【正文】 開密鑰來對報文附加的數(shù)字簽名進(jìn)行解密得到原散列值。如果這兩個散列值相同，則接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。通過數(shù)字簽名能夠?qū)崿F(xiàn)對原始報文的鑒別。 151 (2) 數(shù)字簽名過程 ?只有加入數(shù)字簽名及驗(yàn)證才能真正實(shí)現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸。加入數(shù)字簽名和驗(yàn)證的文件傳輸過程如下（見下圖） ? 發(fā)送方首先用 Hash函數(shù)從原報文中得到數(shù)字簽名，然后采用公開密鑰算法用自己的私有密鑰對數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的報文后面； 152 單向函數(shù) 明文 信息 摘要 簽名后的 信息摘要 密文 簽名后的 信息摘要 用 A的私 鑰簽名 發(fā)送方 A 明文 信息 摘要 簽名后的 信息摘要 密文 簽名后的 信息摘要 用 A的公 鑰驗(yàn)證 接收方 B 信息 摘要 單向函數(shù) 比 較 數(shù)字簽名和驗(yàn)證過程 153 ? 發(fā)送方選擇一個會話密鑰對原報文進(jìn)行加密，并把加密后的文件通過網(wǎng)絡(luò)傳輸?shù)浇邮辗?；再用接收方的公開密鑰對會話密鑰進(jìn)行加密，并通過網(wǎng)絡(luò)把加密后會話密鑰傳輸?shù)浇邮辗剑? ? 接受方使用自己的私有密鑰對會話密鑰信息進(jìn)行解密，得到會話密鑰的明文； ? 接收方再用會話密鑰對加密了的報文進(jìn)行解密，得到原報文； 154 ?接收方用發(fā)送方的公開密鑰對加密的數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文； ?接收方再用得到的原報文和 Hash函數(shù)重新計算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對比。如果兩個數(shù)字簽名是相同的，說明文件在傳輸過程中沒有被破壞，信息完整。 155 (3) 數(shù)字簽名算法和技術(shù) ? 目前，廣泛應(yīng)用的數(shù)字簽名算法主要有三種：RSA簽名、 DSS（數(shù)字簽名系統(tǒng)）簽名和Hash簽名。這三種算法可單獨(dú)使用，也可綜合在一起使用。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加、解密變換實(shí)現(xiàn)的，用 DES算法、RSA算法都可實(shí)現(xiàn)數(shù)字簽名。 156 (4) 數(shù)字簽名與信息加密的區(qū)別 ? 數(shù)字簽名的加密 /解密過程和信息（報文）的加密 /解密過程雖然都可使用公開密鑰算法，但實(shí)現(xiàn)過程正好相反，使用的密鑰對也不同。數(shù)字簽名使用的是發(fā)送方的密鑰對，發(fā)送方用自己的私有密鑰進(jìn)行加密（簽名），接收方用發(fā)送方的公開密鑰進(jìn)行解密（驗(yàn)證）。這是一個一對多的關(guān)系：任何擁有發(fā)送方公開密鑰的人都可以驗(yàn)證數(shù)字簽名的正確性。 157 ? 而信息 (報文 )的加密 /解密則使用的是接收方的密鑰對，這是多對一的關(guān)系：任何知道接收方公開密鑰的人都可以向接收方發(fā)送加密信息，只有唯一擁有接收方私有密鑰的人才能對信息解密。在實(shí)用過程中，通常一個用戶擁有兩個密鑰對，一個密鑰對用來對數(shù)字簽名進(jìn)行加密 /解密，一個密鑰對用來對信息 (報文 )進(jìn)行加密 /解密。這種方式提供了更高的安全性。 158 ?數(shù)字簽名大多采用非對稱密鑰加密算法，它能保證發(fā)送信息的完整性、身份的真實(shí)性和不可否認(rèn)性，而數(shù)字加密采用了對稱密鑰加密算法和非對稱密鑰加密算法相結(jié)合的方法，它能保證發(fā)送信息的保密性。 ?數(shù)字簽名和信息加密過程的區(qū)別比較明顯（如下圖所示）。 