《安全与支付7对称加密技术信息加密技术及数字证书》由会员分享,可在线阅读,更多相关《安全与支付7对称加密技术信息加密技术及数字证书(41页珍藏版)》请在金锄头文库上搜索。
1、密码技术及数字证书1主要内容主要内容l网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书2网络安全的四个问题网络安全的四个问题l信息保密性您的通信信息或隐私被别信息保密性您的通信信息或隐私被别人偷看了吗?人偷看了吗?l信息完整性其他人发给您的消息或者信息完整性其他人发给您的消息或者您发给其他人的消息被人篡改甚至伪造您发给其他人的消息被人篡改甚至伪造了吗?了吗?l行为不可否认行为不可否认(抵赖性抵赖性)其他人会否认他其他人会否认他给您发送的信息内容吗?给您发送的信息内容吗?l身份认证性和您通信的人是您所了解身份认证性和您通信的人是您所了解的真实的那个人吗?的真实的那个人吗?3主要
2、内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书4对称加密的原理对称加密的原理 l明文明文P(plaintext):可以理解的信息原文可以理解的信息原文l加密加密E(Encryption): 用某种方法伪装明文以隐藏真正内容的过程用某种方法伪装明文以隐藏真正内容的过程l密文密文C(Ciphertext): 经过加密后将明文变成不容理解的信息经过加密后将明文变成不容理解的信息l解密解密D(Decryption): 将密文恢复成明文的过程将密文恢复成明文的过程l加密加密/解密解密 算法算法(Algorithm) 用于加密用于加密/解密的方法解密的方法(数
3、学函数数学函数)l密钥密钥(Key):用于控制加密和解密实现的字符串用于控制加密和解密实现的字符串5 加密密钥和解密密钥相同的密码称之为对称加密。6对称加密的例子对称加密的例子 -恺撒密码恺撒密码 l传说在公元前一世纪,古罗马的恺撒大帝出于军事传说在公元前一世纪,古罗马的恺撒大帝出于军事目的发明了一种对称密码,我们称之为目的发明了一种对称密码,我们称之为恺撒密码恺撒密码。这种密码是针对这种密码是针对26 个英文字母(不区分大小写)个英文字母(不区分大小写)在字母表中的排列位置来设计的,每个字母都有一在字母表中的排列位置来设计的,每个字母都有一个固定的位置:个固定的位置:7l对这些字母作这样一个
4、变换:将每个字母变换为与对这些字母作这样一个变换:将每个字母变换为与它位置间隔为它位置间隔为5的那个字母的那个字母 现在让我们来看看这将发生什么吧。假设恺撒在一次战役中损失惨重,他需要告诉盟军自己的处境并请求支援。现在他用恺撒密码加密一条消息,IAMINDANGER(意思是我处境危险),加密后将变成什么呢?根据字母转换对照表,IAMINDANGER将被加密成NFRNSIFSLJW, 8现代对称加密标准现代对称加密标准l在国际上广泛采用的而且被证明足够安全在国际上广泛采用的而且被证明足够安全的对称密码算法有的对称密码算法有DES,AES,IDEA,RC2,RC4,RC5等,当然还有很多其它好的等
5、,当然还有很多其它好的算法。算法。lDES(data encryption standard)20世纪世纪70年代由年代由IBM公司研制的首个国际加密标公司研制的首个国际加密标准准,它打破了以往加密算法研究的保密限制它打破了以往加密算法研究的保密限制.lAES 2000年由美国商务部推荐的高级加密年由美国商务部推荐的高级加密标准标准(密钥长密钥长128位位,DES密钥长密钥长56位位)9对称加密的缺点对称加密的缺点l由于对称密码用于加密和解密的密钥是完由于对称密码用于加密和解密的密钥是完全相同的,因此,当您想和谁传递一个秘全相同的,因此,当您想和谁传递一个秘密消息时,您不得不和他事先单独找个地
6、密消息时,您不得不和他事先单独找个地方一起协商好相互间的密钥并非常小心地方一起协商好相互间的密钥并非常小心地保管好它保管好它 .l如果和如果和100个人通信,就要保管个人通信,就要保管100个密钥,个密钥,和和1000个人通信,就要保管个人通信,就要保管1000个密钥,个密钥,这绝对不是一个好主意。这个问题不解决,这绝对不是一个好主意。这个问题不解决,将极大影响密码技术在更大范围的推广使将极大影响密码技术在更大范围的推广使用。用。10公钥加密的诞生公钥加密的诞生 l1976年,美国斯坦福大学的研究生年,美国斯坦福大学的研究生Diffie和教授和教授Hellman极富想象力和创极富想象力和创造力
