5.2加密、数字签名和安全协议.ppt

5 2安全防范措施之一 密码技术 5 2 1数据加密技术基本概念明文 要传递的信息 密文 加密后的信息 加密 Encryption 用某种技术手段把明文进行改变以防止他人知道信息内容的过程 解密 Decryption 把密文还原为明文的过程 传统密码技术基本思路是字符替代 恺撒密码恺撒密码是单表替代密码的一种 又叫循环移位法 算法如下 b a k modn其中a表示明文字符 b表示密文字符 n为算法所涉及字符总数 k为密钥 5 2 2传统密码技术 例子明文HOWAREYOUn 26k 5加密 H 5 MOD26 M O 5 MOD26 T W 5 MOD26 B A 5 MOD26 F R 5 MOD26 W E 5 MOD26 J Y 5 MOD26 D O 5 MOD26 T U 5 MOD26 Z 密文为MTBFWJDTZ 2 多表替代加密算法 多表替代算法中密钥根据不同的位置各不相同 如K1 3K2 25 K3 18 依次对位于第一 第二 第三位的字符加密 如果明文超过密钥的长度 则密钥需要循环使用 密文为KNODQWBNM 结论 相同算法的保密程度取决于密钥的长度 密钥的长度越大 越难破解 反之则容易破解 例子 对明文HOWAREYOU进行加密的结果 H 3 MOD26 K O 25 MOD26 N W 18 MOD26 O A 3 MOD26 D R 25 MOD26 Q E 18 MOD26 W Y 3 MOD26 B O 25 MOD26 N U 18 MOD26 M 3 换位加密算法 换位加密算法不对明文的字符进行改变 只是改变它的位置 例子 明文ZJUCITYCOLLEGE 把它放到一个4X4方阵中 如表4 1所示 最后两位是任意填充的字符 加密 先从左上角的第一个字符开始从上往下读 然后依次是第二列 第三列 第四列 可以得到密文为ZIOGJTLEUYLXCCEX 解密 只要把密文竖着放入4X4的方阵中 然后横着读取即可得到明文 表4 1换位加密方阵表 5 2 3密码体制分类 按加密密钥与解密密钥是否相同 可将现有的加密体制分成两种 单钥加密体制 又称对称加密体制 和公钥加密体制 双钥加密体制 又称非对称加密体制 1 对称加密体制 这种体制的加密密钥和解密密钥相同或本质上相同 现代最有名的对称加密算法 是DES DataEncryptionStandard 算法 DES算法的优点是加密速度快 因而节省了大量的加密时间 节约了成本 DES的劣势是信息发送方和信息接受方使用的是同一密钥 那么对称加密算法最大的问题是密钥的传递可能会导致泄密 因此该算法难以满足开放式计算机网络的需求 单密钥体制存在着以下问题 密钥使用一段时间后就要更换 加密方需要使用某种秘密渠道将密钥传递给对方 而密钥在此过程中可能被泄密 网络通信时 如果网内用户都使用相同的密钥 就失去了保密的意义 但是如果网内任意两个用户通信都使用互不相同的密钥 管理量太大 难以具体实现 无法满足互不相识的人进行私人谈话的保密性要求 难以解决数字签名的认证问题 2 公钥加密体制 这种体制的加密密钥和解密密钥不同 而且从其中一个很难推出另一个 这样 加密密钥可以公开 而解密密钥由用户自己保存 典型代表是RSA 公钥加密体制具有以下优点 密钥分配简单 密钥保存数量少 可以满足互不相识的人之间进行私人谈话时保密性要求 可以完成数字签名和数字鉴别 公钥加密体制缺点算法复杂 密钥比较长 加密速度慢 5 2 4对称加密算法 对称加密 指加密和解密的密钥是相同的 又称为单密钥加密法 私钥加密算法 图4 1对称加密示意图 数据加密标准DES算法是有IBM公司研制的一种分组加密算法 它曾经是美国政府常用的算法 DES算法加密时把明文分成64位长的组 每一组分别进行加密 最后把加密后的结果合成密文 解密的时候也是如此 先分组解密然后合成明文 