个人数字证书与CA认证.doc

电子商务系列实验之四个人数字证书与CA 认证实验题目：个人数字证书与CA 认证实验目的：1、学生熟悉和掌握CA 认证的基本原理；2、让学生熟练掌握数字证书的申请和使用过程。实验原理：1、什么是数字证书？也许您对“数字证书”这一概念还很陌生，其实，数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet 上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。数字证书是由权威公正的第三方机构即CA 中心签发的，一串很长的包含有客户基本信息及CA 签字的数学编码。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA 体制。用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。2、公钥加密体制与RSA 原理根据加密密钥和解密密钥是否相同或本质上相同，即从其中一个容易推出另一个，可将现有的加密体制分为两种，即单钥加密体制和双钥加密体制。前者的加密密钥和加密密钥或者相同或者本质上相同，即从其中一个可以很容易的推出另一个，其典型代表是美国的数据加密标准（DES）；后一种加密体制中的加密密钥和解密密钥不相同，并且从其中一个很难推出另一个，因此它的加密密钥可以公开，而解密密钥可以由用户自己保存，其典型代表的RSA 体制。双钥密钥体制又叫公开密钥体制。在该体制中，加密密钥（又称公开密钥）PK 是对外公开的，加密算法E 和解密算法D 也是公开的，但解密密钥（又称秘密密钥） SK 是保密的。虽然SK 是由PK 决定的，但却不能根据PK 计算出SK 。公开密钥算法具有以下特点：（）用加密密钥PK 对明文X 加密后，再用解密密钥SK 解密即得明文，即D E X X SK PK ( ( ) = ；（）加密密钥不能用来解密，即D E X X PK PK ( ( ) ；（）在计算机上可以容易地产生成对的PK 和SK ，但从已知的PK 不可能推导出SK 。在信息传递过程中，使用对方的公开密钥对该信息进行加密可以有效排除第三人对该信息的偷窥。而实践中，双钥加密体制更多地被用于身份的验证，即数字签名。在数字签名中，发送者A 用其秘密解密密钥A SK 和解密算法D对报文X 进行加密，将运算结果D (X ) SKA传给接受者B 。B 用已知的A 的公开加密密钥A PK 和加密算法E 得出E D X X PKA SKA ( ( ) = 。由于A 的解密密钥A SK 只有A 知道，所以除A 外无人能产生密文D (X ) SKA 。这样，报文就被A 签名了。在公开密钥体制中，应用得最多的是RSA 体制。RSA 算法是由Rivest，Shamir 和Adleman于1978 年提出的，曾被ISO/TC97 的数据加密委员会SC20 推荐为公开数据加密标准。RSA 体制是根据寻求两个大素数容易，而将他们的乘积分解开则极其困难这一原理来设计的。在这一体制中，每个用户有加密密钥PK = (e, N) 和解密密钥SK = (d, N) ，用户把加密密钥PK 公开而对解密密钥中的d 保密。其中N 为两个大素数p 和q 的乘积（ p 和q 一般为100 位以上的十进制俗素数），虽然e 和d 满足一定的关系，但敌手不能根据已知的e 和N 求出d 。若用整数X 表示明文，用整数Y 表示密文， X ，Y 均小于N ，则加、解密算法为：加密：Y = X e mod N解密： X = Y d mod N即加密密钥PK = (e, N) ，解密密钥SK = (d, N) 。问题在于PK 和SK 中的每个参数如何选择？用户秘密的选择两个大素数p 和q ，计算出N = pq ，将N 公开。用户再计算出N的欧拉函数(N) = ( p 1)(q 1) ，定义(N) 为小于等于N 且与N 互素的数的个数。然后，用户从0,(N) 1 中任选一个与(N) 互素的数e 作为公开的加密指数，并计算出满足下式的ded 1mod(N)作为解密指数，从而产生了所需要的公开密钥PK 和秘密密钥SK 。RSA 的安全性在于对大数N 的分解极其困难。如果攻击者能从N 中分解出p 和q ，便能求出(N) ，从而根据公开的e 求出d 。但是大数分解很花时间，例如，用每一微秒做一次操作的计算机，分解100 位的十进制数N ，需要时间为74 年。实验步骤：、个人数字证书的申请（） 登陆广东省电子商务认证中心，，点击“个人证书栏”的“立即试用”（如图所示）。图 广东省电子商务认证中心首页（）根据系统提示，安装数字证书链，然后继续填写自己的相关信息之后，系统便会自动给你一个业务受理号及相应密码（如图所示）。图（）点击安装证书，在新页面里输入你的业务受理号与相应的密码，回车后在新页面里再次确认你的输入信息，系统将自动安装上你的数字证书并显示相应的安装结果（如图）。图（）这时，打开本机IE 浏览器，查看Internet 选项中的内容一项，点击“证书”你将看到其中关于证书的信息（如图）。图 IE 浏览器中的证书信息、证书得导入与导出前面我们已经知道了什么是数字证书，数字证书用于身份证明的原理以及获得数字证书的方法。