7、的设想,引来了密码学思想上的造力的设想,引来了密码学思想上的一场深刻变革。一场深刻变革。Diffie和和Hellman是基是基于这样一种考虑的,即用于加密和解于这样一种考虑的,即用于加密和解密的密钥是两个不同的但又相互关联密的密钥是两个不同的但又相互关联的密钥的密钥 11公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱l起初起初,人们把加解密比喻成利用钥匙给坚固人们把加解密比喻成利用钥匙给坚固的保险箱上锁开锁。这里的保险箱上锁开锁。这里带锁的保险箱带锁的保险箱好比是密码算法,可以用来保存明文文件,好比是密码算法,可以用来保存明文文件,钥匙钥匙好比是密钥,好比是密钥,将明文文件放入保险将明文文件
8、放入保险箱并用钥匙锁上箱并用钥匙锁上就是加密过程,相反地,就是加密过程,相反地,用钥匙将用钥匙将锁有文件的保险箱锁有文件的保险箱打开取出文打开取出文件就是解密过程。整个过程如果没有钥匙,件就是解密过程。整个过程如果没有钥匙,其他人即使能看到上锁的保险箱(密文),其他人即使能看到上锁的保险箱(密文),也不可能取出该文件,从而达到了保密的也不可能取出该文件,从而达到了保密的效果。效果。 12公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱l一般来说,对一个普通的锁,我们总是用一般来说,对一个普通的锁,我们总是用相同的钥匙进行上锁和开锁的相同的钥匙进行上锁和开锁的 (对称加密对称加密)l假设有一位聪
9、明绝顶的锁匠打造了这样一假设有一位聪明绝顶的锁匠打造了这样一种种“独特的锁独特的锁”,之所以说独特,是因为,之所以说独特,是因为这种锁配备有两把不同的钥匙,而且当我这种锁配备有两把不同的钥匙,而且当我们用其中一把钥匙把锁锁上时,必须而且们用其中一把钥匙把锁锁上时,必须而且只能用另外一把钥匙才能打开。只能用另外一把钥匙才能打开。(公钥加密公钥加密)13公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱lDiffie和和Hellman的想法是,我们每个人都只需要保管好的想法是,我们每个人都只需要保管好其中一把钥匙并保证它是秘密和安全的,而另一把钥匙其中一把钥匙并保证它是秘密和安全的,而另一把钥匙则需
10、要大家慷慨解囊贡献出来,并放在一个任何人都能则需要大家慷慨解囊贡献出来,并放在一个任何人都能够看到,都能够取到的地方,也就是说另一把钥匙是需够看到,都能够取到的地方,也就是说另一把钥匙是需要公开的。要公开的。l我们把上面所说的这种独特的锁称为公钥密码(算法)我们把上面所说的这种独特的锁称为公钥密码(算法)(也可称为非对称密码(算法),与锁配对的两把钥(也可称为非对称密码(算法),与锁配对的两把钥匙称为密钥,其中公开的那把钥匙称为公钥,自己保管匙称为密钥,其中公开的那把钥匙称为公钥,自己保管的那把钥匙称为私钥。用公钥把锁锁上的过程称为公钥的那把钥匙称为私钥。用公钥把锁锁上的过程称为公钥加密,用私
11、钥把锁打开的过程称为私钥解密。加密,用私钥把锁打开的过程称为私钥解密。14公钥加密公钥加密带独特锁的保险箱带独特锁的保险箱l假设假设Alice要给要给Bob发送如下一条订购信息发送如下一条订购信息 , ,Alice希望能希望能绝对保密,并只让绝对保密,并只让Bob能知道。为此,能知道。为此,Alice可把订单放入可把订单放入保险箱保险箱(这只是一个数字保险箱,而非真实保险箱)中,(这只是一个数字保险箱,而非真实保险箱)中,并用并用Bob的公钥(的公钥(Alice 总是能取到)给总是能取到)给保险箱保险箱上锁(加上锁(加密),然后通过密),然后通过Internet将将保险箱保险箱邮寄给邮寄给Bo