通常使用DES算法的密钥为64位 计算时要从中依次选取56位的子密码 对明文进行16轮的迭代运算 DES算法是公开的 尽管在破译DES方面取得了许多进展 但至今仍未找到比穷举搜索更有效的方法 5 2 5非对称加密算法 非对称加密算法在加密过程中使用一对密钥 一个密钥用于加密 另一个用来解密 如用A加密 则用B解密 反之如用B加密 则要用A解密 如4 6图所示 1非对称加密算法密钥管理机制 为了避免密钥传递导致泄密 采用公钥 私钥密码管理机制 公钥是任何人都可以得到 用来公开的 私钥是只有密钥所有者拥有和保存 是私有的密钥 经过精心设计的密码算法保证用公钥加密的密文只能用私钥来解密 同样用私钥加密的密文也只有公钥来解密 而且无论是公钥还是私钥 都不能推导出另外一个密钥 2下面是非对称加密的几个应用 1 用公钥加密用私钥解密 实现加密 图4 8非对称加密实现加密传送功能示意图 2 用私钥加密用公钥解密 可以利用这一过程确认发送者身份 图4 9非对称加密实现发送者身份确认功能示意图 图4 10既实现加密又确认发送者身份认证过程的示意图 3 用两对密钥 分别是发送者Y的私钥公钥和接收者X的私钥公钥 实现加密又确认发送者身份功能 3最常用的非对称加密算法RSA原理第一步 选择两个大素数p和q 第二步 计算n pq和z p 1 q 1 这样就得到n和z两个数 第三步 选择一个与z互质的数 令其为e 且满足e z 第四步 找一个满足eXd 1 modz 的数d n d 构成公钥 可以公开 n e 构成私钥 第五步 若用整数X表示明文 整数Y表示密文 X Y均小于n 则加解密运算为 加密 Y Xemodn解密 X Ydmodn若明文X大于n 则把X分解比n小的多个数 一般2k进行分解 然后对分解后的数据加密 两个素数p和q应舍弃 但不能泄密 1 素数就是在所有比1大的整数中 除了1和它本身以外 不再有别的约数 这种整数叫做质数 质数又叫做素数2 公约数只有1的两个数 叫做互质数 相邻的两个自然数是互质数 如15与16 3 e d 1mod N d e t 1 素数就是在所有比1大的整数中 除了1和它本身以外 不再有别的约数 这种整数叫做质数 质数又叫做素数2 公约数只有1的两个数 叫做互质数 相邻的两个自然数是互质数 如15与16 3 e d 1mod N d e t 1 RSA的安全性在于没有有效的方法分解对于一个大数 从而在已知 n d 的情况下无法获得e 同样在已知 n e 的情况下无法求得d 现在一般采用1024位或2048位的密钥 RSA的缺点是运算速度慢 因为要进行大数运算 至少要比DES慢上100倍 如果采用RSA对大信息量进行加密 可能会导致许多应用无法进行 对称加密算法DES和非对称加密算法RSA的比较如下表 图4 11运用两种加密算法以实现安全高效的加密 4 2 6数字签名和数字证书 哈希 HASH 函数和数字摘要哈希函数是一种单向函数 常用的算法有MD2 MD5 SHA 1等 它满足以下条件 已知x 可以导出y f x 这里f x 就是哈希函数 y是哈希函数的值 一般y x 且从y难以反向导出x 2 相同的x值 其y值一定相同 3 不相同的x值 哪怕只有一个位的改变 其y值必不相同 2 哈希函数的应用 对电子文档进行校验 例如一个文档在保存一段时间或传递给他人以后 如要确认文档的内容是否被修改过 只要校验前后两次的哈希值即可 3 数字摘要 数字摘要 DigitalDigest 是特指以MD5或SHA 1算法生成的128位长的哈希值 被广泛应用于数字签名中 4 数字签名 电子签名 数字签名 信息发送者先给自己将要发送的正文内容做一个数字摘要 然后用自己的私钥给这个数字摘要加密 这个加密后的数字摘要就是数字签名 随着计算机网络的发展 过去依赖手书签名的各种业务都可用这种电子化的数字签名代替 它是实现电子贸易 电子支票 电子货币 