數字簽名及其在圖書館數字參考咨詢服務中的應用

摘要：該文在分析數字簽名技術的基礎上，詳細討論了數字簽名在圖書館數字參考咨詢服務中的應用，包括數字簽名在圖書館電子郵件、主動推送式網絡信息服務、定題服務及特色數據庫訪問結構等四個方面的應用。

關鍵詞：數字參考咨詢服務；數字簽名；網絡安全；加密

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0817-02

Application of Digital Signature in DRS in the Library

WEI Jian-guo

(Library， Jiangsu Teachers Universiry of Technciogy， Changzhou 213001， China)

Abstract: The paper firstly analyses the technology of digital signature. Then it discusses in detail the application of digital signature in DRS in the library. The application includes its usage in the E-mail in the library， the information service of active sending， the service of solid topic and the visiting structure of the special data base.

Key words: DRS; digital signature; network security; encryption

1 引言

隨著網絡技術的發展，圖書館數字參考咨詢服務也日益增加。在網絡咨詢服務信息的傳輸中，經濟信息、關鍵技術、競爭情報等重要數據也越來越多。這些重要的數據信息在網絡傳輸過程中，由于網絡或人為因素可能發生丟失、泄密、被篡改等意外事件；當事雙方出于對自己利益的考慮，也可能否認曾發送過報文或接收到報文的事實。把數字簽名技術應用于數字參考咨詢服務中，能有效地防止這類糾紛的出現。

2 數字簽名及其特點

數字簽名是指附加在數據單元上的一些數據，或是對數據所作的密碼變換，這種變換能使數據接收者確認數據的來源、完整性并保護數據。數字簽名是非對稱加密技術中的一種，主要通過單向Hash函數和公鑰算法共同實現，所謂單向是指從Hash值無法推知報文值。

數字簽名的本質特征是該簽名只有通過簽名者的私有信息才能產生，即一個簽名者的簽名只能唯一地由自己產生。數字簽名是實現網絡數據保密性、完整性和不可否認服務技術的基礎。數字簽名技術同時結合了公鑰加密與對稱密鑰加密的優點，利用Hash函數保證了數據的完整性，通過對用戶身份進行合法性驗證，以防止非法用戶連接和欺騙，從而確保網絡連接的合法性，保障網絡傳輸數據的保密性和安全性。既可以防止通信雙方的任何一方對自己的行為的否認，又可防止冒名頂替，保證數據發送、接收的雙方不可否認。

3 數字簽名分析

3.1 基于RSA公鑰密碼體制的數字簽名方法

基于RSA公鑰密碼體制的數字簽名方法的發送步驟如下：

1) 發送方發送報文P，先用發方未公開的解密密鑰Ea對報文加密Ea(P)。

2) 發送方再用收方的公開密鑰Db進行第二次加密Db(Ea(P))。

3) 收方接到報文后首先用自己的解密密鑰Eb進行第一次脫密，還原成Ea(P)。

4) 然后再用發方的公開密鑰Da進行第二次脫密，就得到原文。

這種數字簽名方法必須同時使用收、發雙方的解密密鑰和公開密鑰才能獲得原文，能夠完成發方的身份認證。但它對收方約束不完善，收方可以隨意否認其曾收到報文，使發方蒙受不必要的損失。所以它還不能算是一個很嚴密的數字簽名方法。

3.2 第三方認證的數字簽名方法

針對RSA數字簽名的缺點，有人提出了第三方認證的數字簽名方法，其發送步驟如下：

1) 當發方發送報文P時，把收方的名字B和原文P用自己的密鑰Ea加密后發往雙方都信賴的第三方，我們把他稱為中央權威。

2) 中央權威用發方A的公開解密密鑰Da對其解密后，把發方的名字A和原文P用權威的密鑰Ez加密為信息T。

3) 然后，第三方再用收方的公開密鑰Db把Ez加密后的信息T和A，P再進行加密發往收方。

4) 收方收到后用自己的解密密鑰Eb得到原文P。

采用這種方法可有效地證實發方身份，收、發雙方無法否認報文的發送或接收，收方也無法改動原文。第三方認證的加密技術成功地實現了報文的數字簽名，采用這種方法降低了危害報文安全的可能性，有效地解決了收方可能否認其曾收到報文的問題。其缺點是這種第三方認證的數字簽名在全部簽名過程中，必須引入第三方，而第三方中央權威的可靠性總是讓人懷疑。

