首页 理论教育 数字认证技术

数字认证技术

时间:2022-11-05 理论教育 版权反馈
【摘要】:数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限。基于PKI的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的机构CA颁发。由于CA的数字签名使得攻击者不能伪造和篡改证书,因此,证书便向接收者证实了某人或某机构对公开密钥的拥有。

1.数字签名

1)数字签名的作用

在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确认了文件是真的这一事实。数字签名与书面文件签名有相同之处,采用数字签名也能确认以下两点:①信息是由签名者发送的;②信息自签发后到收到为止未曾做过任何修改。

这样数字签名就可以用来防止电子信息因易被修改而有人作伪;或冒用别人名义发送信息;或发送(收到)信件后又加以否认等情况发生。

为了做一个数字签名,发送者用他的私钥加密一个信息。任何有他的公钥的接收者都能读取它,接收者能确信发送者的确是信息的作者,同时发送者无法否认信息己发送。数字签名往往附加在发送的信息中,就像手写签名一样。

2)数字签名的实现方式

报文的发送方从报文文本中生成一个固定位数的散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,该数字签名将作为附件和报文一起发送给接收方。报文的接收方首先从接收到的原始报文中计算出固定位数的散列值(或报文摘要),接着用发送方的公开密钥来对报文附加的数字签名解密。如果两个散列值相同,那么接收方就能确认该数字签名是发送方的。

3)数字签名采用的算法

数字签名采用的算法有RSA签名、DES签名和Hash函数签名,其中Hash签名是最主要的数字签名方法。该方法将数字签名与要发送的信息捆绑在一起,所以更适合电子商务(比信息与签名分别发送具有更高的可信度和安全性)。

4)数字签名的过程

数字签名并非采用“手书签名”类型的图形标志,而是采用双重加密的方法来实现防伪、防赖,其过程如图9.5所示。

(1)送方采用哈希函数将需要传送的内容加密产生报文的数字摘要。

(2)送方采用自己的私有密钥对摘要进行加密,形成数字签名。

(3)发送方把原文和加密的摘要同时传递给接收方。

(4)接收方使用发送方的公共密钥对数字签名进行解密,得到发送方形成的报文摘要。

(5)接收方用哈希函数将接收到的报文转换成报文摘要,与发送方形成的摘要相比较,若相同,说明文件在传输过程中没有被破坏。

图9.5 数字签名的过程

2.数字信封

数字信封是用密码技术的手段保证只有规定的收信人才能阅读信的内容。在数字信封中,信息发送方自动生成对称密钥,用它加密原文,再利用RSA 算法对该密钥进行加密,则被RSA算法加密的密钥部分称为数字信封。数字信封工作过程如图9.6所示。

(1)在发送文件时,发送方先产生一个通信密钥,并用这一个通信密钥对文件原文进行加密后,再通过网络将加密后的文件传送到接收方。

(2)发送方把对文件加密时使用的通信密钥用接收方的公开密钥进行加密,即生成数字信封,然后通过网络传送到接收方。

(3)接收方收到发送方传来的经过加密的通信密钥后,用自己的私有密钥对其进行解密,从而得到发送方的通信密钥。

(4)接收方用发送方的通信密钥对加密文件进行解密,从而得到文件的原文。这样,数字信封就保证了在网上传输的文件信息的保密性和安全性。即便加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,不可能对文件进行解密。

图9.6 数字信封工作过程

3.数字时间戳

交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。

在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳(Digital Time Stamp,DTS)服务就能提供电子文件发表时间的安全保护。DTS是网上安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档,包括三个部分:需加时间戳的文件的摘要;DTS收到文件的日期和时间;DTS的数字签名。

时间戳产生的过程:用户首先将需要加时间戳的文件用Hash编码加密形成摘要,其次将该摘要发送到DTS,DTS在加入收到文件摘要的日期和时间信息后对该文件加密(数字签名),送回用户。

书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可以作为科学家的科学发明文献的时间认证。

4.数字证书

数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限。数字证书作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的,包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于PKI的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的机构CA颁发。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。

在网上的电子交易中,如双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。

数字证书可用于电子邮件、电子交易、电子支付等各种用途。

1)数字证书的内部格式

X.509 国际标准规定了数字证书包含的以下内容:①证书拥有者的姓名;②证书拥有者的公共密钥;③公共密钥的有效期;④颁发数字证书的单位;⑤数字证书的序列号;⑥颁发数字证书单位的数字签名。

2)数字证书的类型

(1)个人证书(Personal Digital ID)。它仅为某一个用户提供凭证,以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的,并通过安全的电子邮件来进行交易操作。

(2)企业(服务器)证书(Server ID)。通常为网上的某个Web服务器提供凭证,拥有Web服务器的企业就可以用具有证书的Web站点(Site)来进行安全电子交易。有证书的Web服务器会自动将其与客户端Web浏览器通信的信息加密。

(3)一些专门的安全技术协议和整体解决方案,也会根据各自的标准向交易的各方颁发相应的数字证书,如SSL数字证书和SET数字证书等。

5.CA认证中心

在电子商务中必须解决两个问题:一个是身份验证,另一个是交易的不可抵赖性。由于交易双方互不见面,并且是一些不带有本人任何特征的数据在交换,因此有可能造成一些交易的抵赖。为解决这两个问题,就必须引入一个交易双方均信任的第三方,对买卖双方进行身份验证,以使交易的参与者确信自己确实是在与对方所说的人交易。同时,在公开密钥体系中,公开密钥的真实性鉴别也是一个重要问题。

而CA中心为用户发放的证书是一个具有该用户的公开密钥及个人信息并经证书授权中心数字签名的文件。由于CA的数字签名使得攻击者不能伪造和篡改证书,因此,证书便向接收者证实了某人或某机构对公开密钥的拥有。与其进行交易不必怀疑身份,因为对方传来的数据是带有其身份特征而且是不可否认的。在这里,各方均信任的第三方就是CA安全认证机构。

1)CA认证中心的含义

CA认证中心,又称证书授权机构,是一个负责发放和管理数字证书的第三方公正、权威机构,承担网上安全电子交易的认证服务。建立安全的CA认证中心则是电子商务的中心环节,其目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。

CA认证中心的验证方法是接收个人、商家、银行等涉及交易的实体申请数字证书,核实情况,批准或拒绝申请,颁发数字证书。除此之外,CA认证中心,还具有更新、撤销和验证证书的职能。消费者、商户和支付网关的证书应定期及时更新,以避免在长期的使用中使证书内容泄密而影响交易的安全性。一旦私有密钥被泄密,或身份信息更换或不再需要该证书,就应向认证中心申请撤销证书。证书的验证是通过分级体系来完成的,每一种证书归属于签发它的单位,通过层层认证,可达根CA。通过对证书的管理,可以检查所申请证书的状态(等待、有效、过期等),并可以废除、更新、搜索、验证证书。

(2)CA认证中心的层次结构

CA认证中心具有一定的层次结构,如图9.7所示。

从图9.7可以看出,CA由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA等不同层次构成,上一级CA负责下一级CA数字证书的申请、签发及管理工作。通过一个完整的CA认证体系,可以有效地实现对数字证书的验证。每一份数字证书都与上一级的签名证书相关联,最终通过安全认证链追溯到一个已知的可信赖的机构。由此便可以对各级数字证书的有效性进行验证。根CA的密钥由一个自签证书分配,根证书的公开密钥对所有各方公开,它是CA体系中的最高层。

图9.7 CA 层次结构

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