电子出版以及知识产权保护等系统安全的重要保证 图4 12加密和数字签名应用实例 1 发送方首先用哈希函数将需要传送的消息转换成报文摘要 2 发送方采用自己的私有密钥对报文摘要进行加密 形成数字签字 3 发送方把加密后的数字签字附加在要发送的报文后面 传递给接收方 4 接收方使用发送方的公有密钥对数字签字进行解密 得到发送方形成的报文摘要 5 接收方用哈希函数将接收到的报文转换成报文摘要 与发送方形成的报文摘要相比较 若相同 说明文件在传输过程中没有被破坏 5 数字时间戳 在电子商务交易文件中 时间是十分重要的信息 同书面文件类似 文件签署的日期也是防止电子文件被伪造和篡改的关键性内容 数字时间戳服务 Digita1TimeStampsever DTS 是网上电子商务安全服务项目之一 它能提供电子文件的日期和时间信息的安全保护 时间戳 TimeStamp 是一个经加密后形成的凭证文档 一般由第三方公证机构生成 它包括需加时间戳的文件的摘要 DTS收到文件的日期和时间 DTS的数字签字三个部分 4 2 7数字证书和证书中心 1 数字证书根据联合国 电子签字示范法 第一条 证书 系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录 中华人民共和国电子签名法 规定 电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录 图4 13数字证书的组成 1 1 版本号 标识证书的版本 版本1 版本2或是版本3 1 2 序列号标识证书的唯一整数 由证书颁发者分配的本证书的唯一标识符 1 3 签名用于签证书的算法标识 由对象标识符加上相关的参数组成 用于说明本证书所用的数字签名算法 例如 SHA 1和RSA的对象标识符就用来说明该数字签名是利用RSA对SHA 1杂凑加密 1 4 颁发者证书颁发者的可识别名 DN 1 5 有效期证书有效期的时间段 本字段由 NotBefore 和 NotAfter 两项组成 它们分别由UTC时间或一般的时间表示 在RFC2459中有详细的时间表示规则 1 6 主体证书拥有者的可识别名 这个字段必须是非空的 除非你在证书扩展中有别名 1 7 主体公钥信息主体的公钥 以及算法标识符 1 8 颁发者唯一标识符标识符 证书颁发者的唯一标识符 仅在版本2和版本3中有要求 属于可选项 1 9 主体唯一标识符证书拥有者的唯一标识符 仅在版本2和版本3中有要求 属于可选项 2 认证中心 1 基本概念电子认证服务提供者是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构 以下称为 电子认证服务机构 电子认证服务机构 CertificateAuthority CA 在电子商务中具有特殊的地位 它是为了从根本上保障电子商务交易活动顺利进行而设立的 主要为电子签名相关各方提供真实 可靠验证的公众服务 解决电子商务活动中交易参与各方身份 资信的认定 维护交易活动的安全 因此 我国对CA的成立规定了严格的条件 例如 CA需要具有独立的企业法人资格 有固定的工作人员和场地 注册资金不低于3000万元等 网上应用的数字证书 电子证书 是由证书中心 CertificationAuthority CA 发放的 认证机构在整个电子环节中处于至关重要的位置 它是整个信任链的起点 认证机构是开展电子商务的基础 如果认证机构不安全或发放的证书不具权威性 那么网上电子交易就无从谈起 2 证书类型目前认证机构发放的证书有两类 SSL证书和SET证书 一般而言 SSL 安全套接层 证书服务于银行对银行或企业对企业的电子商务活动 而SET 安全电子交易 证书则服务于持卡消费 网上购物 简单说 SSL证书作用是通过公开密钥证明持证人身份 而SET证书的作用是 通过公开密钥证明持证人在指定银行拥有信用卡账号 