PKI基礎(chǔ)之?dāng)?shù)字證書

數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方證書的有效性，從而解決相互間的信任問題。證書是一個經(jīng)證書認(rèn)證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性；加密證書主要用于對用戶傳送信息進(jìn)行加密，以保證信息的真實性和完整性。

簡單的說，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機(jī)構(gòu)的數(shù)字簽名可以確保證書信息的真實性。證書格式及證書內(nèi)容遵循X.509標(biāo)準(zhǔn)。

PKI基礎(chǔ)之?dāng)?shù)字證書的應(yīng)用

現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實性、完整性和不可否認(rèn)性，需要對要傳送的信息進(jìn)行數(shù)字加密和數(shù)字簽名，其傳送過程如下：

（1） 甲準(zhǔn)備好要傳送的數(shù)字信息（明文）。

（2） 甲對數(shù)字信息進(jìn)行哈希（hash）運算，得到一個信息摘要。

（3） 甲用自己的私鑰（SK）對信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。

（4） 甲隨機(jī)產(chǎn)生一個加密密鑰（DES密鑰），并用此密鑰對要發(fā)送的信息進(jìn)行加密，形成密文。

（5） 甲用乙的公鑰（PK）對剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的DES密鑰連同密文一起傳送給乙。

（6） 乙收到甲傳送過來的密文和加過密的DES密鑰，先用自己的私鑰（SK）對加密的DES密鑰進(jìn)行解密，得到DES密鑰。

（7） 乙然后用DES密鑰對收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。

（8） 乙用甲的公鑰（PK）對甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。

（9） 乙用相同的hash算法對收到的明文再進(jìn)行一次hash運算，得到一個新的信息摘要。

（10） 乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。

【編輯推薦】

1. PKI基礎(chǔ)內(nèi)容介紹（1）
2. PKI基礎(chǔ)內(nèi)容介紹（2）
3. PKI基礎(chǔ)內(nèi)容介紹（3）
4. PKI基礎(chǔ)內(nèi)容介紹（5）
5. PKI基礎(chǔ)內(nèi)容介紹（6）