12、b ,只有只有Bob才能用他的私钥打开才能用他的私钥打开保险箱保险箱阅读订单,任何其他人因为阅读订单,任何其他人因为没有没有Bob的私钥而无法做到这一点。的私钥而无法做到这一点。15两种加密算法的比较两种加密算法的比较l对称密码对称密码保险箱的诞生和使用由来已久,迄今为止,保险箱的诞生和使用由来已久,迄今为止,各式各样的对称密码保险箱(算法)不断被设计、各式各样的对称密码保险箱(算法)不断被设计、被使用,目被使用,目前在国际上广泛使用的对称密码保险箱前在国际上广泛使用的对称密码保险箱(算法)具有足够的安全强度,且加解密速度非常(算法)具有足够的安全强度,且加解密速度非常快,其缺点是所有这些对称
13、密码保险箱(算法)均快,其缺点是所有这些对称密码保险箱(算法)均无一例外地需要事先协商好密钥,因此带来密钥管无一例外地需要事先协商好密钥,因此带来密钥管理上的困难;理上的困难;l公钥密码公钥密码保险箱的思想自保险箱的思想自1976年由年由Diffie和和Hellman提出来以后,在两年后的提出来以后,在两年后的1978年,才正年,才正式由美国麻省理工大学的三位知名教授式由美国麻省理工大学的三位知名教授Rivest、Shamir和和Adleman等人联合设计出来,密码学上等人联合设计出来,密码学上称为称为RSA(三人名字的第一个字母)公钥密码系(三人名字的第一个字母)公钥密码系统。统。公钥密码用
14、全新的方式解决了对称密码存在的公钥密码用全新的方式解决了对称密码存在的密钥管理难的问题,但其缺点是加密解密速度较慢密钥管理难的问题,但其缺点是加密解密速度较慢 16对称加密与公钥密码的结合使用对称加密与公钥密码的结合使用 l当您要向对方传递一个秘密消息的时候,您临时产当您要向对方传递一个秘密消息的时候,您临时产生一个对称密钥,用对称密码保险箱加密消息文件,生一个对称密钥,用对称密码保险箱加密消息文件,同时你用公钥密码保险箱加密刚才产生的对称密钥同时你用公钥密码保险箱加密刚才产生的对称密钥(因为对称密钥一般数据量很小,加密起来只需用(因为对称密钥一般数据量很小,加密起来只需用很短的时间),然后您
15、将两个保险箱同时传递给对很短的时间),然后您将两个保险箱同时传递给对方。对方可以首先用自己的私钥打开公钥密码保险方。对方可以首先用自己的私钥打开公钥密码保险箱取出对称密钥,然后用对称密钥打开对称密码保箱取出对称密钥,然后用对称密钥打开对称密码保险箱取出消息文件阅读。这种传递秘密的方式,既险箱取出消息文件阅读。这种传递秘密的方式,既克服了对称密码需要事先商量好密钥的问题,又弥克服了对称密码需要事先商量好密钥的问题,又弥补了公钥密码直接加密消息速度慢的缺点。同时,补了公钥密码直接加密消息速度慢的缺点。同时,用公钥密码保险箱安全传递对称密钥,就好比用保用公钥密码保险箱安全传递对称密钥,就好比用保密信
16、封邮寄钥匙一样,因此我们形象地称之为密信封邮寄钥匙一样,因此我们形象地称之为数数字信封字信封。 17 加密技术能帮助我们解决了前面提到的四个问题当中的第一个问题,即信息保密性问题。采用加密技术,从此我们不用再担心通信信息或隐私被他人偷看了!18主要内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书19网络安全的四个问题网络安全的四个问题l信息保密性您的通信信息或隐私被别信息保密性您的通信信息或隐私被别人偷看了吗?人偷看了吗?l信息完整性其他人发给您的消息或者信息完整性其他人发给您的消息或者您发给其他人的消息被人篡改甚至伪造您发给其他人的消息被人篡改甚至
17、伪造了吗?了吗?l行为不可否认性其他人会否认他给您行为不可否认性其他人会否认他给您发送的信息内容吗?发送的信息内容吗?l身份认证性和您通信的人是您所了解身份认证性和您通信的人是您所了解的真实的那个人吗?的真实的那个人吗?20数字摘要(信息摘要数字摘要(信息摘要数字摘要(信息摘要数字摘要(信息摘要/ / / /摘要函数)摘要函数)摘要函数)摘要函数)1)1)1)1)概念:概念:概念:概念:将所要发送的信息经过算术处理(将所要发送的信息经过算术处理(HashHash函数函数)产产生一个特征序列,这个序列是唯一的,只能由原生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。文产