现在我们来看看怎么把我们已经安装好的数字证书导出为一个文件保存，以及怎么把导出的数字证书的文件导入到数字标示形成数字证书。（1）导出：打开一个IE 浏览器，工具Internet 选项内容证书（如图5）。图5或者，开始设置控制面板Internet 选项内容证书（如图5）。选择一个数字证书，点击“导出”按钮，此时会弹出证书导出向导（如图6）。图6点击“下一步”，你可以选择是否将秘钥和证书一起导出(如图7)。图7因导出的证书按文件存放，故选择导出文件的格式（如图8）。图8指定证书导出后文件的文件名和路径（如图9）。图9此时显示前面你所选择的所有设置，如果觉得完全正确则点击“完成”，如有错误则点击“上一步”（如图10）。图10（2）导入：打开一个IE 浏览器，工具Internet 选项内容证书（如图11）。或者，开始设置控制面板Internet 选项内容证书（如图11）。图11点击“导入”按钮，此时会弹出证书导入向导（如图12）。图12点击“下一步”，根据向导提示选择导入证书的文件名和路径（如图13）。图13选择好以后点击“下一步”，此时为保护你的私钥需要为你导入的证书的私钥键入一个密码（如图14）。图14此时需要选择导入证书的存储区，可以由系统自动选择也可以由用户指定（如图15），系统默认该证书是用户自己的证书而存入“个人证书”之中，而如果你要导入对方的证书（这主要发生在你要利用对方证书给对方发送加密邮件的时候），则应该自己指定位置并选择“其他人”。图15此时显示前面你所选择的所有设置，如果觉得完全正确则点击“完成”，如有错误则点击“上一步”（如图16）。图163、利用数字证书对电子邮件进行数字签名和加密使用Outlook Express 可以对电子邮件进行加密和数字签名。对电子邮件进行签名需要一个属于你自己的数字证书，而要对电子邮件进行加密则需要拥有对方的数字证书。（1）配置Outlook，建立你自己的账号在Windows 的桌面上现在就能找到Outlook Express 的图标。在使用之前，我们需要先设置好收发邮件的相关信息。双击桌面上的“Outlook Express”。在我们第一次使用Outlook Express时，会自动出现“连接向导”。这里我们就在向导的指引下开始设置。第一项，“姓名”。这一内容是给收信人看的，这里你可以填写真实的姓名，也可以另取一个自己喜欢的名字，填好后，单击下一步。第二项，“电子邮件地址”。这里就填上正在使用的电子邮件地址。在办理入网手续时，ISP 曾给你一份“入网登记表”，那上面有一个电子邮件的地址，你就对照它正确地填写，如果你想使用网上提供的免费Email（比如163，sina等）这里就输入你申请的免费Email 地址（申请免费Email 时要看一下是否提供POP3 和SMTP 服务，如果提供要记下这两个服务器的地址，在下面的设置中将会用到。）完成后单击“下一步”。第三项，“电子邮件服务器名”。这里的两项内容也需要对照“入网登记表”填写，第一个栏目是“邮件接收（POP3）服务器”，这里的名称一定要与你在上一步填写的“电子邮件地址”的相应部分匹配。 （如果是用免费的Email，就输入该账号的相应服务器地址。）现在看到的是我们填写的一个范例。完成后点“下一步”。第四项，“Internet Mail 登录”。这里的“POP 帐号名”，“密码”是我们使用POP3 服务器收取邮件必须提供的，这两项你也要对照“入网登记表来填。（如果你是在公共机房上机，为了你的信箱的安全着想，最好不要选择“记住密码”）然后单击“下一步”。最后，Outlook 会祝贺我们完成了设置，只需单击“完成”，就可以开始使用Outlook了。（2）使用Outlook 发送附数字签名的电子邮件对电子邮件进行数字签名需要一个属于你自己的数字证书。如果你没有数字证书，请首先去申请属于你自己的数字证书（参见上文“个人数字证书的申请”）。在有了数字证书之后，你还必须将其导入到本机系统。检测你本机Outlook 的设置（工具选项安全数字标识），察看其是否已经导入了你的数字证书。如果没有的话，请导入你的数字证书（参见上文“数字证书的导入与导出）。当这一切都具备的时候，我们可以发送一封带数字签名的电子邮件了。单击工具栏中的“新邮件”按钮。屏幕上出现了一个新的窗口，这就是我们的信纸。然后按照通常的做法写信，最后在发信的时候点击工具栏“签名”按钮，这样你就对这封电子邮件进行了签名。事实上，发送带数字签名的电子邮件实际上发送了两个文件：一个是数字证书，另一个是已经被加过密的信件（被数字证书对应的私钥加密）。信件接受者接到这个文件后，系统会自动使用数字证书里面包含的公钥对该信件进行解密，而证书则证明了发送者的身份。当使用Outlook 接受信件时，系统还会提示你对接收到的数字证书进行信任编辑。当系统接收到不备信任的证书发来的信件的时候，系统将自动发出警告。（）使用Outlook 发送加密的电子邮件使用Outlook 发送加密的电子邮件需要拥有对方的数字证书并将其导入系统。当你接受到对方给你发的带数字签名的邮件，那么系统会自动将它的数字证书导入；如果你没有对方的数字证书，你可以到相应的CA 中心查询并下载对方的数字证书（见图）。然后，将对方数字证书导入系统便可以向对方发送加密