同时也证明了持证人身份 在SET标准中 定义了五种实体 持卡人 拥有信用卡的消费者 商家 在Internet上提供商品或服务的商店 支付网关 由金融机构或第三方控制 它处理持卡人购买和商家支付的请求 收单行 Acquirer 负责将持卡人的帐户中资金转入商家帐户的金融机构 发卡行 负责向持卡人发放信用卡的金融机构 涉及SET交易的有持卡人 商家和支付网关三个实体 认证机构需分别向持卡人 商家和支付网关发出持卡人证书 商家证书和支付网关证书 三者在传输信息时 要加上发方的数字签字 并用接收方的公开密钥对信息加密 实现商家无法获得持卡人的信用卡信息 银行无法获得持卡人的购物信息 同时保证商家能收到货款的SET支付的目标 3 CA的层次结构根据功能的不同 SET认证中心划分成不同的等级 不同的认证中心负责发放不同的证书 持卡人证书 商户证书 支付网关证书分别由持卡人认证中心 CCA 商户认证中心 MCA 支付网关认证中心 PCA 进行颁发 而CCA证书 MCA证书和PCA证书则由品牌认证中心 BCA 或区域性认证中心 GCA 进行颁发 BCA的证书由根认证中心 RCA 进行颁发 对于所有使用SET的实体来说 只有唯一的根CA 该根CA使用一个长2048位的密钥来签发每张品牌证书 在根证书有效期终止之外 定义了从一个根密钥转变到另一个根密钥的过程 由品牌CA或该层次结构中更低级别的CA所发放的证书 均使用长1024位的密钥进行签发 这反映了较低层次的CA所要求的较少的安全性 SET证书的验证采用如下的方法 交易双方通过出示由某CA签发的证书来证明自己的身份时 如果对签发证书的CA本身不信任 则继续验证CA的身份 以此类推 当验证到达相同的根认证中心时 就可以确信证书的有效性 图4 16SET中CA的层次结构 4 CA基本组成认证中心主要包括如下三个组成部分 1 注册服务器 RS 注册服务器是一个通过网络面向用户的系统 它包括计算机系统和功能接口部分 2 注册中心 RA 注册中心负责证书申请的审批 它通常是金融机构 如持卡人发卡行或商户的收单行 证书的审批需要制定审批的标准 3 认证中心 CA 认证中心负责证书的颁发 是被信任的部门 在证书申请被审批部门批准后 认证中心通过注册服务器将证书发放给申请者 5 认证中心的职能 1 接受证书申请 2 证书的审批 根据申请者资料进行审批 3 证书的发放 审批获准以后 CA将为申请者生成公钥 私钥密码对 然后制作完成证书并发放 电子证书可以在线发放 也可以储存在IC卡等介质中离线发放 4 证书的归档和在线核查 建立证书库 CertificationRepository CR 提供在线证书自动核查服务 5 证书的撤销 6 证书的更新 7 管理证书废止列表 CertificationRevocationList CRL 8 CA管理 CA可以分为几个层次 上一级CA负责管理下一级CA 另外 CA也会设立一些分支机构 如专门负责证书申请 审批 撤销的注册机构 RegistrationAuthority RA 提供在线核查服务的证书库 CR 等 CA还要负责自身密钥管理 证书交叉认证等 6 证书的树形验证结构在两方通信时 通过出示由某个CA签发的证书来证明自己的身份 如果对签发证书的CA本身不信任 则可验证CA的身份 依次类推 一直到公认的权威CA处 就可确信证书的有效性 SET证书正是通过信任层次来逐级验证的 每一个证书与数字化签发证书的实体的签字证书关联 沿着信任树一直到一个公认的信任组织 就可确认该证书是有效的 例如 C的证书是由名称为B的CA签发的 而B的证书又是由名称为A的CA签发的 A是权威的机构 通常称为根认证中心 RootCA 验证到了RootCA处 就可确信C的证书是合法的 参见图4 18 图4 19证书的树形验证结构 图4 14证书基本信息实例 图4 14证书详细信息实例 图4 