159 接 收 者 加密 發(fā) 送 者 使用發(fā)送者的私鑰 加密 使用接收者的公鑰 數(shù)字簽名 解密 使用發(fā)送者的公鑰 解密 使用接收者的私鑰 驗(yàn)證 數(shù)字簽名與數(shù)據(jù)加密的區(qū)別 數(shù)據(jù)加密 數(shù)據(jù)解密 160 CA 認(rèn)證 1 . CA認(rèn)證中心 驗(yàn)證通信中使用的密鑰對是否就是用戶的密鑰對，要使用證書驗(yàn)證。 ? 證書 (Certification)或憑證是一種特殊的簽名信息。它包含用戶特異名字、公鑰和有效期。它是由CA(Certificate Authority 驗(yàn)證中心 )進(jìn)行簽名得到的 (發(fā)放的 )。 161 ? CA的英文全稱是 Certificate Authority，即證書授權(quán)中心，也叫認(rèn)證中心。 CA作為權(quán)威的、可信賴的第三方，是發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。其作用是檢查證書持有者身份的合法性，并簽發(fā)證書，以防證書被偽造或篡改，以及對證書和密鑰進(jìn)行管理，承擔(dān)公鑰體系中公鑰合法性檢驗(yàn)的責(zé)任。 162 ? CA認(rèn)證中心的主要功能 ? 證書的頒發(fā) ? 證書的更新 ? 證書的查詢 ? 證書的歸檔 ? 證書的作廢 163 ? CA的簽名過程 ? 用戶產(chǎn)生密鑰對，并將公鑰部分及其它識別信息提交給 CA。當(dāng) CA一旦對用戶的身份表示滿意，就取下用戶的公鑰，并對它制作信息摘要； ? 信息摘要用 CA的專用密鑰進(jìn)行加密，制作用戶公鑰的 CA簽名； 164 ? 用戶的公鑰和驗(yàn)證用戶公鑰的 CA簽名組合在一起制作數(shù)字證書。 數(shù)字證書 165 ? CA簽發(fā)并管理正式使用的公鑰和與用戶相關(guān)聯(lián)的證書。證書只在某一時間內(nèi)有效，因而 CA保存一份有效證書及其有效期清單。有時證書或許要及早廢除，因而 CA保存一份廢除的證書及有效證書的清單。 CA的有效證書、廢除證書或過期證書的清單可提供給任何一個要獲得這種清單的人。 166 ? 數(shù)字證書： 是一個經(jīng)證書授權(quán)中心數(shù)字簽名的、包含公開密鑰擁有者信息及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及 CA中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間，發(fā)證機(jī)關(guān) (證書授權(quán)中心 )的名稱，該證書的序列號等信息。 167 ? 以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和驗(yàn)證，確保網(wǎng)上傳遞信息的保密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。 168 ? 數(shù)字證書主要有以下四大功能 (1) 保證信息的保密性 (2) 保證信息的完整性 (3) 保證交易者身份的真實(shí)性 (4) 保證不可否認(rèn)性 169 ?數(shù)字證書通常有以下類型 ? 個人證書：包括個人安全電子郵件證書和個人身份證書。 ? 企業(yè)證書：包括企業(yè)安全電子郵件證書和企業(yè)身份證書。 ? 服務(wù)器證書：包括 Web服務(wù)器證書和服務(wù)器身份證書。 ? 信用卡身份證書：包括消費(fèi)者證書、商家證書和支付網(wǎng)關(guān)證書。 170 ? 數(shù)字證書的應(yīng)用： 網(wǎng)絡(luò)上的行政作業(yè)和商務(wù)活動，如 發(fā)送安全電子郵件、訪問安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招投標(biāo)、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上納稅等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。 其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個行業(yè)。 