

信息是一种资源，同时也是一种财富。在现代社会中，随着信息处理和通
信技术的日益发展，保护信息的安全，特别是保护重要信息的安全，已成为国
际社会普遍关注的重大问题。由于信息保护措施的不得力和失误而使世界各国
遭受的损失数额巨大。例如，美国银行界每年仅在银行密码遭他人窃取方面的
损失就达数十亿美元之巨。而解决这一问题的唯一有效手段就是使用现代密码
技术。
秘密共享为密钥管理和金融关键数据管理提供了一种有效的解决途径，有限秘密下的指派秘密共享方案、权重随机性门限指派秘密共享方案、树状结构秘密共享方案、具有继承特性的秘密共享方案和异步公开可验证秘密共享方案等多个可用于不同情况下文件、数据管理的协同控制方案，这些方案将在一定程度上提高秘密共享的实施效率，丰富和拓展了秘密共享的应用范畴，为数据和密钥管理提供了更为有效的解决途径。

详解数字签名

目前有许多种技术保证信息的安全不受侵犯，例如加密技术、访问控制技术、认证技术以及安全审计技术等，但这些技术大多数是用来预防用的，信息一旦被攻破，我们不能保证信息的完整性。为此，一种新兴的用来保证信息完整性的安全技术——数字签名技术成为人们非常关心的话题。那么，什么是数字签名技术？它有什么特殊功能呢？

概念

在数字签名技术出现之前，曾经出现过一种“数字化签名”技术，简单地说就是在手写板上签名，然后将图像传输到电子文档中，这种“数字化签名”可以被剪切，然后粘贴到任意文档上，这样非法复制变得非常容易，所以这种签名的方式是不安全的。数字签名技术与数字化签名技术是两种截然不同的安全技术，数字签名与用户的姓名和手写签名形式毫无关系，它实际使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名并不相同。没有私有密钥,任何人都无法完成非法复制。从这个意义上来说，“数字签名”是通过一个单向函数对要传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生变化的一个字母数字串。

原理

该技术在具体工作时，首先发送方对信息施以数学变换，所得的信息与原信息惟一对应；在接收方进行逆变换，得到原始信息。只要数学变换方法优良，变换后的信息在传输中就具有很强的安全性，很难被破译、篡改。这一个过程称为加密，对应的反变换过程称为解密。
现在有两类不同的加密技术，一类是对称加密，双方具有共享的密钥,只有在双方都知道密钥的情况下才能使用，通常应用于孤立的环境之中，比如在使用自动取款机（ATM）时，用户需要输入用户识别号码（PIN），银行确认这个号码后，双方在获得密码的基础上进行交易，如果用户数目过多，超过了可以管理的范围时，这种机制并不可靠。
另一类是非对称加密，也称为公开密钥加密，密钥是由公开密钥和私有密钥组成的密钥对，用私有密钥进行加密，利用公开密钥可以进行解密，但是由于公开密钥无法推算出私有密钥，所以公开的密钥并不会损害私有密钥的安全，公开密钥无须保密，可以公开传播，而私有密钥必须保密，丢失时需要报告鉴定中心及数据库。

算法

数字签名的算法很多, 应用最为广泛的三种是: Hash签名、DSS签名和RSA签名。
1. Hash签名
Hash签名不属于强计算密集型算法，应用较广泛。它可以降低服务器资源的消耗,减轻中央服务器的负荷。Hash的主要局限是接收方必须持有用户密钥的副本以检验签名, 因为双方都知道生成签名的密钥，较容易攻破，存在伪造签名的可能。
2. DSS和RSA签名
DSS 和RSA采用了公钥算法,不存在Hash的局限性。RSA是最流行的一种加密标准，许多产品的内核中都有RSA的软件和类库。早在Web飞速发展之前, RSA数据安全公司就负责数字签名软件与Macintosh操作系统的集成,在Apple的协作软件PowerTalk上还增加了签名拖放功能，用户只要把需要加密的数据拖到相应的图标上，就完成了电子形式的数字签名。与DSS不同，RSA既可以用来加密数据，也可以用于身份认证。和Hash签名相比，在公钥系统中，由于生成签名的密钥只存储于用户的计算机中，安全系数大一些。

