S0FTrWARE DEVEI OPMENT AND DESIGN 软件开发与设计 浅析数字签名在电子政务中的应用 傅丰 (黄淮学院计算机科学系,驻马店463000) 摘要:分析数字签名的功能、原理及其与传统手写签名的差别,对基于身份的数字签名进行了探讨,给出了数字 签名在电子政务中的具体应用。 关键词:数字签名:电子政务;信息安全 Brief Analysis on Application of Digital Signature in E・--government FU Feng (Computer Science Department of Huang-Huai College,Zhumadian 463000) Abstract:This paper analyzes the digital signature function,principle and the difference with the traditional handwritten sig— nature.identity—based digital signatures are discussed.and thus presents the specific application of digital signature in e—gov— eFnlnent. Key words:digital signature;e—gm eHlment;Information Securit ̄’ .1概述 1.1概念与功能 要使用数字时问戳等特殊的技术避免数字签名的重复使用。 (4)手书签名是模拟的,且因人而异。数字签名是0和1 的数字串,因人和消息而异。 一数字签名是防止他人对传输的文件进行破坏.以及确定 发信人的身份的手段 该技术在数据单元上附加数据,或对 数据单元进行秘密变换.这种数据和变换允许数据单元的接 收者用以确认数据单元来源和数据单元的完整性,从而达到 保护数据,防止被人进行伪造的目的。简单说来,数字签名 是指用密码算法,对待发的数据进行加密处理,生成一段数 个安全有效的签名方案必须满足以下要求:1)任何人 都可以验证签名的有效性;2)除了合法的签名者外,其他人 伪造签名是困难的;3)对一个消息的签名不可复制为另一个 消息的签名;4)签名的消息不可被篡改,一旦被篡改,则任 何人都可以发现消息与签名的不一致;5)签名者事后不能否 认自己的签名。 据摘要信息附在原文上一起发送,接受方对其进行验证,判 断原文真伪 其签名思想是签名只能南一个人(个体)创建, 但可以被任何人校验= 数字签名技术可以解决数据的否认、伪造、篡改及冒充 等问题,满足上述要求的数字签名技术有如下主要功能: (1)发送者事后不能否认自己发送的签名; (2)接收者能够 核实发送者发送的签名; (3)接收者不能伪造发送者的签 安全的数字签名实现的条件:发方必须向收方提供足够 的非保密信息,以便使其能验证消息的签名,但又不能泄露 用于产生签名的机密信息,以防止他人伪造签名。此外,还 有赖于仔细设计的通信协议: 2原理 数字签名有两种:一种是对整体消息的签名,一种是对 压缩消息的签名。每一种又可分为两个子类:一类是确定性 (Deterministi)数字签名,其明文与密文是一一对应的,它对 特定消息的签名不变化;一类是随机化的(Randomized)或概 率式数字签名。 名; (4)接收者不能对发送者的原文进行篡改; (5)数据 交换中的某一用户不能冒充另一用户作为发送者或接收者 1.2数字签名与传统手写签名差别 (1)签署文件方面:一个手写签名是所签文件的物理部 分,而数字签名不是,所以要使用其他的办法将数字签名与 所签文件“绑定”。 (2)验证方面:一个手写签名是通过和一个真实的手写 签名相比较来验证的 而数字签名是通过一个公开的验证算 法来验证: 目前的数字签名技术大多是建立在公共密钥的基础 上,其工作原理是: (1)签名:发方将原文用哈希算法求得数字摘要,用签 名私钥对数字摘要加密得数字签名,将原文与数字签名一起 发送给接受方。 (3)签名的复制:一个手写签名不容易被复制,因为复 签名=(M,s,K,v),其中M:明文空间,S:签 名的集合,K:密钥空间,V:证实函数的值域,由真、伪组 成? 签名算法:对每一m∈M和每一k∈K,易于计算对m的 制品通常比较容易被鉴别 来:而数字签名很容易被复制, 因为一个文件的数字签名的复制品和原文件是一样的:所以 本文收稿}t蛸:2009—11—10 一21 电脑编程技巧与维护 签名 s=Sigk(M)∈S 4数字签名在电子政务中的应用 4.1意义 数字签名的过程和政务公文的加密/解密过程虽然都使用 签名算法或签名密钥是秘密的,只有签名人掌握。 (2)验证:收方验证签名时,用发方公钥解密数字签名, 公开密钥体系,但实现的过程正好相反,使用的密钥对也各 不相同。数字签名使用的是发送方的密钥对,发送方用自己 得出数字摘要;收方将原文采用同样哈希算法又得一新的数 字摘要,将两个数字摘要进行比较,如果二者匹配,说明经 的私钥进行加密,接收方用发送方的公钥进行解密。这是一 个一对多的关系,即任何拥有发送方公钥的人都可以验证数 字签名的正确性。政务公文的加密/解密则使用接收方的密钥 对,这是多对一的关系,即任何知道接收方公钥的人都可以 向接收方发送加密公文,只有唯一拥有接收方私钥的人才能 签名的电子文件传输成功。 验证算法: Verk(S,M)∈{真,伪}={0,l1 3基于身份的数字签名 3.1优势 1984年Shamir提出基于身份的加密、签名、认证的设 想,其中身份可以是用户的姓名、身份证号码、地址、电子 邮件地址等。系统中每个用户都有一个身份,用户的公钥就 是用户的身份,或者是可以通过一个公开的算法根据用户的 身份可以容易地计算出来,而私钥则是由可信中心统一生成。 在基于身份的密码系统中,任意两个用户都可以安全通信, 不需要交换公钥证书,不必保存公钥证书列表,也不必使用 在线的第三方,只需一个可信的密钥发行中心为每个第一次 接入系统的用户分配一个对应其公钥的私钥就可以了。基于 身份的密码系统不存在传统CA颁发证书所带来的存储和管理 开销问题。 3.2形式化定义 基于身份的数字签名由以下4个算法组成,如图1所示。 Setup(系统初始化):输入一个安全参数k,输出系统参 数param、和系统私钥mk,该算法由密钥产生机构PKG运 行,最后PKG公开params,保存mk。 图1基于身份的签名系统 Extract(用户密钥生成):输入params、mk和用户的身份 ID,输出用户的私钥diD,该算法由PKG完成,PKG用安全 的信道将diD返回给用户。 Sign(签名):输入一个安全参数r、params、diD以及消息 M,输出对}肖息M的签名盯,该算法由用户实现。 Verify(验证):输入params、签名人身份ID、消息m和 签名 ,输出签名验证结果1或0,代表真和伪,该算法由签 名的验证者完成。其中,签名算法和验证算法与一般签名方 案形式相同。 22 对公文解密。在实际应用过程中,通常一个用户拥有两个密 钥对,一个密钥对用来对数字签名进行加密,解密;另一个密 钥对用来对公文进行加密懈密,这种方式提供了更高的安全 性。 4.2形式 4.2.1个人单独签名 由于政务公文的文件相对来说都比较大,所以一般需要 先对所要传输的原文进行加密压缩后形成一个文件摘要,然 后对这个文件摘要进行数字签名。一般由两个阶段组成:对 原文的数字签名和对数字签名的验证。 (1)对原文的数字签名 先采用单向散列哈希算法对所要传输的政务公文x进行 加密计算和压缩,推算出一个文件摘要z。然后,公文的发送 方用自己的私钥SKA对其加密后形成数字签名Y,并将该数 字签名附在所要传送的政务公文后形成一个完整的信息包 (X+Y)。再用接收方的公钥PKB对该信息包进行加密后,通 过网络传输给接收方。 (2)对数字签名的验证 接收方收到该信息包后,首先用自己的私钥SKB对整个 信息包进行解密,得到两部分信息:数字签名部分Y 和政务 公文原文部分x ;其次,接收方利用发送方的公钥PKA对数 字签名部分进行解密,得到一个文件摘要Z ;接着,接收方 也采用单向散列哈希算法对所收到的政务公文原文部分进行 加密压缩,推算出另外一个文件摘要z1 。由于原文的任何改 动都会使推算出的文件摘要发生变化,所以只要比较两个文 件摘要z 和z1 就可以知道公文在传输途中是否被篡改以及 公文的来源所在。如果两个文件摘要相同,那么接收方就能 确认该数字签名是发送方的,并且说明文件在传输过程中没 有被破坏。通过数字签名能够实现对原始报文的鉴别。 4.2.2多重数字签名 在电子政务的应用中,有时也需要多个人批阅同一份文 件,这就需要用到多重数字签名,多重数字签名与现实环境 中多人书面签名的最大区别在于书面签名的长度与签名人数 成正比,而多重数字签名的长度与个人单独签名长度相同。 根据签名顺序和过程的不同,又可分为有序多重签名和广播 多重签名。 有序多重数字签名是由文件的发送者规定好签名的顺序, 每一位签名者只要验证前一位签名者的签名信息,如果通过 SOFTWARE DEVELOPMENT AND DESIGN 验证,就在原来的基础上加上自己的数字签名后把文件发送 西安:西安电子科技大学. 