电子文件不被改动，并保证经过电子签名的电子文件不能被该文件签名者所否认。在PKI体系中，需要两台服务器，一台服务器用于CA的应用服务器，另一台服务器用于CA的证书数据库服务器，操作流程可分为如下三个阶段：如图1
图1PKI系统的操作流程（1）证书签发阶段①电子文件的发送者即电子文件创建者，以下称为发送者向CA应用服务器申请证书。②CA应用服务器响应申请，产生证书和一对密钥即公钥与私钥，并将证书信息与公钥存入CA的证书数据库中。③CA应用服务器将证书信息和私钥返回给证书申请者。私钥的存储介质一般包括硬盘、U盘、IC卡及USB智能卡，为了安全起见，我们为证书申请者选用USB智能卡来存储私钥。（2）数字签名阶段①发送者提交要发送的电子文件、证书和存在USB智能卡中的私钥到CA的应用服务器，申请数字签名。②CA应用服务器根据证书对发送者进行身份识别，同时响应申请，通过逻辑算法，将电子文件的数字签名返回给发送者。
f龙源期刊网httpwwwqika
comc
（3）签名验证阶段①发送者将电子文件的明文与电子文件的数字签名发送给接收者。②接收者将收到电子文件的明文与电子文件的数据签名提交给CA应用服务器，申请验证。③CA应用服务器从证书服务器中提交公钥，利用公钥解密数字签名，并通过逻辑算法来验证电子签名是否合法，电子文件是否被改动。④接收者得到CA应用服务器响应返回的验证结果。
二、数字签名技术及其原理
数字签名是基于非对称加密技术基础上的一种应用①。非对称加密技术又称为公钥加密，密钥是由公钥和私钥组成的。数字签名是利用私钥加密来签名，再用公钥解密来验证。在通信中，通过信息明文计算出单项散列值，这个值往往是固定长度的，我们称这个值为消息摘要，然后我们用私钥对这个消息摘要进行加密得到的就是数字签名②。数字签名包括两个过程：数字签名与签名验证。我们假设A要发送数据C给B，并保证A不能否认数据C是A发送给B的数据C，可以参考图2来说明数字签名与验证的过程。
1数字签名过程①A用Hash函数加密数据C，得到：Hash数据C，即消息摘要②A用自己的私钥对消息摘要加密，得到：私钥Hash数据C，即数字签名③A将数据C及数字签名发送给B，发送：数据C私钥Hash数据C2数字验证过程①B接收到信息：数据C私钥Hash数据C②B用相同的Hash算法算出数据C的消息摘要，得到：Hash数据C③B用A的公钥对数字签名解密，即解密私钥Hash数据C，得到公钥私钥Hash数r