18、生。产生的序列叫做信息摘要。2) 2) 性质:性质:如果改变了输入信息的任何内容,即使只有如果改变了输入信息的任何内容,即使只有一位,输出的摘要将会发生不可预测的改一位,输出的摘要将会发生不可预测的改变。变。3)3)目的:目的:目的:目的:为文件、报文或其他的分组数据产生一个为文件、报文或其他的分组数据产生一个为文件、报文或其他的分组数据产生一个为文件、报文或其他的分组数据产生一个定定定定长长长长的的的的“ “指纹指纹指纹指纹” ”(即数据)。(即数据)。(即数据)。(即数据)。4) 4) 4) 4) 用途:用途:用途:用途:报文鉴别、数字签名,但是不能用于加密数报文鉴别、数字签名,但是不能用
19、于加密数报文鉴别、数字签名,但是不能用于加密数报文鉴别、数字签名,但是不能用于加密数据。据。据。据。5) 5) 5) 5) 流行的哈希算法流行的哈希算法流行的哈希算法流行的哈希算法:MD5MD5MD5MD5、SHA1SHA1SHA1SHA1。 21Hash算法算法原文原文摘要摘要摘要摘要对比?对比?原文原文摘要摘要InternetHash算法算法发送方发送方接收方接收方信息摘要过程:信息摘要过程:22简单的数字签名和验证过程简单的数字签名和验证过程假名假名Alice要发送一个消息要发送一个消息m给给BoblAlice用其私钥对消息用其私钥对消息m加密加密,密文密文s就是就是Alice对消息对消
20、息m的签名的签名lAlice将签名及消息将签名及消息(m,s)发送给发送给BoblBob用用Alice的公开密钥对的公开密钥对s进行解密进行解密,得得到到M,如果如果M=m,则确认则确认s是是m的有效签名的有效签名, m是由是由Alice发来的且没有被篡改发来的且没有被篡改.23数字签名的特性数字签名的特性 数字签名是对数字消息进行签名数字签名是对数字消息进行签名,以防止以防止消息的冒名伪造或篡改消息的冒名伪造或篡改l可信性可信性:任何人都可以验证签名的有效性任何人都可以验证签名的有效性.l不可伪造性不可伪造性:任何其他人伪造合法签名者签任何其他人伪造合法签名者签名是很团难的名是很团难的l不可
21、篡改性不可篡改性:一旦签名的消息被篡改一旦签名的消息被篡改,任何人任何人都可以发现消息与签名之间的不一致性都可以发现消息与签名之间的不一致性l不可抵赖性不可抵赖性:签名者事后不能否认自己的签签名者事后不能否认自己的签名名24数字签名过程(数字签名过程(1 1)如何发送?如何发送?明文明文输入输入用户用户A A的私钥的私钥发送方发送方用户用户A A散列值散列值加密算法加密算法( (例如例如RSA)RSA)明文明文签名签名哈希算法哈希算法发送的信息发送的信息发送发送25用户用户A A的公钥的公钥接收接收接收方接收方验证签名验证签名约定的解密算法约定的解密算法明文明文签名签名约定的哈希算法约定的哈希
22、算法接收到的信息接收到的信息明文的明文的哈希值哈希值比较比较数字签名过程(数字签名过程(2 2)如何接收?如何接收? 26l还记得我们前面提到的四个问题吧?还记得我们前面提到的四个问题吧?数字签名数字签名是是不是能解决其中的第二和第三两个问题呢?答案是不是能解决其中的第二和第三两个问题呢?答案是肯定的。肯定的。l接下来我们只剩下第四个问题需要解决,即我怎么接下来我们只剩下第四个问题需要解决,即我怎么样才能知道和我通信的那个人就是我所了解的真实样才能知道和我通信的那个人就是我所了解的真实的那个人呢?看起来数字签名也帮我们解决了这个的那个人呢?看起来数字签名也帮我们解决了这个问题,因为我们总能够用
23、问题,因为我们总能够用Alice的公钥来验证保险的公钥来验证保险箱(尝试将其打开)是不是箱(尝试将其打开)是不是Alice发出的。但问题发出的。但问题在于公钥只是一串随机的数字,它并没有记录上在于公钥只是一串随机的数字,它并没有记录上Alice的名字,就像我们钥匙上不会记录钥匙持有的名字,就像我们钥匙上不会记录钥匙持有人的名字一样。前面我们反复提到,我们总是能取人的名字一样。前面我们反复提到,我们总是能取到到Alice的公钥,但究竟怎么取呢?我们怎么知道的公钥,但究竟怎么取呢?我们怎么知道所取到的公钥就是所取到的公钥就是Alice的呢?换句话说,我们每的呢?换句话说,我们每个人该怎样公布我们那