171 安全套接層（ SSL）協(xié)議 1． SSL協(xié)議概述 ? SSL安全協(xié)議最初是由 Netscape Communication公司為了保證 Web通信協(xié)議的安全設(shè)計開發(fā)的，又叫 “ 安全套接層（ Secure Sockets Layer）協(xié)議 ” ，主要用于提高應(yīng)用程序之間數(shù)據(jù)的安全系數(shù)。 172 ? SSL協(xié)議可以被概括為：一個保證任何安裝了安全套接字的客戶機(jī)和服務(wù)器間事務(wù)安全的協(xié)議 ， 它涉及所有的 TCP/IP應(yīng)用程序 。 SSL協(xié)議所采用的加密算法和認(rèn)證算法使它具有較高的安全性 ， 因此它很快成為事實(shí)上的工業(yè)標(biāo)準(zhǔn) 。 ? SSL協(xié)議被廣泛用于 Inter上的安全傳輸 、 身份驗(yàn)證等 。 173 ? SSL采用 TCP作為傳輸協(xié)議提供數(shù)據(jù)的可靠性傳輸 。 SSL工作在傳輸層之上 ， 獨(dú)立于更高層應(yīng)用 ， 可為更高層協(xié)議 （ 如HTTP、 FTP等 ） 提供安全服務(wù) 。 SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已完成了加密算法 、 通信密鑰的協(xié)商和服務(wù)器認(rèn)證工作 。在此之后應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密 ， 從而保證通信的保密性 。 174 ? SSL不是一個單獨(dú)的協(xié)議 ， 而是由多個協(xié)議構(gòu)成兩個層次 ， 其中主要協(xié)議是記錄協(xié)議和握手協(xié)議 。 ? SSL記錄協(xié)議：提供的信息的分段 、 壓縮 、數(shù)據(jù)認(rèn)證和加密； ? SSL握手協(xié)議 。 SSL握手協(xié)議用來交換版本號 、 加密算法 、 (相互 )身份認(rèn)證并交換密鑰 。 175 2． SSL協(xié)議的功能 ? SSL安全協(xié)議提供三方面的服務(wù)功能： ? 用戶和服務(wù)器的合法性認(rèn)證； ? 加密數(shù)據(jù)以便隱藏被傳送的數(shù)據(jù)； ? 保護(hù)數(shù)據(jù)的完整性 。 ? SSL協(xié)議是一個保證計算機(jī)通信安全的協(xié)議 ， 對通信對話過程進(jìn)行安全保護(hù) 。 176 3． SSL協(xié)議的實(shí)現(xiàn)過程 ? SSL協(xié)議對通信對話過程進(jìn)行安全保護(hù) 。 實(shí)現(xiàn)過程主要有如下幾個階段： ? (1) 接通階段 客戶機(jī)通過網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)； ? (2) 密碼交換階段 客戶機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼，一般選用 RSA密碼算法，也有的選用 DiffieHellmanf密碼算法； ? (3) 會話密碼階段 客戶機(jī)與服務(wù)器間產(chǎn)生彼此交流的會話密碼； ? (4) 檢驗(yàn)階段 客戶機(jī)檢驗(yàn)服務(wù)器取得的密碼； ? (5) 客戶認(rèn)證階段 服務(wù)器驗(yàn)證客戶機(jī)的可信度； ? (6) 結(jié)束階段 客戶機(jī)與服務(wù)器之間相互交換結(jié)束信息。 177 4． SSL協(xié)議的應(yīng)用 ? SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議 ， 至今仍然有很多網(wǎng)上商店使用 。 在傳統(tǒng)的郵購活動中 ， 客戶首先尋找商品信息 ， 然后匯款給商家 ，商家將商品寄給客戶 。 這里 ， 商家是可以信賴的 ， 所以客戶先付款給商家 。 178 安全電子交易（ SET）協(xié)議 1． SET協(xié)議概述 ? SET(Secure Electronic Transaction)維薩和萬事達(dá)公司為保證信用卡在公共網(wǎng)絡(luò)上支付安全而開發(fā)的開放式電子支付協(xié)議 。 