数字签名技术规范

胜利石油管理局企业标准

Q/SL TEC-i－2002

胜利油田数字签名技术规范

1适用范围

本规范规定了胜利石油管理局CA认证中心数字签名技术标准。

本规范适用于胜利油田（企业内部）数字签名机制的实现、摘要提取、有效性。

2规范解释权

本规范由胜利油田石油管理局信息中心解释。

3术语定义

3.1数字签名定义

数字签名是附加在数据单元上的一个数据，或是对数据单元进行的密码变换。通过这一数据或密码变换，使数据单元的接收者能够证实数据单元的来源及其完整性，同时对数据进行保护。

3.2摘要

摘要技术（使用hash函数，称为散列算法）是对被传送的信息进行数学处理，提取出可以代表该信息的一串数据(即摘要)。散列算法可以保证任何一段信息内容的摘要（digest）都是独特的和唯一对应于该信息的，对内容进行任何修改都会导致摘要的不同。

4数字签名机制的基本安全功能

完善的数字签名必须保证以下3点：

1)签名者事后不能否认自己对信息的签名；

2)接收者和其他人不能伪造这个签名；

3)如果当事人双方对签名真伪发生争执时，能在公正的仲裁者面前通过验

证签名来确定真伪。

一切关于数字签名的研究都围绕以上三个基本安全功能进行，其他要求都是次要的。

5数字签名机制实现的基本过程

只有加入数字签名及验证才能真正实现在公开网络上的安全传输。加入数字签名和验证的文件传输过程如下：

1)发送方将要发送的信息原文用哈希函数编码，散列产生一段固定长度的数字

摘要；

2)发送方用自己的私用密钥对摘要加密，形成了数字签名，并附在要发送的信

息原文后面；

3)发送方产生一个通信密钥(一般是对称密钥)，并用它对带有数字签名的信息

原文进行加密后，传送到接收方；

4)发送方用接收方的公开密钥对自己的通信密钥进行加密后，传到接收方；

5)接收方收到发送方加密后的通信密钥后，用自己的私用密钥对其进行解密，

得到发送方的通信密钥；

6)接收方用发送方的通信密钥对收到的经加密的签名原文解密，得到数字签名

和信息原文；

7)接收方用发送方的公共密钥对数字签名进行解密，得到摘要；同时将收到的

原文用哈希函数编码，经散列产生另一个摘要；

8)接收方将两个摘要进行比较，如果两者一致，则说明发送的信息原文在传送

过程中信息没有被破坏或篡改过，从而得到准确的原文。

如果两份摘要不同，则原文不完整或被修改过；如果无法用证书所带有的公钥打开接收到的加密后的那份摘要，就说明可能有人冒名顶替。同样的道理，如果信息的发送方的密钥没有丢失或被他人盗用，他也很难于事后不承认接收方收到的签过字的文件不是由他发出的。

6摘要提取技术

为了保证信息传输的安全，对信息进行加密通常是与摘要提取技术同时使用的，从而保证了接收到的信息与发送方当初发出的信息是完全相同的。目前，胜利油田采用MD5和SHA-1 hash函数来完成摘要的计算提取工作。以后随着技术的发展，可采用其它方法。

7数字签名的有效性

1)在胜利油田企业内部所规定的业务范围内，数字签名等同于个人签名或

单位公章。

2)若单位或个人利用数字签名进行业务范围之外交易活动造成损失的，其

后果自负。

8生效日期