4 數字簽名技術在圖書館數字參考咨詢服務中的應用

數字參考咨詢服務（DRS）指建立在數字化通信基礎上，通過網絡收發電子郵件、網頁表單或者使用在線聊天軟件等給遠程用戶提供方便、快捷的信息咨詢服務。其服務方式主要有以下幾種：E-mail及web表單服務、FAQ服務、案例庫服務、專題庫與特色數據庫服務、Real-time服務、BBS服務等。數字簽名在圖書館數字參考咨詢服務中有著廣泛的應用。

4.1 圖書館電子郵件中的數字簽名

在數字參考咨詢服務中，電子郵件是一種重要的服務方式。讀者用E-mail向圖書館咨詢部門提出問題，學者和專家在檢索數據庫及使用其它檢索工具后用E-mail作出回答。傳統的電子郵件系統，由于未采取身份認證功能，黑客很容易冒名發送或更改郵件信息。通過采用數字簽名技術，提供類似于手寫簽名功能的“數字簽名”，實現對郵件合法性、完整性、防抵賴性的證實。數字簽名在圖書館數字參考咨詢服務郵件系統中的實現流程：

1) 向證書認證中心申請使用安全電子郵件證書（包括數字簽名）。

2) 使用數字簽名，完成加密。以Outlook Express 為例說明數字簽名的使用。在Outlook Express菜單里選擇“工具/帳戶”；選擇申請證書的郵件帳號，選擇“屬性/安全”；選擇相應的簽名和加密證書。

發送方用認證中心簽發的證書發送信息，該信息被加密并進行數字簽名。接收方通過認證中心提供的公鑰驗證數字簽名。電子郵件加密的前提是郵件收發雙方都有數字證書，發送方必須有接收方發送的簽名郵件，發送方郵件簽名技術、接收方回執簽名技術是防止偽造電子郵件的基本技術。

4.2 主動推送式網絡信息服務中的數字簽名

主動推送式網絡信息服務屬于圖書館個性化網絡信息服務，它是面向重點學科、重點科研項目和重點用戶提供的深層次數字參考咨詢服務。它要求網絡傳輸的服務信息具有較高的保密性。應用數字簽名能確保其網絡傳輸數據的保密性。

在公開密鑰密碼體制中，每個用戶使用一對密鑰，其中一個是公開的，大家可以公用的，即公開密鑰PK；另一個是自己專用的，保密的，即秘密密鑰SK。當A向B發密信時，A用B的公開密鑰加密該信件，B收到密信啟用自己的秘密密鑰進行解密，得到明文，即可閱讀。數字簽名則恰恰相反，發送者以秘密密鑰SKA對報文P進行加密，將結果DSKA(P)傳送給接收者B，B用已知的A的公開密鑰進行解密，得到EPKA(DSKA(P))=P。由于除了A以外沒有別人能具有A的解密密鑰SKA，所以，除了A以外沒有別人能產生密文DSKA(P)，確認對方的簽名。這樣，被簽名的報文就產生了。

上述過程僅對報文進行了簽名，報文本身并未被加密，一旦其它用戶截到密文DSKA(P)，并知道發送者身份，就可通過查閱手冊獲得發送者的公開密鑰PKA，從而理解報文的內容。在主動推送式網絡信息服務中，為了加強網絡服務信息的保密性，應使用具有保密性的數字簽名。報文發送時，數字簽名和報文加密必須同時進行，即發送者用秘密密鑰進行簽名，用公開密鑰進行加密；接收者用秘密密鑰進行解密，用公開密鑰核實簽名。其過程如圖1。

4.3 定題服務中的數字簽名

在圖書館開展定題服務類數字參考咨詢服務時，通過使用無第三方參與且對收方有約束力的數字簽名，利用其對收方的不可否認性，可保護雙方的利益。在定題服務過程中。當用戶向圖書館咨詢部門提出數字參考服務請求時，收方為咨詢部門。此時，數字簽名可起到促進咨詢部門提高服務質量的作用。當咨詢部門向用戶傳輸檢索結果時，收方為用戶。此時，數字簽名可起到核實咨詢服務工作量、提高服務經濟效益的作用。