24、把公开的钥匙,并将钥匙和个人该怎样公布我们那把公开的钥匙,并将钥匙和我们的名字捆绑在一起呢?我们的名字捆绑在一起呢?27主要内容主要内容l网络安全问题网络安全问题l密码技术密码技术l数字签名数字签名l数字证书数字证书28网络信息时代的安全宣言网络信息时代的安全宣言 -PKI及数字证书及数字证书 l公钥基础设施,即公钥基础设施,即PKI,是通过使用公开密是通过使用公开密钥技术和数字证书来提供网络信息字全服钥技术和数字证书来提供网络信息字全服务的基础设施,务的基础设施,其最主要的任务就是要确其最主要的任务就是要确立可信赖的数字身份,并管理数字证书及立可信赖的数字身份,并管理数字证书及与数字证书相对
25、应的密钥与数字证书相对应的密钥.换句话说,我们换句话说,我们的公钥是要靠的公钥是要靠PKI来公布的,公钥与身份的来公布的,公钥与身份的绑定也要靠绑定也要靠PKI来完成。来完成。l目前,国际上已逐渐形成了一整套成熟的目前,国际上已逐渐形成了一整套成熟的PKI技术标准,建设技术标准,建设PKI这个公钥密码的基这个公钥密码的基础设施,就犹如础设施,就犹如20世纪世纪80年代建设网络的年代建设网络的基础设施一样重要。基础设施一样重要。29信任的原理信任的原理lPKI的最基本原理是互相信任。在互联网上的最基本原理是互相信任。在互联网上的安全隐患中,最难解决的就是的安全隐患中,最难解决的就是可信任的可信任
26、的关系关系,也即,也即我如何才能够被人信任?什我如何才能够被人信任?什么样的人我才可以相信?么样的人我才可以相信?的问题,因为在的问题,因为在互联网中人们彼此不直接见面,完全处于互联网中人们彼此不直接见面,完全处于一种虚拟的境界,一种虚拟的境界,在在Internet上,没人知上,没人知道你是一条狗道你是一条狗,这一,这一名言名言就是对网民虚就是对网民虚拟身份的生动写照。拟身份的生动写照。PKI目前已经成为网络目前已经成为网络信息安全的信任基础平台。信息安全的信任基础平台。30什么是认证中心(什么是认证中心(CA)?)? l在在PKI当中,认证中心(认证权威当中,认证中心(认证权威Certifi
27、cate Authority,CA)是负责创建或者证明身份的可信赖的)是负责创建或者证明身份的可信赖的权威机构。权威机构。l认证中心的权威来自于国家的授权。通常,国家授权一认证中心的权威来自于国家的授权。通常,国家授权一个第三方机构负责创建数字身份并允许其在一定范围内个第三方机构负责创建数字身份并允许其在一定范围内使用使用.l被授权的认证中心在一定范围内颁发数字证书,人们通被授权的认证中心在一定范围内颁发数字证书,人们通过在网络上彼此出示数字证书来证明各自的身份过在网络上彼此出示数字证书来证明各自的身份 l目前我们国家的认证中心是以省(直辖市)为区域来划目前我们国家的认证中心是以省(直辖市)为
28、区域来划分范围的。即国家在每个省(或省级市)都授权成立一分范围的。即国家在每个省(或省级市)都授权成立一个认证中心,由它们来负责各自省内数字证书的颁发和个认证中心,由它们来负责各自省内数字证书的颁发和管理,并维护各自省内的信任环境。管理,并维护各自省内的信任环境。 广东省数字证书认证中心广东省数字证书认证中心 31 如图所示,Alice和Bob都信任认证权威CA,并都拥有CA颁发的数字证书。当Alice和Bob要在网络上通信时,他们彼此向对方出示数字证书,当双方各自都验证对方的数字证书是有效的之后,他们便认为彼此是值得信赖的。在这里,Alice 和Bob之间的信任关系是通过第三方认证中心CA建
29、立起来的,我们称这种信任关系为第三方信任关系。32数字证书(数字证书(Digital Certificate)?l数字证书是由权威机构数字证书是由权威机构CA发行的一种权威发行的一种权威性的文档,是网络环境中的一种身份证,性的文档,是网络环境中的一种身份证,用于证明某一用户的身份以及公开密钥的用于证明某一用户的身份以及公开密钥的合法性。合法性。l数字证书绑定了公钥及其持有者的真实身数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过
