簡介
CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能僞造和篡改證書。
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識别用戶身份,并對用戶證書進行簽名,以确保證書持有者的身份和公鑰的擁有權。
CA也擁有一個證書(内含公鑰)和私鑰。網上的公衆用戶通過驗證CA的簽字從而信任CA,任何人都可以得到CA的證書(含公鑰),用以驗證它所簽發的證書。
如果用戶想得到一份屬于自己的證書,他應先向CA提出申請。在CA判明申請者的身份後,便為他分配一個公鑰,并且CA将該公鑰與申請者的身份信息綁在一起,并為之簽字後,便形成證書發給申請者。
如果一個用戶想鑒别另一個證書的真僞,他就用CA的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發并管理符合國内、國際安全電子交易協議标準的電子商務安全證,并負責管理所有參與網上交易的個體所需的數字證書,因此是安全電子交易的核心環節。
證書
證書實際是由證書簽證機關(CA)簽發的對用戶的公鑰的認證。
證書的内容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509國際标準。
加密:
我們将文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
解密:
我們将密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,方法如下:
信息發送者用其私鑰對從所傳報文中提取出的特征數據(或稱數字指紋)進行RSA算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也确保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用發送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數(HASH函數)生成的。對這些HASH函數的特殊要求是:
1.接受的輸入報文數據沒有長度限制;
2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
3.從報文能方便地算出摘要;
4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
5.難以生成兩個不同的報文具有相同的摘要。
驗證
收方在收到信息後用如下的步驟驗證您的簽名:
使用自己的私鑰将信息轉為明文;
使用發信方的公鑰從數字簽名部分得到原摘要;
收方對您所發送的源信息進行hash運算,也産生一個摘要;
收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要内容不符,會說明什麼原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者發送的信息,信息在傳輸過程中已經遭到破壞或篡改。
作用:
保密性-隻有收件人才能閱讀信息。
認證性-确認信息發送者的身份。
完整性-信息在傳遞過程中不會被篡改。
不可抵賴性-發送者不能否認已發送的信息。
數字證書
數字證書為實現雙方安全通信提供了電子認證。在因特網、公司内部網或外部網中,使用數字證書實現身份識别和電子信息加密。數字證書中含有公鑰對所有者的識别信息,通過驗證識别信息的真僞實現對證書持有者身份的認證。
