PKI基礎內容介紹(4)
PKI基礎之數字證書
數字證書是各類實體(持卡人/個人、商戶/企業、網關/銀行等)在網上進行信息交流及商務活動的身份證明,在電子交易的各個環節,交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題。證書是一個經證書認證中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。
從證書的用途來看,數字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進行簽名,以保證信息的不可否認性;加密證書主要用于對用戶傳送信息進行加密,以保證信息的真實性和完整性。
簡單的說,數字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構數字簽名的數據。身份驗證機構的數字簽名可以確保證書信息的真實性。證書格式及證書內容遵循X.509標準。
PKI基礎之數字證書的應用
現有持證人甲向持證人乙傳送數字信息,為了保證信息傳送的真實性、完整性和不可否認性,需要對要傳送的信息進行數字加密和數字簽名,其傳送過程如下:
(1) 甲準備好要傳送的數字信息(明文)。
(2) 甲對數字信息進行哈希(hash)運算,得到一個信息摘要。
(3) 甲用自己的私鑰(SK)對信息摘要進行加密得到甲的數字簽名,并將其附在數字信息上。
(4) 甲隨機產生一個加密密鑰(DES密鑰),并用此密鑰對要發送的信息進行加密,形成密文。
(5) 甲用乙的公鑰(PK)對剛才隨機產生的加密密鑰進行加密,將加密后的DES密鑰連同密文一起傳送給乙。
(6) 乙收到甲傳送過來的密文和加過密的DES密鑰,先用自己的私鑰(SK)對加密的DES密鑰進行解密,得到DES密鑰。
(7) 乙然后用DES密鑰對收到的密文進行解密,得到明文的數字信息,然后將DES密鑰拋棄(即DES密鑰作廢)。
(8) 乙用甲的公鑰(PK)對甲的數字簽名進行解密,得到信息摘要。
(9) 乙用相同的hash算法對收到的明文再進行一次hash運算,得到一個新的信息摘要。
(10) 乙將收到的信息摘要和新產生的信息摘要進行比較,如果一致,說明收到的信息沒有被修改過。
【編輯推薦】
