`
huntersp
  • 浏览: 41079 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

数字证书简介和理解

阅读更多
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authorit y)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权 中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一 个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有 效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循 ITUT X.509国际标准。
一个标准的X.509数字证书包含以下一些内容:
  证书的版本信息;
  证书的序列号,每个证书都有一个唯一的证书序列号;
  证书所使用的签名算法;
  证书的发行机构名称,命名规则一般采用X.500格式;
  证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
  证书所有人的名称,命名规则一般采用X.500格式;
  证书所有人的公开密钥;
  证书发行者对证书的签名。

二.为什么要用数字证书
基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买 方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使 顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务 系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要 素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份 的确定性。

1、信息的保密性
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能 被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信 息传播中一般均有加密的要求。
2、交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的 身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺 诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展 服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动, 都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码 是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司 可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款 问题以及确认订货和订货收据信息等。
3、不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利 益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认 受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子 交易通信过程的各个环节都必须是不可否认的。
4、不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后, 发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益, 那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以 保障交易的严肃和公正。
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面 的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交 易双方身份的真实性。国际上已经有比较成熟的安全解决方案, 那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采 用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。

三.数字证书原理介绍
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用 自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加 密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥 进行解密。

用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字签名具体做法是:
(1)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
(2)将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。
(3)接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。 

四.在具体过程中,有2种操作:1.签名操作 2.解密操作。签名操作是发送方用私钥进行签名,接受方用发送方证书来验证签名;加密操作则是用接受方的证书进行加密,接受方用自己的私钥进行解密。 因此,如果说数字证书是电子商务应用者的网上数字身份证话,那么证书相应的私钥则可以说是用户的私章或公章。

  本人有幸负责过邮政网关与邮政ca服务器的通讯工作,对数字证书有自己的经历,谈谈双方验证的过程。
  1.首先生成原始信息,也就是原始报文,是双方约定的一个格式。

  2.对信息进行hash算法(附录1),用的是md5算法,这个是公开的一个算法。目的是为了生成一个摘要值,即hash值,这里简称为数字指纹。

  3.用私钥对数字指纹进行签名,然后连同原报文一起发送给ca服务器,这个原串+签名串合起来的数据,为整个发送数据。

  4.验证签名,先得到原串和签名串,用证书的公钥对签名串进行解密,即得到数字指纹,再对原串进行相同的hash算法,比较2个指纹,即验签。该验证过程包括2个,首先还原数字指纹,如果私钥不正确,或者原信息在传输过程中被篡改,则还原出来的数字指纹不能和新生成的数字指纹相匹配,从而保证了传输过程的安全性。

  5.ca服务器回应网关的时候,也是拿自己的私钥签名,网关用公钥验签。

  附录1:在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数(HASH函数) 生成的。对这些HASH函数的特殊要求是:

1.接受的输入报文数据没有长度限制;

2.对任何输入报文数据生成固定长度的摘要(数字指纹)输出;

3.从报文能方便地算出摘要;

4.难以对指定的摘要生成一个报文,而由该报文可以算出该指定的摘要;

5.难以生成两个不同的报文具有相同的摘要。

分享到:
评论

相关推荐

    通俗易懂的数字证书原理

    ### 数字证书原理详解 #### 一、基础知识 在深入探讨数字证书之前,我们需要了解一些基本的概念和技术背景,包括公钥...通过学习这些内容,读者可以更好地理解和掌握数字证书的原理及其在网络通信安全中的重要作用。

    数字证书的编码

    ### 数字证书的编码——深入理解X.509与ASN.1 #### 一、X.509数字证书概述 X.509是一种国际标准,用于定义数字证书和公钥基础设施(PKI)中的证书撤销列表(CRL)。数字证书在网络安全中扮演着极其重要的角色,它通过...

    数字证书原理,公钥私钥加密原理1

    【数字证书原理与公钥私钥加密概述】 在信息技术领域,数据安全至关重要,尤其是在网络通信中。为了确保信息不被未经授权的...理解这些基本概念有助于我们更好地理解和应对网络安全挑战,保护个人和企业的信息安全。

    GM-T 0118-2022 浏览器数字证书应用接口规范

    数字证书简介** 数字证书是一种用于验证网络通信双方身份的电子文档。它由认证机构(CA)签发,包含了公钥及其所有者的信息,并通过数字签名技术保证了其真实性和完整性。数字证书在浏览器中的应用主要体现在HTTPS...

    数字证书格式及应用201910.pptx

    国际上,数字证书遵循RFC2459标准,即Internet X.509公钥基础设施证书和CRL简介,而在国内也有相应的509证书标准。证书的编码规则主要包括BER(Basic Encoding Rules)、CER(Common Encoding Rules)以及DER...

