认证和数字签名技术
- 格式:docx
- 大小:215.23 KB
- 文档页数:8
认证和数字签名技术
前言
Internet的迅猛发展使电子商务成为商务活动的新模式。电子商务包括管理信
息MIS、电子数据交换EDI、电子订货系统EOS、商业增值网VAN等,其中EDI
成为电子商务的核心部分,是一项涉及多个环节的复杂的人机工程,网络的开放
性与共享性也导致了网络的安全性受到严重影响。如何保证网上传输的数据的安
全和交易对方的身份确认是电子商务是否得到推广的关键,可以说电子商务最关
键的问题是安全问题,而数字签名(Digital Signatures)又是电子商务安全性的
重要部分。
一、数字签名技术
1、数字签名的概念
数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成系统
上手书签名盖章的作用,以表示确认,负责,经手等。
数字签名(也称数字签字)是实现认证的重要工具,在电子商务系统中是不
可缺少的。
保证传递文件的机密性应使用加密技术,保证其完整性应使用信
息摘要技术,而保证认证性和不可否认性应使用数字签名技术。
2、数字签名的原理
其详细过程如下:
(1)发方A将原文消息M进行哈希(hash)运算,得一哈希值即消息摘要h(M);
(2)发方A用自己的私钥K1,采用非对称RSA算法,对消息摘要h(M)进行加
密[E h(M)],即得数字签名DS;
(3) 发方A把数字签名作为消息M的附件和消息M 一起发给收方B;
(4)收方B把接收到的原始消息分成M’和[E h(M)];
(5)收方B从M中计算出散列值h(M’);
(6)收方B再用发方A的双钥密码体制的公钥K2解密数字签名DS得消息摘要
h(M) ;
(7)将两个消息摘要h(M’)=h(M)进行比较,验证原文是否被修改。如果
二者相等,说明数据没有被篡改,是保密传输的,签名是真实的;否则拒绝该签
名。
这样就作到了敏感信息在数字签名的传输中不被篡改,未经认证和授权的人,
看不见原数据,起到了在数字签名传输中对敏感数据的保密作用。
3、数字签名的要求
数字签名技术是公开密钥加密技术和报文分解函数相结合的产物。与加密不同,
数字签名的目的是为了保证信息的完整性和真实性。数字签名必须保证以下三点:
(1)接受者能够核实发送者对消息的签名。
(2)发送者事后不能抵赖对消息的签名。
(3)接受者不能伪造对消息的签名。
4、数字签名的作用
数字签名可以解决下述安全鉴别问题:
(1)接收方伪造:
(2)发送者或收者否认:
(3)第三方冒充:送或接收文件;
(4)接收方篡改
5、数字签名的种类
单独数字签名的安全问题、RSA签名体制、EIGamal签名体制、盲签名、双联签
名、无可争辩签名。
(1)RSA 签名体制
它是基于求解一个大整数分解为两个大素数问题的困难性。
(2)ELGamal签名体制
它是基于求解有限域上的乘法群的离散对数问题的困难性。
(3)盲签名
一般数字签名中,总是要先知道文件内容而后才签署,这正是通常所需要
的。但有时需要某人对一个文件签名,但又不让他知道文件内容,称为盲签名。
(4)双联签名
在一次电子商务活动过程中可能同时有两个联系的消息M1和M2,要对它
们同时进行数字签名。
(5)无可争辩签名
无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。无可
争辩签名是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。适用
于某些应用,如电子出版系统,以利于对知识产权的保护。
二、认证技术
1、认证的概念
身份认证是指用数字办法确认、鉴定、认证网络上参与信息交流者或服务器
的身份。数字证书是一个担保个人、计算机系统或者组织的身份和密钥所有权的
电子文档。
2、认证的主要目的
(1)信息的真实性
验证信息的发送者是真正的,而不是冒充的。
(2)信息的完整性
验证信息在传送过程中未被篡改。
(3)不可否认性
信息的发送方(接收方)不能否认已发送(收
到)了信息。
3、认证系统与认证中心
所谓认证系统是为了使接收者或第三者能够识别和确认消息的完整性的密
码系统。
一个认证系统应满足的条件:
①接收者能够检验和证实信息的完整性;
