分类: 网络与安全
2008-05-10 20:23:05
数字证书又称为数字标识,是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲,数字证书就是个人或单位在互联网的身份证。
数字证书是由作为第三方的法定数字认证中心(CA)中心签发,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
1.1.1身分认证即身份识别与鉴别,就是确认实体即为自己所声明的实体,鉴别身份的真伪。如甲乙双方的认证,甲首先要验证乙的证书的真伪,当乙在网上将证书传送给甲时,甲首先要用权威机构CA的公钥解开证书上CA的数字签名,如签名通过验证,证明乙持有的证书是真的;接着甲还要验证乙身份的真伪,乙可以将自己的口令用自己的私钥进行数字签名传送给甲,甲已经从乙的证书中或从证书库中查得了乙的公钥,甲就可以用乙的公钥来验证乙用自己独有的私钥进行的数字签名。如果该签名通过验证,乙在网上的身份就确凿无疑。
1.1.2数据完整性就是确认数据没有被修改, 即数据无论是在传输或是在存储过程中经过检查确认没有被修改。数据完整性的实现主要方法是数字签名技术,它既可以提供实体认证,又可以保障被签名数据的完整性。这是因为密码哈希算法和签名算法提供的保证,哈希算法的特点是输入数据的任何变化都会引起输出数据的不可预测的极大变化;签名是用自己的私钥将该哈希值进行加密,和数据一起传送给接受方。如果敏感数据在传输和处理过程中被篡改,接受方就不会收到完整的数据签名,验证就会失败。反之,如果签名通过了验证,就证明接收方收到的是没经修改的完整性数据。
1.1.3数据保密性就是确保数据的秘密,除了指定的实体外,其他没经授权的人不能读出或看懂该数据。PKI的保密采用了“数字信封”机制,即发送方先产生一个对称密钥,并用该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,像装入一个“数字信封”里。然后,将被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,得到对称密钥,用对称密钥解开被加密的敏感数据。其他没经授权的人,因为没有拆开“数字信封”的私钥,看不见或读不懂原数据,起到了数据保密性的作用。图三也说明了数据保密性过程。
1.1.4 不可否认性是指从技术上实现保证实体对他们的行为的诚实性,即用数字签名的方法防止其对行为的否认。其中,人们更关注的是数据来源的不可否认性和接收的不可否认性,即用户不能否认敏感信息和文件不是来源于他;以及接收后的不可否认性,即用户不能否认他已接收到了敏感信息和文件。此外还有其他类型的不可否认性,传输的不可否认性、创建的不可否认性和同意的不可否认性等等。