    Kubernetes数字证书体系浅析.docx

    鉴于此,本文旨在通过对K8S内部证书体系的深度剖析,揭示这些证书之间的复杂关系及其协同工作机制,从而帮助读者更好地理解和掌握这一关键领域。 #### HTTPS的安全体系 在深入了解K8S证书体系之前,我们首先需要...

    介绍LDAP.rar_ldap_数字证书

    **LDAP简介** Lightweight Directory Access Protocol(轻量...通过理解和应用LDAP,企业可以提高信息安全、简化管理流程,并实现更高效的数据访问。在实践中,应充分考虑LDAP的特性和优势,以适应不断变化的IT环境。

    PKI、CA、SSL证书详解

    ### PKI、CA、SSL证书详解 #### 一、PKI与CA概述 **1.1 PKI(Public Key ...通过这些知识的学习,我们可以更好地理解公钥基础设施的工作原理、数字证书的管理和使用,以及如何通过OpenSSL等工具实现安全通信。

    android应用从零开始到发布

    数字证书的概念和Java的数字证书机制是理解Android签名过程的基础。Android使用Java的密钥库工具(如Keytool)和签名工具(如Jarsigner)来生成数字证书并给APK签名。 7. 数字签名的目的与重要性 数字签名的主要...

    公钥基础设施 kpi 简介

    公钥基础设施(Public Key Infrastructure, ...深入理解PKI的原理和KPIs有助于企业构建高效且安全的数字证书管理体系,从而保护网络通信的隐私和完整性。定期评估和优化这些指标能够提升整体网络安全,降低潜在风险。

    [PKI]常见证书格式和转换

    ### 常见证书格式与转换详解 #### PKI与证书格式概述 公钥基础设施(Public Key Infrastructure,简称PKI)是...这不仅有助于提高网络安全管理工作的效率,还能够帮助我们更好地理解和应对复杂的网络环境带来的挑战。

    管理部归集业务办理简介.docx

    《管理部归集业务办理简介》 管理部归集业务是企业日常运营中的重要环节,涉及到员工的社保、公积金等关键事项的处理。本文将对这一领域的几个...正确理解和执行这些业务对于保障员工权益和维护企业合规经营至关重要。

    CA.rar_CA

    CA系统的主要任务是验证并签发数字证书,确保网络通信的安全性和数据的完整性。在互联网环境中,CA扮演着信任中介的角色,为用户提供可靠的身份认证服务。 **CA系统的工作原理** 1. **数字证书**:CA系统签发的...

    OpenSSL 简介

    这个库被广泛应用于网络服务器,用于实现安全的数据传输。下面将详细介绍OpenSSL的各个方面。 **一、OpenSSL 的历史与应用...理解和掌握OpenSSL的使用,对于任何涉及网络通信安全的开发者或管理员来说都是至关重要的。

    山东省中小学信息技术等级证书考试系统简介.docx

    该模拟考试系统提供16套模拟试题,前8套配备视频演示,便于学生理解和学习。自发布以来,已助力大量考生顺利取得高分通过考试。如有购买需求,可联系指定电话。 系统的安装过程相对简单,用户需先启动计算机,进入...

    openssl 简介(中文)

    **OpenSSL 简介** OpenSSL 是一个强大的安全套接...无论是对于开发者还是系统管理员,理解和掌握 OpenSSL 的基本概念和使用方法都是非常必要的。通过学习和实践,我们可以更好地应对网络安全挑战,保护数据不受侵犯。

    Cisco PKI Uncovered

    ### Cisco PKI Uncovered...通过对PKI的理解和应用,我们可以有效地保护数据的安全性和隐私,同时也能提升网络通信的可靠性和效率。未来,随着新技术的不断涌现,PKI的应用场景将会更加广泛,其重要性也将进一步凸显。

    数字媒体和网站开发对网站的介绍,开发的流程

    - "内容简介.doc":概述了数字媒体和网站开发的主要内容和目标。 - "前言.doc":可能介绍了作者的背景、研究动机或对主题的初步探讨。 - "第五章.doc"和"第四章.doc":具体章节内容,详细讲解了开发流程的某个阶段或...

    数字认证与鉴别课程华中科技大学

    课程内容反映了当前网络安全领域的关键问题和最新技术,对于理解和应对日益复杂的网络安全挑战具有重要意义。通过学习这门课程,学生将具备评估和实施安全策略的能力,为未来从事信息安全相关工作打下坚实基础。

    ssl-demo.zip

    教程博客地址提供的详细步骤可以帮助你理解和操作这些过程。在实际应用中,为了提高安全性,应选择受信任的CA签发的证书,并确保证书及时更新,避免过期。 总结,"ssl-demo.zip"包含了HTTPS加密通信的关键概念和...

Global site tag (gtag.js) - Google Analytics