②信息的发送者对所发送的信息具有不可否认性;
③其他人不能伪造合法的信息;
④必要时可由第三者作出仲裁。
(1)认证中心定义:CA机构,又称为证书授权中心,作为电子商务交易中受信
任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。
CA机构应包括两大部门:
一是审核授权部门(Registry Authority,RA),作为电子商务交易中受信
任的第三方,承担公钥体系中公钥的合法性检验的责任。
另一个是证书操作部门(Certificate Processor,CP),负责为已授权的申
请者制作、发放和管理证书,并承担因操作运营所产生的一切后果,包括失密和
为没有获得授权者发放证书等。
(2)认证中心的作用:认证中心在密码管理方面的作用如下:
①自身密钥的产生、存储、备份/恢复、归档和销毁。
②提供密钥生成和分发服务。
③确定客户密钥生存周期,实施密钥吊销和更新管理。
④为安全加密通信提供安全密钥管理服务。
⑤提供密钥托管和密钥恢复服务。
⑥其他密钥生成和管理,密码运算功能。
(3)认证中心的职能
认证机构的核心职能是发放和管理用户的数字证书。
认证中心必须管理它所发的所有证书:
①用户能够方便地查找各种证书,包括已经撤销的证书;
②能够根据用户请求或其他信息撤销用户的证书;
③能够根据证书的有效期自动地撤销证书;
④能够完成证书数据库的备份工作;
⑤有效地保护证书和密匙服务器的安全。特别地保证认证中心的签名密匙
不被非法使用。
CA体系示意图
三、数字证书
1、数字证书的概念
数字证书是进行安全通信的必备工具,它保证信息传输的保密性、数据完整
性、不可抵赖性、交易者身份的确定性。
数字证书就是网络通信中标志通信各方身份的信息的一系列数据,提供了一
种在Internet上验证身份的方式,其作用类似于司机的驾驶执照或日常生活中
的身份证。
2、数字证书的标准
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息及公开密
钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。
一般情况下证书还包括密钥的有效时间、发证机关(证书授权中心)的名称、该
证书的序列号等信息,证书的格式遵循ITUT X .509国际标准。
3、数字证书的类型
(1)个人证书(客户证书)
客户证书证实客户身份和密钥所有权。
①个人身份证书
个人身份证书是用来表明和验证个人在网络上身份的证书,它确保了网上交
易的操作的安全性和可靠性。个人身份证书可以存储在软盘或IC卡中。
②个人安全电子邮件证书
个人安全电子邮件证书可以确保邮件的真实性和保密性。
(2)企业证书
企业证书包括企业安全邮件证书和企业身份证书。主要用于单位安全电子事
务处理。具体应用如:安全电子邮件传送、网上公文传送、网上签约、网上招标
投标、网上办公系统等。
(3)服务器证书(站点证书)
服务器证书证实服务器的身份和公钥。
它主要用于网站交易服务器的身份识别,使得连接到服务器的用户确信服务
器的真实身份。目的是保证客户和服务器之间交易、支付时确保双方身份的真实
性、安全性、可信任性等。
(4)代码签名证书
又称代码数字证书,代表软件开发者的身份,用于对其开发的软件进行数字
签名,证明软件的合法性。
(5)信用卡身份证书
包括消费者、商户和支付网关,均符合Set协议。
4、数字证书的使用
(1)获得一个用户证书
获得电子证书的步骤如下:
①下载根证书。
②申请账号认证。
③下载安装证书。
(2)获得通信过程中验证签名和公钥的过程
步骤1:A从目录获得由X1签名的X2的证书。因为A能安全地知道X1的公
开密钥,A从它的证书中能获得X2的公开密钥,并通过证书中X1的签名来证实它。
步骤2:然后A能回到目录中得到由X2签名的B的证书。因为现在A已经
拥有一个可信的X2的公开密钥备份,因此A能验证这个签名并安全地获得B的
公开密钥。
总结
认证和数字签名技术提高了电子商务过程中的安全性,有利于电子商
务的推广和发展。这项技术已经比较成熟,现已广泛运用于电子商务的各
方面。
例如使用支付宝进行支付时就会检测电子证书确认身份,保护使用者
的安全。