15证书路径信息实例 3 电子商务的CA认证体系电子商务CA认证体系包括两大部分 即符合SET标准的SETCA认证体系 又叫 金融CA 体系 和基于X 509的PKICA体系 又叫 非金融CA 体系 1 SETCA1997年2月19日 由MasterCard和VISA发起成立SETCo公司 被授权作为SET根认证中心 RootCA 从SET协议中可以看出 由于采用公开密钥加密算法 认证中心 CA 就成为整个系统的安全核心 SET中CA的层次结构如图4 15所示 2 PKICAPKI PublicKeyInfrastructure 公钥基础设施 是提供公钥加密和数字签字服务的安全基础平台 目的是管理密钥和证书 PKI是创建 颁发 管理 撤消公钥证书所涉及到的所有软件 硬件的集合体 它将公开密钥技术 数字证书 证书发放机构 CA 和安全策略等安全措施整合起来 成为目前公认的在大型开放网络环境下解决信息安全问题最可行 最有效的方法 PKI是电子商务安全保障的重要基础设施之一 它具有多种功能 能够提供全方位的电子商务安全服务 图4 16是PKI的主要功能和服务的汇总 图4 17PKI的主要功能和服务 图4 18PKI体系的构成 4 带有数字签名和数字证书的加密系统安全电子商务使用的文件传输系统大都带有数字签字和数字证书 其基本流程如图4 19所示 图4 20带有数字签字和数字证书的加密系统 图4 20显示了整个文件加密传输的10个步骤 1 在发送方网站上 将要传送的信息通过哈希函数变换为预先设定长度的报文摘要 2 利用发送方的私钥给报文摘要加密 结果是数字签字 3 将数字签字和发送方的认证证书附在原始信息上打包 使用DES算法生成的对称密钥在发送方的计算机上为信息包加密 得到加密信息 4 用预先收到的接收方的公钥为对称密钥加密 得到数字信封 5 加密信息和数字信封合成一个新的信息包 通过因特网将加密信息和数字信封传到接收方的计算机上 6 用接收方的私钥解密数字信封 得到对称密钥 7 用还原的对称密钥解密加密信息 得到原始信息 数字签字和发送方的认证证书 8 用发送方公钥 置于发送方的认证证书中 解密数字签字 得到报文摘要 9 将收到的原始信息通过哈希函数变换为报文摘要 10 将第 8 步和第 9 步得到的信息摘要加以比较 以确认信息的完整性 5 认证机构在电子商务中的地位和作用在电子商务交易的撮合过程中 认证机构是提供交易双方验证的第三方机构 由一个或多个用户信任的 具有权威性质的组织实体管理 它不仅要对进行电子商务交易的买卖双方负责 还要对整个电子商务的交易秩序负责 因此 这是一个十分重要的机构 往往带有半官方的性质 在实际运作中 认证机构也可由大家都信任的一方担当 例如 在客户 商家 银行三角关系中 客户使用的是由某个银行发的信用卡或智能卡 而商家又与此银行有业务关系 有账号 在此情况下 客户和商家都信任该银行 可由该银行担当认证机构的角色 接收 处理其所提供的客户证书和商家证书的验证请求 4 2 8我国电子商务认证机构的建设 1 我国电子商务认证机构建设的基本情况自1998年5月17日我国第一家CA认证中心产生以来 目前已建成和在建中的CA认证中心已经超过100家 这些认证机构大致可以分为三类 第一类是行业主管部门建立的CA中心 如由中国人民银行牵头 组织国内12家商业银行共同组建的中国金融CA认证中心 CFCA 以及电信CA 海关CA等 第二类是地方政府部门建立的CA中心 如北京CA 上海CA等 第三类是民间资本建立的商业CA 大多和国际CA巨头合作 如天威诚信 从整体上看 我国CA机构的规模还比较小 一般投资在1500万到3000万元人民币之间 发放的证书也比较少 上海CA发放证书约60万张 中国金融CA认证中心发放证书30万张左右 天威诚信发放证书十余万张 所有认证机构基本上都还没有形成自己的盈利模式 2 我国电子认证服务机构建设中存在的问题 