功能

数字签名可以解决否认、伪造、篡改及冒充等问题。具体要求：发送者事后不能否认发送的报文签名、接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改、网络中的某一用户不能冒充另一用户作为发送者或接收者。数字签名的应用范围十分广泛，在保障电子数据交换（EDI）的安全性上是一个突破性的进展，凡是需要对用户的身份进行判断的情况都可以使用数字签名，比如加密信件、商务信函、定货购买系统、远程金融交易、自动模式处理等等。

缺憾

数字签名的引入过程中不可避免地会带来一些新问题，需要进一步加以解决，数字签名需要相关法律条文的支持。
1. 需要立法机构对数字签名技术有足够的重视，并且在立法上加快脚步，迅速制定有关法律，以充分实现数字签名具有的特殊鉴别作用，有力地推动电子商务以及其他网上事务的发展。
2. 如果发送方的信息已经进行了数字签名，那么接收方就一定要有数字签名软件，这就要求软件具有很高的普及性。
3. 假设某人发送信息后脱离了某个组织，被取消了原有数字签名的权限，以往发送的数字签名在鉴定时只能在取消确认列表中找到原有确认信息，这样就需要鉴定中心结合时间信息进行鉴定。
4. 基础设施（鉴定中心、在线存取数据库等）的费用，是采用公共资金还是在使用期内向用户收费？如果在使用期内收费，会不会影响到这项技术的全面推广？

实施

实现数字签名有很多方法，目前采用较多的是非对称加密技术和对称加密技术。虽然这两种技术实施步骤不尽相同，但大体的工作程序是一样的。用户首先可以下载或者购买数字签名软件，然后安装在个人电脑上。在产生密钥对后，软件自动向外界传送公开密钥。由于公共密钥的存储需要，所以需要建立一个鉴定中心（CA）完成个人信息及其密钥的确定工作。鉴定中心是一个政府参与管理的第三方成员，以便保证信息的安全和集中管理。用户在获取公开密钥时，首先向鉴定中心请求数字确认，鉴定中心确认用户身份后，发出数字确认，同时鉴定中心向数据库发送确认信息。然后用户使用私有密钥对所传信息签名，保证信息的完整性、真实性，也使发送方无法否认信息的发送，之后发向接收方；接收方接收到信息后，使用公开密钥确认数字签名，进入数据库检查用户确认信息的状况和可信度；最后数据库向接收方返回用户确认状态信息。不过，在使用这种技术时，签名者必须注意保护好私有密钥，因为它是公开密钥体系安全的重要基础。如果密钥丢失，应该立即报告鉴定中心取消认证，将其列入确认取消列表之中。其次，鉴定中心必须能够迅速确认用户的身份及其密钥的关系。一旦接收到用户请求，鉴定中心要立即认证信息的安全性并返回信息。