软件开发与设计 给下一位签名者,如果验证失败则终止签名过程。最后一名 签名者要负责把文件和最终的签名传输给接收者。多重数字 【4】余;-A.数字签名在网络信息安全中的应用.电子商务, 2006.473:124—125. 签名的实现可以与电子政务的实际工作流程结合应用,以达 到简单实用的目的 【5】黄茹芬.数字签名技术在电子政务中的应用lJ1.湖州师 范学院学报,2005(1):68—71. 参考文献 f1】李波.电子政务和商务中应用的数字签名研究【DJ: [硕士 基金项目:河南省科技厅科技计划资助项目(072100451230); 河南省教育厅自然科学项日(2007520028) 学位论文1.成都:西南交通大学. f2】牛晓华,王擎天,赵洪利.数字签名技术的现状、发展与 应用.电子技术,1999,9:21—22. 作者简介 傅丰,女(1969一),硕士,黄淮学院副教授,研究方向:网 络存储与安全 『3】刘颖.基于身份的数字签名的研究【D】: 【硕士学位论文】 (上接第17页) 哿Host端数据复制给Device端,为GPU准备数据 cudaMemCopy(Xd,X,N sizeof(float),cudaMem- cpyHosttoDevice); 定价、数学计算、地球科学等多学科应用CUDA技术,成熟 的专业应用软件正不断涌现,有效提升相关专业的计算效率~ cudaMemCopy(Yd,Y,N sizeof(float),cudaMem— cpyH0sttoDeVice): //使用N/256个线程组,每个线程组256个线程,分别 ,/调用Device端函数进行计算 saxpy<<<N/256,256>>>(Xd,Yd,Sd,alpha,N); cudaMemCopy(S,Sd,N sizeof(float),cudaMem- cpyDeviceToHost); ,,释放GPU使用的显存资源 cudaFree(Xd);cudaFree(Yd);cudaFree(Sd); } ,/下面是Device端程序,每个线程都要执行这段程序 一globalvoid saxpy(float Xd,float Yd,float Sd, —图5 CUDA计算工作站以及Pc集群效果图 lfoat alpha,int N) { int i=threadldx.x+blockDim.x blockIdx.x: 为应对GPGPU技术的挑战,Intel公 电将往年内推出内 置8O核的专门用于计算的CPU芯片,随着这些技术的不断应 用.GPGPU技术将有可能会与CPU技术相互融合,最终形成 一if(i<N) Sd fi】=alpha Xd[i】+Yd『j】; } 种多处理器、多功能的计算节点构成方式,为高性能计算 的发展提供可靠支撑 4 应用前景 伴随CUDA技术的不断完善,Nvidia公司推出专门用于高 参考文献 【1】NVIDIA CUDA计算统一设备架编程指南版本2.0.NV1DIA. 【2】深入浅出淡CUDA. 【3】邓仰东.NVIDIA CUDA超大规模并行程序设计 训练课程. 【4j AMAX.Tesla GPU Computing-A Revolution in High Per[or— flatlCe Computing. 性能计算的Tesla计算处理器,使GPGPU不再考虑对图形处 理功能而单纯实现高性能纯数据计算。相关厂商也及时推出 了使用Tesla计算处理器的CUDA架构高性能计算:1二作站。将 这些计算【作站用网络连接起来就构成了一种新型的Pc集 群,图5就是某厂商提供的CUDA架构计算 L作站性能以及 运行CUDA体系的PC机群示意图。从中可以看到一个单独的 CUDA工作站内置4个Tes|a处理器,每个Tes|a处理器内置 240个计算线程,因此每套工作站总共有960个计算线程可以 用于浮点计算,计算能力达到4TeraFlops的浮点计算能力,性 能有了大幅度的提升。 另一方面,CUDA的推广应用离不开应用系统的开发.当 作者简介 林茂,男(1972一).高级工程师/在职硕士研究牛,计算机系 统运行维护和应用开发。 董玉敏,女(1970~),高级_r程JJili/硕士,计算机系统运行维 护和应用开发。 前已经有大量的研究人员与组织正在石油天然气、计算化学 与分子动力学、生物信息学以及生命科学、金融计算与期权 邹杰,男(1961一),T程师/大专,计算机系统运仃维护及直 用开发。