無第三方參與且對收方有約束力的數字簽名的具體操作如下：

1) 發送方A用自己的解密密鑰Ea對原文P進行加密，Sa=D(Ea，P)，Sa即為A對P的簽名，并把數字簽名附加在原文后面，形成文件P'，即P'=P+Sa。

2) 發送方A選擇一個會話密鑰K對文件P'進行加密，并把加密后的文件傳輸到接收方。即發送方把D(K，P+Sa)傳輸到接受方。

3) 接收方收到D(K，P+Sa)后，由于沒有會話密鑰K無法閱讀，必須發送信息M向發送方A索取密鑰K。

4) 發送方A收到信息M后，用接收方B的公開密鑰Db對會話密鑰K進行加密，并把加密后的會話密鑰K傳輸到接收方。

5) 接收方B用自己的解密密鑰Eb對會話密鑰進行解密，得到會話密鑰K的明文；然后再用會話密鑰K對文件D(K，P+Sa)進行解密，得到原文P及數字簽名Sa。

6) 接收方B再用發送方A的公開密鑰Da對原文P及數字簽名Sa進行驗證：E(Da，Sa)=P。

4.4 特色數據庫訪問結構中的數字簽名

在基于B/S（瀏覽器/服務器）模式下的圖書館管理信息系統中，建立安全訪問代理體系的特色數據庫，通過數據庫安全訪問代理提供用戶進行數字簽名，形成新的特色數據庫訪問結構，從而最大限度實現資源共享并確保圖書館管理信息系統的安全。所有的客戶端的數據庫訪問請求都通過數據庫安全訪問代理進行轉發?？蛻舳藬祿L問代理用于接收所有的客戶應用數據庫訪問請求（包括數據庫客戶的連接建立和連接斷開請求），并負責向數據庫客戶傳送數據庫訪問的結果。數據庫訪問請求是按照協議格式把數據報文提供給數據加密認證客戶端，而數據庫訪問結果是按照數據庫安全代理系統體系結構協議格式由數據加密認證客戶端提供。數據訪問客戶端同服務器端共同完成數字簽名，保障數據安全。

數字簽名功能模塊主要包括通信模塊、簽名模塊、驗證模塊、加解密模塊和密鑰生成等模塊，其組成如圖2所示。每個客戶通過密鑰生成模塊生成簽名所需密鑰，再通過CA進行認證，認證需要在客戶和服務器兩個方向上進行。在身份認證的同時進行傳輸密鑰的協商。對于要傳送的數據通過數據摘要模塊生成待發送的信息摘要，然后通過數字簽名模塊對待發送的信息的雜湊碼進行簽名，再通過通信模塊，負責系統信息的發送和驗收，到對方經解密后由驗證模塊對接收的信息簽名進行驗證。

5結束語

技術作為網絡信息安全的一項重要技術，能確保傳輸數據的保密性、完整性和不可否認性，其在圖書館網絡信息服務中的應用日益廣泛。本文重點討論了數字簽名在圖書館數字參考咨詢服務中的應用，包括圖書館電子郵件中的數字簽名、主動推送式網絡信息服務中的數字簽名、定題服務中的數字簽名和特色數據庫訪問結構中的數字簽名。此外，數字簽名還可應用于圖書館網絡查新服務、特色數據庫的數據更新等方面，這些都有待于我們進一步的探索和研究。

參考文獻：

[1] 王景中. 計算機通信信息安全技術[M]. 北京：清華大學出版社，2005.

[2] 洪帆，崔國華. 信息安全概論[M]. 武漢：華中科技大學出版社，2006.

[3] Ross J. Anderson. 信息安全工程[M]. 蔣佳，劉新喜，等譯. 北京：機械工業出版社，2003.

[4] 楊春金，倪福根. 一種基于Java2的數字簽名系統的設計與實現[J]. 信息技術，2005(12):132-133.

[5] 高蕾，鄭建德. 基于PKI的高校安全教務管理研究[J]. 廈門大學學報，2006(5):3-5.

[6] Wenbo Mao，王繼林等譯. 現代密碼學管理與實踐[M]. 北京：電子工業出版社，2004.

[7] 張先紅. 數字簽名原理及技術[M]. 北京：機械工業出版社，2004.