网上银行数字证书原理

1.加密算法

对称加密算法：
      使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密。
      在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。

公钥加密算法：
      即非对称加密算法。加解密的速度相对于对称加密算法来说要慢得多，可能慢1000倍。
      使用最广泛的是RSA算法，Elgamal是另一种常用的非对称加密算法。

AES算法
      AES算法基于排列和置换运算。排列是对数据重新进行安排，置换是将一个数据单元替换为另一个。AES使用几种不同的方法来执行排列和置换运算。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥，并且用128位（16字节）分组加密和解密数据。与公共密钥加密使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换和替换输入数据。
AES和3DES比较

AES 3DES
算法类型（数据加密） 对称block密码 对称feistel密码
密钥大小 128、192、256位 112位或168位
速度 高 低
解密时间（建设机器每秒尝试255个密钥） 1490000亿年 46亿年
资源消耗 低 中
NIST标准编号 无 FIPS 46-3

RSA算法：
      n是两个大质数p、q的积，n的二进制表示时所占用的位数，就是所谓的密钥长度。
      随即指定e1为私匙。(e2*e1)mod((p-1)*(q-1))=1，可以确定公钥。(n及e1),(n及e2)就是密钥对。
      RSA加解密的算法完全相同,设A为明文，B为密文，则：A=B^e1 mod n；B=A^e2 mod n；e1和e2可以互换使用。
      即便知道明文、密文、公匙，也无法算出私匙（计算需要大约1千年）。
      发送方用私匙进行加密；接收方用公钥进行解密。

实例：
商户客户模型=公钥加密算法：
      商户可以公开其公钥，而保留其私钥。
      购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。

2.数字证书,数字签名

数字签名：
      将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。
      在数学上保证:只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
      将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发送给接收者，而产生的报文即称数字签名。
      数字签名对应于唯一的报文。
      接收方只能用发送方的公钥解密数字签名，再用同样的HASH算法对报文计算摘要值，然后对比。

数字证书：
      数字证书的格式：内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。
      数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证（对拥有数字证书一方而言）。

3. 网上银行数字证书原理