30、而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。方便灵活地运用在电子商务和电子政务中。33l与身份证一样,数字证书也需要发放到用户手中。与身份证一样,数字证书也需要发放到用户手中。但由于数字证书不再是纸质的,而是一些电子数据,但由于数字证书不再是纸质的,而是一些电子数据,因此需要一定的存储介质。目前,我们采用一个叫因此需要一定的存储介质。目前,我们采用一个叫电子智能钥匙的硬件产品(类似于电子智能钥匙的硬件产品(类似于U盘)存储数字盘)存储数字证书。电子智能钥匙小巧美观,携带方便,它保存证书。电子智
31、能钥匙小巧美观,携带方便,它保存用户的数字证书及私钥并能保证其安全,用户使用用户的数字证书及私钥并能保证其安全,用户使用时,只需将电子智能钥匙插入电脑,就能方便地使时,只需将电子智能钥匙插入电脑,就能方便地使用数字证书。用数字证书。l目前数字证书的格式普遍采用的是目前数字证书的格式普遍采用的是X.509 V3国际国际标准,内容包括证书序列号、证书持有者名称、证标准,内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等。数字证书和居民身份证内容大致对应数字签名等。数字证书和居民身份证内容大致对应关系如下关系如下
32、数字证书(数字证书(Digital Certificate)?3435363738至此,至此,Alice Alice 发送文件给发送文件给BobBob 的身份认证问题可以完全解决了!的身份认证问题可以完全解决了!Thursday, August 8, 202439假如您要从名叫假如您要从名叫Alice的账户上划拨一笔款项,的账户上划拨一笔款项,怎么样才能够安全地进行呢?怎么样才能够安全地进行呢? l第一,第一, 您需要通过网络向银行出示您的数字证书;您需要通过网络向银行出示您的数字证书;l第二,您需要向银行提交您的划款请求,当然您的请求是需第二,您需要向银行提交您的划款请求,当然您的请求是需要
33、放在保险箱中并用您的私钥锁上的(因为请求中将涉及到要放在保险箱中并用您的私钥锁上的(因为请求中将涉及到账号或金额等敏感信息)。账号或金额等敏感信息)。l那么银行在收到您的数字证书及划款请求后那么银行在收到您的数字证书及划款请求后,首先,银行将确首先,银行将确信数字证书的持有人就是信数字证书的持有人就是Alice(看看数字证书中看看数字证书中“证书持有证书持有者名称者名称”一项即可一项即可);l然后银行将验证该数字证书是否是有效的,这点和验证居民然后银行将验证该数字证书是否是有效的,这点和验证居民身份证的有效性完全类似,即验证数字证书是否在有效期之身份证的有效性完全类似,即验证数字证书是否在有效
34、期之内内,是否是可信的认证中心颁发的,是否有认证中心的签名是否是可信的认证中心颁发的,是否有认证中心的签名(类似于盖章)等等;(类似于盖章)等等;l接着,银行还将用数字证书中绑定的公钥(类似于身份证上接着,银行还将用数字证书中绑定的公钥(类似于身份证上的照片)来验证您向银行提交的保险箱(里面有您的划款请的照片)来验证您向银行提交的保险箱(里面有您的划款请求),比如用公钥能打开保险箱的话,则证明保险箱就是您求),比如用公钥能打开保险箱的话,则证明保险箱就是您本人,也就是本人,也就是Alice提交的提交的(因为只有您才有锁上保险箱的私因为只有您才有锁上保险箱的私钥钥),这有点类似于比对身份证上的照
35、片和您本人,因为只有,这有点类似于比对身份证上的照片和您本人,因为只有您才能照出您自己的照片。您才能照出您自己的照片。40数字证书的应用数字证书的应用 l电子商务:网上证券,网上银行,企业电子商务:网上证券,网上银行,企业ERP(企业资源计划)系统,网络远程教(企业资源计划)系统,网络远程教育,网上购物等。育,网上购物等。l电子政务:网上税务申报,工商年检、企电子政务:网上税务申报,工商年检、企业组织代码申领、政府网上采购招标、网业组织代码申领、政府网上采购招标、网上审批和统计、企业年报、网上报关、网上审批和统计、企业年报、网上报关、网上驾证申请与变更等。上驾证申请与变更等。l个人应用:个人电子邮件安全,个人隐私个人应用:个人电子邮件安全,个人隐私保护,个人数据资源保护,个人计算机安保护,个人数据资源保护,个人计算机安全保护等。全保护等。41