什么是数字签名:
一.数字签名的含义
数字签名是在公钥加密系统的基础上建立起来的,数字签名的产生涉及的运算方式是为人们所知的散列函数功能,也称"哈希函数功能"(Hash Function).哈希函数功能其实是一种数学计算过程.这一计算过程建立在一种以"哈希函数值"或"哈希函数结果"形式创建信息的数字表达式或压缩形式(通常被称作"信息摘要"或"信息标识")的计算方法之上.在安全的哈希函数功能(有时被称作单向哈希函数功能)情形下,要想从已知的哈希函数结果中推导出原信息来,实际上是不可能的.因而,哈希函数功能可以使软件在更少且可预见的数据量上运作生成数字签名,却保持与原信息内容之间的高度相关,且有效保证信息在经数字签署后并未做任何修改.
所谓数字签名,就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明.签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围.然后,签名者软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值(为实用目的).最后使用签名者的私人密码将哈希函数结果值转化为数字签名.得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的.
一个数字签名(对一个信息的哈希函数结果的数字签署)被附在信息之后,并随同信息一起被储存和传送.然而,只要能够保持与相应信息之间的可靠联系,它也可以作为单独的数据单位被存储和传送.因为数字签名对它所签署的信息而言是独一无二的,因此,假如它与信息永久地失去联系则变得毫无意义.
在书面文件上签名是确认文件的一种手段,数字签名同传统的手写签名相比有许多特点.
首先,数字签名中的签名同信息是分开的,需要一种方法将签名与信息联系在一起,而在传统的手写签名中,签名与所签署之信息是一个整体;
其次,在签名验证的方法上,数字签名利用一种公开的方法对签名进行验证,任何人都可以对之进行检验.而传统的手写签名的验证,是由经验丰富的接收者,通过同预留的签名样本相比较而作出判断的;
最后,在数字签名中,有效签名的复制同样是有效的签名,而在传统的手写签名中,签名的复制是无效的.
数字签名可以同时具有两个作用:确认数据的来源,以及保证数据在发送的过程中未作任何修改或变动.因此,在某些方面而言,数据签名的功能,更有些近似于整体性检测值的功能.但是,二者的一个主要区别在于,数字签名必须能够保证以下特点,即发送者事后不能抵赖对报文的签名.这一点相当重要.由此,信息的接收者可以通过数字签名,使第三方确信签名人的身份及发出信息的事实.当双方就信息发出与否及其内容出现争论时,数字签名就可成为一个有力的证据.一般来说因信息篡改而受影响较大的是接收方.因此,接收方最好使用与信息发送方不同的数字签名,以示区别.这是整体性检测值所不具有的功能.在这种意义上说来,确认一个数字签名,有些类似于通过辩认手写签名来确认某一书面文件的来源一样的意义.
采用数字签名和加密技术相结合的方法,可以很好地解决信息传输过程中的完整性,身份认证以及防抵赖性等问题.
(1)完整性.因为它提供了一项用以确认电子文件完整性的技术和方法,可认定文件为未经更改的原件.
(2)可验证性.可以确认电子文件之来源.由于发件人以私钥产生的电子签章惟有与发件人的私钥对应的公钥方能解密,故可确认文件之来源.
(3)不可否认性.由于只有发文者拥有私钥,所以其无法否认该电子文件非由其所发送.

数字签名
所谓"数字签名"就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工签名和图章的验证而无法比拟的。"数字签名"是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。

数字签名在ISO7498-2标准中定义为："附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造"。美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释："利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性"。按上述定义PKI（Public Key Infrastructino 公钥基础设施）提供可以提供数据单元的密码变换，并能使接收者判断数据来源及对数据进行验证。

PKI的核心执行机构是电子认证服务提供者，即通称为认证机构CA（Certificate Authority），PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密，并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名，来代替书写签名和印章；这种电子式的签名还可进行技术验证，其验证的准确度是在物理世界中对手工签名和图章的验证是无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证，或在多个可信的PKI域中进行交叉认证，它特别适用于互联网和广域网上的安全认证和传输。

简单地说,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou- Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等,它与具体应用环境密切相关。显然,数字签名的应用涉及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准(DSS)。
数字签名（Digital Signature）技术是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在公钥与私钥管理方面，数字签名应用与加密邮件PGP技术正好相反。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。
数字签名主要的功能是：保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。
数字签名是个加密的过程，数字签名验证是个解密的过程。
具有数字签名功能的个人安全邮件证书是用户证书的一种，是指单位用户收发电子邮件时采用证书机制保证安全所必须具备的证书。个人安全电子邮件证书是符合x.509标准的数字安全证书，结合数字证书和S/MIME技术对普通电子邮件做加密和数字签名处理，确保电子邮件内容的安全性、机密性、发件人身份确认性和不可抵赖性。 具有数字签名功能的 个人安全邮件证书中包含证书持有人的电子邮件地址、证书持有人的公钥、颁发者(河南CA)以及颁发者对该证书的签名。个人安全邮件证书功能的实现决定于用户使用的邮件系统是否支持相应功能。目前， MS Outlook 、Outlook Express、Foxmail及河南CA安全电子邮件系统均支持相应功能。使用个人安全邮件证书可以收发加密和数字签名邮件，保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性

