1.数字证书基本功能 数字证书,是由证书认证机构签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。 从证书的用途来看,数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名,以保证信息完整性和行为的不可抵赖;加密证书主要用于对用户传送信息进行加密,以保证信息的机密性。以下对数字证书的基本功能进行原理性描述。 身份认证 在各应用系统中,常常需要完成对使用者的身份认证,以确定谁在使用系统,可以赋予使用者何种操作权限。身份认证技术发展至今已经有了一套成熟的技术体系,其中,利用数字证书完成身份认证是其中最安全有效的一种技术手段。 利用数字证书完成身份认证,被认证方(甲)必须先到相关数字证书运营机构申请数字证书,然后才能向应用系统认证方(乙)提交证书,完成身份认证。 通常,使用数字证书的身份认证流程如下图所示: 被认证方(甲),使用自己的签名私钥,对随机数进行加密; 被认证方(甲)将自己的签名证书和密文发送给认证方(乙); 乙验证甲所提供的签名证书的有效期、证书链,并完成黑名单检查,失败则放弃; 有效期、证书链和黑名单验证通过后,乙即使用甲的签名证书对甲所提供的密文进行解密,成功则表明可以接受由甲提交的签名证书所申明的身份。 在上述流程中,步骤3描述的是对证书本身的验证,依次分别验证有效期、证书链和黑名单,某个步骤如果验证失败,则验证流程立即终止,不必再执行下一个验证。同时,有效期、证书链和黑名单的依次验证顺序是最合理的顺序,能够让验证流程达到最佳性能。 通过步骤3的验证后,甲所提交的证书可以得到验证,但这与甲本身是否和该证书所申明的实体相等没有必然联系,甲必须表明其是这个签名证书对应的唯一私钥的拥有者。因此,当步骤4执行成功后,即该签名证书能够解密,则说明甲拥有该私钥,从而完成了对甲所申明身份的认证。 上面具体描述的是单向认证,即只有乙认证甲的身份,而甲没有认证乙的身份。单向认证不是完善的安全措施,诚实可信的用户甲可能会碰到类似“钓鱼网站”的欺骗。因此在需要高度安全的应用环境中,还需要实现双向认证。即乙也需要向甲提供其签名证书,由甲来完成上述验证流程,以确认乙的身份。如下图。 数字签名 数字签名是数字证书的重要应用功能之一,所谓数字签名是指证书用户(甲)用自己的签名私钥对原始数据的杂凑变换后所得消息摘要进行加密所得的数据。信息接收者(乙)使用信息发送者的签名证书对附在原始信息后的数字签名进行解密后获得消息摘要,并对收到的原始数据采用相同的杂凑算法计算其消息摘要,将二者进行对比,即可校验原始信息是否被篡改。数字签名可以完成对数据完整性的保护,和传送数据行为不可抵赖性的保护。 使用数字证书完成数字签名功能,需要向相关数字证书运营机构申请具备数字签名功能的数字证书,然后才能在业务过程中使用数字证书的签名功能。 通常,使用数字证书的签名和验证数字证书签名的流程如图所示: 签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要; 甲使用其签名私钥对摘要进行加密,得到密文; 甲将密文、明文和签名证书发送给签名验证方乙; 乙一方面将甲发送的密文通过甲的签名证书解密得到摘要,另一方面将明文采用相同的杂凑算法计算出摘要; 乙对比两个摘要,如果相同,则可以确认明文在传输过程中没有被更改,并且信息是由证书所申明身份的实体发送的。 如果需要确认甲的身份是否和证书所申明的身份一致,则需要执行身份认证过程,如前一节所述。 在上述流程中,签名私钥配合杂凑算法的使用,可以完成数字签名功能。在数字签名过程中可以明确数据完整性在传递过程中是否遭受破坏和数据发送行为是签名证书所申明的身份的行为,提供数据完整性和行为不可抵赖功能。数字证书和甲的身份的确认,需要通过身份认证过程明确。 数字信封 数字信封是数字证书另一个重要应用功能,其功效类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读“信件”的内容。 数字信封中采用了对称密码机制和公钥密码机制。信息发送者(甲)首先利用随机产生的对称密钥对信息进行加密,再利用接收方(乙)的公钥加密对称密钥,被公钥加密后的对称
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024