什么是数字证书认证?什么是数字签名?工作原理是什么?
对于构建在计算机网络基础之上的电子政务、电子商务和电子业务,最常用的身份认证手段是采用
数字证书,最常用的信息认证手段是采用数字签名。
数字证书和数字签名都是建立在公开密钥加密体制上的认证系统,它们不但可以解决通信对方身份
真实性确认,还可以解决网络通信所传递信息的不可抵赖性问题。
所谓用户的数字证书,实际上是一个经授权的证书中心签发的计算机文件,该文件包含证书拥有者
的信息和公开密钥。用户使用数字证书一方面可以用来向网络系统中的其他用户证明自己被认证的身份
,因为每份证书都有公认的权威机构签名;另一方面由于每份证书都包含证书持有者的公开密钥,其他
用户就可以使用这个公开密钥与该用户进行加密通信。
为了确保数字证书的权威性,数字证书由公认的、权威的和中立的数字证书认证中心 CA
(Certificate Authority)签发,为机构或个人在网上进行安全电子交易、安全事务处理提供身份和信用
认证。因此,数字证书认证中心CA就成为了整个网上电子交易安全的关键环节。它主要负责产生、分配
并管理所有参与网上交易的工作对象所需的身份认证数字证书。每一份数字证书都与上一级的数字签名
证书相关联,最终通过安全链追溯到一个已知的、并被广泛认为是安全、权威、足以信赖的根认证中心
。
数字证书认证机构通过在每份核发的数字证书上进行数字签名,来证实所核发的证书的真实性。在
这里仍然要使用公开密钥加密,只不过这时信息的发送者(CA)使用自己的保密密钥对所发送信息的数字
签名加密,信息的接收者为了核实信息的真实性,使用发送者的公开密钥解密并且验证数字签名。
所谓数字签名,是发送方将要传送的明文通过一种函数运算(通常为Hash运算)转换成报文摘要。不
同的明文产生不同的报文摘要。报文摘要经发送方的保密密钥(私钥)加密后生成数字签名,与明文一起
传送给接收方。接收方对收到的明文使用同样的运算重新产生报文摘要,同时使用发送方的公开密钥(公
钥)将一起发来的数字签名解密为报文摘要,然后对两个报文摘要进行比较,如图5-13所示。比较结果一
致,表示明文在传输过程中未被破坏或篡改,且确实为发送方发出(发送方不可抵赖),发送方的数字签
名有效。比较结果如不一致,表示明文已被篡改。
有了数字证书和数字签名,用户就可以放心地进行安全的网上业务活动了。首先向数字证书认证中
心CA申请一个数字证书,需要与其他用户加密通信时,就可以将包含自己公开密钥的数字证书作为身份
证明联网提交。收到他人数字证书的用户如果有疑问,可以联网到给该用户颁发证书的CA处验证,如图
5-14所示。
验证方法是将从CA处得到的且有CA数字签名的该用户数字证书与该用户直接发来的那份比较。当用
户间通过交换数字证书相互验证过彼此真实身份后,就可以使用公开密钥体系进行加密通信,并且在所
传输信息中包含数字签名。当用户A要通过网络向用户B发送加密信息时,他先对要发送的明文产生一个
数字签名,接着使用自己的保密密钥加密这个数字签名,然后,再将要发送的明文和加密的数字签名合
在一起,使用用户B数字证书中的公开密钥转换成为密文发出。用户B收到用户A发来的密文后,先使用自
己的保密密钥将其解密成为明文和加密的数字签名两部分,然后使用用户A数字证书中的公开密钥对数字
签名解密。如果签名验证通过,则证实了在本次网络通信中,对方用户的身份是真实的,传来的信息是
可靠的,对方的行为是不容事后抵赖的。
阅读(603) | 评论(0) | 转发(0) |