1 缺少行业整体规划 从国内电子认证服务机构开始建设至今 国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划 使得电子认证服务机构建设处于无序状态 各行业 各地区 民间机构按照各自的需要建立认证机构 呈现出数量多 规模小 效益差的局面 2 对电子认证服务机构运营和推广的复杂性和难度考虑不够 一些认证机构本以为一旦运营并向外提供服务 即可获得后续生存和发展的资金 而没有考虑到目前市场需求不足 应用不成熟 有的电子认证机构因后续资金不充裕 已经陷入资金危机中 经营难以为继 这些电子认证服务机构的失败反过来又影响了电子认证服务机构的信誉和用户的信心 使更多的用户继续观望 从而影响了整个电子认证服务行业的发展 3 标准规范严重滞后 目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范不一样 证书的发放和运用范围 审核方式也不尽相同 所涉及到的信息保存和披露的差别比较大 这种状况对交叉认证的实现造成了很大困难 4 技术水平偏低 存在安全隐患 从整体上看 我国电子认证服务机构技术水平偏低 存在安全隐患 国内已建立的100多家电子认证中心中 相当一部分在筹建时就带有一定的盲目性 系统建设时采用的PKI产品不够完善 电子认证系统自身安全考虑不够全面 安全强度弱 风险大 开展业务过程中又缺乏审计 监督机制促使其规范运营 3 国家级电子认证服务体系建设的构想为改变我国认证机构存在的设置混乱问题 笔者认为 必须考虑国家级电子认证服务体系的建设 从经济活动的角度出发 电子认证服务主要涉及下述几个方面的任务 1 身份认证 从我国目前情况来看 面对成千上万的网络消费者 全面实施个人身份认证尚有困难 但对于企业与企业之间的交易 即B2B的交易 身份认证非常必要 目前我国企业在国家工商部门都有登记 只要通过认证机构将这些资料汇总 即可开展企业身份认证 这项认证可由工商管理部门来做 2 资信认证 资信等级是AAA级 还是CCC级 这一点必须由银行提供证明 我国开展企业资信等级的评定已有多年历史 将这一工作网络化 即可用于电子商务交易的认证 这项认证可以由银行来做 3 税收认证 我国企业税收资料历年积累完整 可以全面反映一个企业的整体经营情况 所以 可以增加税收认证机制 以衡量一个企业整体素质的高低 这项认证可以由税务部门来做 4 外贸认证 对于外贸企业来说 由于其行业的特殊性 在信用证贸易和EDI贸易中已经实行了类似的认证制度 积累了大量的宝贵资料 可以将这部分资料整理用于电子商务交易 这项工作可以由商务部门来做 上述四个方面实际上形成了四个行业认证系统 可以把它们叫做 职能认证系统 它们是为根认证发放认证证书提供依据的 在职能认证系统上面 还需要有一个根认证系统 即国家电子商务认证中心 通管职能认证系统 为便于开展业务 国家认证中心可以在各省和直辖市设立相应的分支机构 从而形成类似于管理上直线职能制组织结构的认证系统 参见图4 20 图4 20国家电子认证服务机构组织结构设想图 国家电子商务认证中心主要承担根认证工作 这些工作包括 1 对职能认证系统和省市分认证中心进行政策指导和业务管理 2 汇总职能认证中心和省市分认证中心的数据 3 负责数字凭证的管理与签发 4 提供数字时间戳服务 5 负责使用者密码的产生与保管 对交易纠纷提供证明资料等 4 2 9数字证书的申请和在电子邮件中的使用实例 个人数字证书申请及安装目前国内有很多CA中心提供试用型数字证书 其申请过程在网上即时完成 并可以免费使用 下面提供一个比较好的站点 网证通NETCA电子认证系统 申请地址为 特别强调 注意只有安装了根证书 证书链 的计算机 才能完成后面的申请步骤和正常使用读者在CA中心申请的数字证书 2 在IE中查看数字证书 数字证书在哪里呢 微软的IE浏览器自带一个数字证书管理器 