---

密云县13541687271： 电子签章 是如何保证安全的? - ？
播店金必： 电子签章系统是一个基于PKI CA理论的信息安全系统. 通过数字签名的技术,保证签章电子文本与签章人身份以及印章图片数据结合的完整性和唯一性.具有防篡改、防抵赖功能,保证签章电子数据的完整性、可靠性和不可抵赖性,明确签章人责任,实现数据的在线审批. 通过后台,严密的一系列审批过程,通过签入合法、可靠的电子印章,便可以保证签章表单的安全,实现证据保存和表明签章人责任.

密云县13541687271： 签名是如何保证信息安全的 - ？
播店金必： 可靠的电子签名(《中华人民共和国电子签名法》对此有明确定义)需具备防篡改和不可抵赖性,前者可保证数据的一致性、防止数据被篡改,后者可建立有效的责任机制、防止用户否认其行为.那么,纸质合同拍照/扫描后是否可视为电子合同?当然不是.事实上,数字签名不可等同于书面签名的数字图像化,它是通过密码技术对电子文档进行的电子形式签名. 注:电子认证与电子签名一样,都是电子商务中的安全保障机制,是由特定的机构提供的,对电子签名及其签署者的真实性进行验证的服务.(

密云县13541687271： 数字签名在网络通讯中能解决哪些安全问题 - ？
播店金必： 解决的问题包括:篡改、抵赖.数字签名是用持有者的私钥对数据加密,因为私钥只有持有者才有,别人伪造不了,所以数字签名可以保证数据的完整性、真实性和不可抵赖性.

密云县13541687271： 数字签名技术是如何实现不可否认技术的安全保障的 急急急急急急 - ？
播店金必： 数字签名是在公钥加密系统的基础上建立起来的,数字签名的产生涉及的运算方式是为人们所知的散列函数功能,也称＂哈希函数功能＂(Hash Function).哈希函数功能其实是一种数学计算过程.这一计算过程建立在一种以＂哈希函数值＂或＂...

密云县13541687271： 如何使用数字签名技术实现安全收发电子邮件 - ？
播店金必： 可以使用电子邮件加密证书,沃通CA提供免费的电子邮件加密证书https://www.wosign.com/products/Free_Personal_email_Certificate.htm

密云县13541687271： 数字签名在网络安全中的地位与作用 - ？
播店金必： 数字签名是目前Internet中电子商务重要的技术,对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其它的手段,这一手段就是数字签名.在电子商务安全保密系统中,数...

密云县13541687271： 数字签名如何使用? - ？
播店金必： 数字签名是利用公钥密码技术和其他密码算法生成的一系列符号及代码所组成的电子密码,用以替代手写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度是手工签名和实物图章的验证无法比拟的.这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输.

密云县13541687271： 网络数字签名要如何用呢?是个数字安全证书工商里发二百元领来的一个 ？
播店金必： 就是SSL加密 只有在交易时才可以看到

密云县13541687271： 如何实现电子商务的安全?？
播店金必： 在电子商务中交易中的安全性是通过如下途径实现的: 使用数字签名和数字证书实现对各方的认证; 使用加密算法对信息进行加密; 使用信息摘要以保证信息传输的完整性; 使用交易的不可抵赖性; 使用双联签字等技术处理多方贸易业务的多边支付问题.

密云县13541687271： 电子签名如何防伪? - ？
播店金必： 具体步骤:(1)在白纸上写下签名.用photoshop打开该扫描jpg文件;(2)在photoshop的菜单点击“调整”——“亮度与对比度”,调整扫描图形变得黑白对应明显.(3)在photoshop的菜单点击“模式”——“灰度”,再点击“模式”——...