最近要做這方面的工作,收集點(diǎn)資料,理解一下
何謂數(shù)字證書(shū)?
數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)認(rèn)證中心(CA)數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的數(shù)據(jù)文件。認(rèn)證中心的數(shù)字簽名可以確保證書(shū)信息的真實(shí)性,用戶公鑰信息可以保證數(shù)字信息傳輸?shù)耐暾裕脩舻臄?shù)字簽名可以保證數(shù)字信息的不可否認(rèn)性。
數(shù)字證書(shū)是各類終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明,在電子交易的各個(gè)環(huán)節(jié),交易的各方都需驗(yàn)證對(duì)方數(shù)字證書(shū)的有效性,從而解決相互間的信任問(wèn)題。
認(rèn)證中心(CA)作為權(quán)威的、可信賴的、公正的第三方機(jī)構(gòu),專門負(fù)責(zé)為各種認(rèn)證需求提供數(shù)字證書(shū)服務(wù)。認(rèn)證中心頒發(fā)的數(shù)字證書(shū)均遵循X.509 V3標(biāo)準(zhǔn)。X.509標(biāo)準(zhǔn)在編排公共密鑰密碼格式方面已被廣為接受。
數(shù)字證書(shū)的功能主要包括:身份驗(yàn)證、信息傳輸安全、信息保密性(存儲(chǔ)與交易)、信息完整性、交易的不可否認(rèn)性。
數(shù)字安全證書(shū)的工作流程
如果客戶A想和銀行B通信,他首先必須從數(shù)據(jù)庫(kù)中取得銀行B的證書(shū),然后對(duì)它進(jìn)行驗(yàn)證。如果他們使用相同的CA(證書(shū)認(rèn)證中心),事情就很簡(jiǎn)單,客戶A只需驗(yàn)證銀行B證書(shū)上CA的簽名。如果他們使用不同的CA,問(wèn)題就較為復(fù)雜。客戶A必須從CA的樹(shù)形結(jié)構(gòu)底部開(kāi)始,從底層CA往上層CA查詢,一直追蹤到同一個(gè)CA為止,找出共同的信任CA。目前個(gè)人獲取網(wǎng)上銀行安全證書(shū)的途徑都是通過(guò)銀行申請(qǐng),所以雙方肯定采用同一證書(shū)認(rèn)證中心頒發(fā)的證書(shū)。
現(xiàn)在假設(shè)客戶A向銀行B傳送數(shù)字信息,為了保證信息傳送的真實(shí)性、完整性和不可否認(rèn)性,需要對(duì)要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名,其傳送過(guò)程如下:
(1)客戶A準(zhǔn)備好要傳送的數(shù)字信息(明文)。
(2)客戶A對(duì)數(shù)字信息進(jìn)行哈希(hash)運(yùn)算,得到一個(gè)信息摘要。
3)客戶A用自己的私鑰(SK)對(duì)信息摘要進(jìn)行加密得到客戶A的數(shù)字簽名,并將其附在數(shù)字信息上。
4)客戶A隨機(jī)產(chǎn)生一個(gè)加密密鑰(DES密鑰),并用此密鑰對(duì)要發(fā)送的信息進(jìn)行加密,形成密文。
5)客戶A用雙方共有的公鑰(PK)對(duì)剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密,將加密后的DES密鑰連同密文一起傳送給乙。
6)銀行B收到客戶A傳送過(guò)來(lái)的密文和加過(guò)密的DES密鑰,先用自己的私鑰(SK)對(duì)加密的DES密鑰進(jìn)行解密,得到DES密鑰。
7)銀行B然后用DES密鑰對(duì)收到的密文進(jìn)行解密,得到明文的數(shù)字信息,然后將DES密鑰拋棄(即DES密鑰作廢)。
8)銀行B用雙方共有的公鑰(PK)對(duì)客戶A的數(shù)字簽名進(jìn)行解密,得到信息摘要。銀行B用相同的hash算法對(duì)收到的明文再進(jìn)行一次hash運(yùn)算,得到一個(gè)新的信息摘要。
9)銀行B將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較,如果一致,說(shuō)明收到的信息沒(méi)有被修改過(guò)。
MSN:
posted on 2008-01-22 10:50
kylixlu 閱讀(2254)
評(píng)論(3) 編輯 收藏 所屬分類:
Others