通过这个管理器我们可以查看数字证书 第一步 打开InternetExplorer 在InternetExplorer的菜单上 单击 工具 菜单中的 Internet选项 选取 内容 选项卡 点击 证书 按钮来查看信任的当前证书的列表 点击 个人 选项卡可以查看已经申请的个人数字证书 下面是申请的免费数字证书 选定要查看的个人数字证书 然后单击 查看 按钮 可以查看证书的详细信息 下面是一个数字证书的详细信息列表 下面就是在证书中所包含的元素的列表 版本 它用来区别X 509的各种连续的版本 默认值是1988版本 2 序列号 序列号是一个整数值 在发行的证书颁发机构中是唯一的 3 序列号与证书有明确联系 就像身份证号码和公民日常登记有明确联系一样 4 算法识别符 算法识别符识别证书颁发机构用来签署证书的算法 证书颁发机构使用它的私钥对每个证书进行签名 5 发行者或证书颁发机构 证书颁发机构是创建这个证书的机构 6 有效期 提供证书有效的起止日期 类似于信用卡的期限 7 主题 证书对他的身份进行验证 8 公钥信息 为证书识别的主体提供公钥和算法识别符 9 签名 证书签名覆盖了证书的所有其他字段 签名是其他字段的哈希代码 使用证书颁发机构的私钥进行加密 保证整个证书中信息的完整性 如果有人使用了证书颁发机构的公钥来解密这个哈希代码 同时计算了证书的哈希代码 而两者并不相同 那么证书的某一部分就肯定被非法更改了 3 在Outlook中设定邮件 安全电子邮件证书中包含 证书持有者的电子邮件地址 公钥及CA中心的签名 使用安全电子邮件证书可以收发加密和数字签名邮件 保证电子邮件传输中的机密性 完整性和不可否认性 确保电子邮件通信各方身份的真实性 需要注意的是 证书中的邮件地址必须同绑定的邮件帐号一致 这样就可以对自己的邮件签名和加密了 第一步打开Outlook 点击工具 帐户 Internet帐户 添加 邮件 第二步输入显示姓名 第三步输入电子邮件地址 第四步输入邮件服务器地址 第五步点击完成 新用户添加完成 第六步电子邮件与数字证书绑定 第七步安全选项卡 点击选择 选中数字证书 4 签名邮件的发送 第一步点击文件 新建 邮件 第二步点击签名 4 3 5SSL协议和SET协议 1 安全套接层协议 SecureSocketLayer SSL 简单介绍 1 Netsacap公司推出的SSL协议 2 SSL目前的版本有V2 0 V3 0 其中V2 0只支持服务器端认证 V3 0支持服务器端和客户端双向认证 3 SSL支持PKI体系 支持对称加密和非对称加密 支持ITUX 509格式的电子证书 SSL位于传输层协议 TCP 和应用层协议 HTTP 之间的会话层 为上层应用提供数据安全传输保护 SSL协议在应用层协议通信之前就已经完成加密算法 通信密钥的协商以及服务器认证工作 所以传送的数据都会被加密 从而实现通信的保密性和身份认证 SSL协议由SSL记录协议和SSL握手协议组成 SSL记录协议包括记录头和记录数据格式的规定 SSL握手协议进行通信的初始化 SSL握手协议通信原理类似图4 11 现有的SSL版本中所用到的加密算法包括RC4 RC2 IDEA和DES 哈希函数采用MD SSL认证采用X 509电子证书标准 是通过使用RSA算法进行数字签名来实现的 2 安全电子交易 SecureElectronicTransation SET 简单介绍 SET协议是为了解决用户 商家和银行之间通过信用卡支付的交易而设计的 2 SET协议包括保证支付信息的加密传输 支付信息的完整性检查 商户及持卡人的身份验证等功能 3 SET的核心技术主要有公开密钥加密 数字证书 电子签名 电子信封等 4 SET协议主要用于B2C模式的电子商务交易 即消费者持卡在网上购物与商家交易的模式 SET协议要实现的主要目标 1 保证信息在Internet上安全传输