1、數(shù)字簽名與數(shù)字證書數(shù)字簽名與數(shù)字證書學(xué)習(xí)要點：學(xué)習(xí)要點：l了解數(shù)字簽名產(chǎn)生的背景了解數(shù)字簽名產(chǎn)生的背景l(fā)了解數(shù)字簽名的基本要求了解數(shù)字簽名的基本要求l了解數(shù)字簽名方案了解數(shù)字簽名方案l了解數(shù)字簽名標(biāo)準(zhǔn)了解數(shù)字簽名標(biāo)準(zhǔn)DSS數(shù)字簽名問題l 假定A發(fā)送一個認證的信息給B，雙方之間的爭議可能有多種形式：B偽造一個不同的消息，但聲稱是從A收到的。A可以否認發(fā)過該消息，B無法證明A確實發(fā)了該消息。l 例如：電子交易中改大金額；股票交易指令虧損后抵賴。數(shù)字簽名的含義和目的l是手寫簽名的一種電子模擬l對數(shù)字對象的合法性、真實性進行標(biāo)記l提供簽名者的承諾 數(shù)字簽名的特殊性數(shù)字簽名的特殊性l 相應(yīng)的手寫簽名與被

2、簽名文檔使用共同的物理載體（不可分割性）l 手寫簽名能夠反映簽名者的個性特征（獨特性 ）l 可以任意分割、復(fù)制而不被察覺l 數(shù)字信息本身沒有個性特征l 很容易被偽造和重用，完全達不到簽名的目的l 傳統(tǒng)手寫簽名的驗證具有一定程度的主觀性和模糊性數(shù)字簽名的要求數(shù)字簽名的要求 l 接收者能夠核實發(fā)送者對報文的簽名l 發(fā)送者事后不能抵賴對報文的簽名l 接收者不能偽造對報文的簽名l 必須能夠認證簽名時刻的內(nèi)容l 簽名必須能夠被第三方驗證，以解決爭議 數(shù)字簽名設(shè)計應(yīng)考慮l 簽名是對文檔的一種映射，簽名與文檔具有一一對應(yīng)關(guān)系（精確性）l 簽名應(yīng)基于簽名者的唯一性特征，從而確定簽名的不可偽造性和不可否認性（唯

3、一性）l 簽名應(yīng)該具有時間特征，防止簽名的重復(fù)使用（時效性）數(shù)字簽名實現(xiàn)方法l用非對稱加密算法（RSA）進行數(shù)字簽名。（書本47頁）4.2.2 數(shù)字證書l1數(shù)字證書的概念 l數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間，發(fā)證機關(guān)(證書授權(quán)中心)的名稱，該證書的序列號等信息，證書的格式遵循ITUT X.509國際標(biāo)準(zhǔn) 4.2.2 數(shù)字證書l 一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容： l 證書的版本信息； l 證書的序列號，每個證書都有一個唯一的證書序列號；

4、l 證書所使用的簽名算法； l 證書的發(fā)行機構(gòu)名稱，命名規(guī)則一般采用X.500格式； l 證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049； l 證書所有人的名稱，命名規(guī)則一般采用X.500格式； l 證書所有人的公開密鑰； l 證書發(fā)行者對證書的簽名。 4.2.2 數(shù)字證書l2數(shù)字證書的作用 l（1）信息的保密性 l（2）信息的完整性 l（3）信息的不可否認性 l（4）交易者身份的確定性 4.2.2 數(shù)字證書l3數(shù)字證書的原理 l數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行

5、解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了 4.2.2 數(shù)字證書l4數(shù)字證書的用途 l數(shù)字證書可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動和行政作業(yè)活動，包括支付型和非支付型電子商務(wù)活動，其應(yīng)用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng) 4.2.2 數(shù)字證書l 5數(shù)字證書的申請流程4.2.3 認證中心l C

6、A(Certificate Authority)機構(gòu)，又稱為認證中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任 1行業(yè)性認證中心（1）中國金融認證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認證中心（1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認證中心 （3）北京數(shù)字證書認證中心 3.商業(yè)性認證中心4.2.3 認證中心l CA(Certificate Authority)機構(gòu)，又稱為認證中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任 1行業(yè)性認證中心（1）中國金融認證中心 （2）中國電子郵政安全證書管理中心 2區(qū)域性認證中心（1）上海市電子商務(wù)安全證書管理中心 （2）廣東省電子商務(wù)認證中心 （3）北京數(shù)字證書認證中心 3.商業(yè)性認證中心4.1.1 PKI技術(shù)的含義lPKI是“Public Key Infrastructure”的縮寫，意為“公鑰基礎(chǔ)設(shè)施”。PKI技術(shù)就是利用公鑰理論和技術(shù)建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。 4.1.2 PKI的組成及功能lPKI系統(tǒng)由五個基本部分組成：證書申請者（Subscriber）、注冊機構(gòu)（Registration Authority，RA）、認證中心（Certificate Authority，CA）