数字签名技术剖析.ppt

6.3.2安全认证技术 1、数字摘要 2、数字签名 3、数字信封和数字时间戳 4、数字证书 5、认证中心CA 1、数字摘要 采用单向散列函数Hash的方法对文件中若干重要元素进行某种变换运算得到的固定长度的摘要码。 2、数字签名 也称为电子签名，是指利用电子信息加密技术实现在网络传送信息报文时，附加一小段只有信息发送者才能产生而别人无法伪造的特殊个人数据标记，代表发送者个人身份，起到传统书面文件上手写签名或印章的作用，表示确认、负责、经手和真实作用等。 数字签名原理 一个数字签名方案一般由两部分组成：签名算法和验证算法。 将原文M通过单向散列函数算法压缩成摘要A，再用发送者的私钥加密生成数字签名；发送者同时将原文和数字签名传通过网络送给接收方，接收方用公钥解密数字签名成摘要A，并用单向散列函数算法压缩原文生成摘要A’，将摘要A和摘要A’对比。 实际上，数字摘要技术加私人密钥加密形成数字签名。 数字签名原理 双重数字签名定义 就是消息发送方对发给不同接收方的两条信息报文分别进行Hash（单向散列函数）运算，得到各自的数字摘要，然后将这两条数字摘要连接起来，再进行Hash（单向散列函数）运算，生产新的数字摘要，即双重数字摘要，最后用发送方的私人密钥对新的双重数字摘要加密，得到一个基于两条数字摘要基础上的数字签名。 双重数字签名应用： 在我们用信用卡购物时，我们作为持卡人向商户提出订购信息的同时，也给银行付款信息，以便授权银行付款，但我们不希望商户知道自己的账号的有关信息，也不希望开户行知道具体的消费内容，只需按金额贷记或借记账即可。这其实就是双重数字签名，它把需要寄出两个相关信息给接收者，接收者只能打开一个，而另一个只需转送，不能打开看其内容。这有效的保护了消费者的隐私和商家的商业机密。 基于公钥密码数字签名的种类 1、基于RSA的数字签名 2、基于椭圆曲线密码的数字签名 3、基于（求解离散对数）密码的数字签名 4、美国数字签名标准DSS 3. 数字信封和数字时间戳 数字信封：类似于普通信封，普通信封在法律的约束下保证只有收信人才能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。数字信封中采用了对称密码体制和公钥密码体制。 数字时间戳：DTS –是由专门机构提供网络安全服务项目，提供电子文件发表时间的安全保护。因特网上的“数字时间戳”是一个经过加密后形成的凭证文档。包括三部分： 1）需要时间戳的文件摘要 2）收到文件的日期和时间 3）DTS的数字签名 DTS保护的不是报文上书面签署的日期和时间，而是DTS收到摘要时的日期和时间。 4. 数字证书 1、概念：数字凭证或数字标识，是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份。 2、证书存放方式 1）使用IC卡存放 2）直接放在磁盘或自己的终端上。 3、类型 1）用途分:签名证书和加密证书 2）使用对象:分个人数字证书、单位数字证书、服务器数字证书、VPN数字证书等。 3）遵循的标准和格式分:X.509 公钥证书、PKI证书、PGP证书等。 5. 认证中心CA 1、概念：具有权威性和公正性的机构，CA认证机构，是一个实体，可以是个人、群体、部门、公司或其他实体。是证书的签发机关，是公钥基础设施PKI体系中的核心环节。 2、认证中心的结构 1）RS接收用户证书申请的证书受理者 2）RA证书发放的审核部门 3）CP证书发放的操作部门 4）CRL证书作废表 3、功能：证书发放、证书更新、证书撤销和证书验证。 身份认证技术 电子交易当中的一个问题是，如何保证你的交易伙伴就是你所期望的身份呢？如果草率地接受一份身份未经核实的客户订单，对企业来说太危险了。 1. 密码体系认证 2. 人体生理特征 电子商务安全交易协议 防火墙用来保护内部网，VPN也是保护内部网信息传输的安全，但这些内部网的信息都要通过公用网， 目前国际上流行的电子商务所采用的协议主要包括： （1）安全超文本传输协议（S-HTTP）：依靠密钥对的加密，保障Web站点间交易信息传输的安全性。 （2）安全套接层协议（SSL）：提供加密、认证服务和报文完整性。 （3）安全交易技术协议（STT）：将认证和解密在浏览器中分离开，用以提高安全控制能力。 （4）安全电子交易协议（SET）：涵盖了信用卡在电子商务交易中的交易协定、必威体育官网网址信息、资料完整以及数字认证、数字签名等。 安全套接层协议（SSL） SSL（Secure Socket Layer，即安全套接层协议）是Netscape Communication公司推出在网络传输层之上提供的一种基于RSA和必威体育官网网址密钥的用于浏览器和Web服务器之间的安全连接技术。 1. SSL协议提供的服务 2. SSL协议的工作