SET得到了很多著名大公司的支持 ， 成為事實(shí)上的工業(yè)標(biāo)準(zhǔn) 。 179 2． SET協(xié)議涉及的范圍 ? 持卡人：用信用結(jié)算的消費(fèi)者 。 ? 發(fā)卡機(jī)構(gòu)：為消費(fèi)者發(fā)行信用卡的金融機(jī)構(gòu) 。 ? 商家：交易商品的提供者 ， 接受消費(fèi)者持卡支付 。 180 ? 銀行：接受發(fā)卡機(jī)構(gòu) 、 持卡人和商家的委托 ， 處理支付卡的認(rèn)證 、 在線支付和電子轉(zhuǎn)帳 。 ? 支付網(wǎng)關(guān)：將公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)的內(nèi)部數(shù)據(jù) ， 并處理商家的支付信息和持卡人的支付指令 。 ? 認(rèn)證中心 CA：驗(yàn)證客戶 、 商家和銀行身份 。 181 3． SET協(xié)議的目標(biāo) ? 保證電子商務(wù)參與者信息的相互隔離，客戶的資料加密或打包后經(jīng)過商家到達(dá)銀行，但是商家不能看到客戶的賬戶和密碼信息； ? 保證信息在 Inter上安全傳輸，防止數(shù)據(jù)被第三方竊??； ? 解決多方認(rèn)證問題，不僅要對消費(fèi)者的信用卡認(rèn)證，而且要對在線商家的信譽(yù)程度認(rèn)證，同時還有消費(fèi)者、在線商家與銀行間的認(rèn)證； ? 保證網(wǎng)上交易的實(shí)時性，使所有的支付過程都是在線的； ? 規(guī)范協(xié)議和信息格式，促使不同廠家開發(fā)的軟件具有兼容性和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺上。 182 4． SET協(xié)議的工作過程 ? (1) 消費(fèi)者利用已有的計算機(jī)通過 Inter選定物品，并下電子訂單； ? (2) 通過電子商務(wù)服務(wù)器與網(wǎng)上商場聯(lián)系，網(wǎng)上商場做出應(yīng)答，告訴消費(fèi)者訂單的相關(guān)情況； ? (3) 消費(fèi)者選擇付款方式，確認(rèn)訂單，簽發(fā)付款指令（此時 SET介入）； ? (4) 在 SET協(xié)議中，消費(fèi)者必須對定單和付款指令進(jìn)行數(shù)字簽名，同時利用雙重簽名技術(shù)保證安全； ? (5) 在線商家接受定單后，向消費(fèi)者所在銀行請求支付認(rèn)可，信息通過支付網(wǎng)關(guān)到收單銀行，再到電子貨幣發(fā)行公司確認(rèn)，批準(zhǔn)交易后，返回確認(rèn)信息給在線商家； ? (6) 在線商家發(fā)送定單確認(rèn)信息給消費(fèi)者，消費(fèi)者端軟件可記錄交易日志，以備將來查詢； ? (7) 在線商家發(fā)送貨物或提供服務(wù)，并通知收單銀行將錢從消費(fèi)者的賬號轉(zhuǎn)移到商家賬號，或通知發(fā)卡銀行請求支付。 183 支 付 與 授 權(quán) 訂單與支付信息 支付與授權(quán)信息 確認(rèn)與授權(quán) 客戶 發(fā)卡 機(jī)構(gòu) CA認(rèn) 證中心 支付 網(wǎng)關(guān) 商家 銀行 信息瀏覽、填寫訂 單和支付信息處理 支付 資金 結(jié)算 協(xié)議轉(zhuǎn)換和數(shù)據(jù)接 口安全及鑒別管理 商品和服務(wù)信息發(fā)布、訂單 處理、支付管理、貨款結(jié)算 認(rèn)證 交易 各方 認(rèn)證 認(rèn)證 利用 SET協(xié)議的網(wǎng)上購物流程 授權(quán)發(fā)卡 、 付款 卡的管理與確認(rèn) 認(rèn)證 184 5． 8 加密軟件 PGP及其應(yīng)用 1． PGP概述 ? PGP(Pretty Good Privacy)是一個廣泛應(yīng)用于電子郵件和其它文件加密的軟件，推出后受到億萬用戶的支持，已成為電子郵件加密的事實(shí)上的標(biāo)準(zhǔn)。 ? PGP軟件功能強(qiáng)，速度快，而且源代碼全免費(fèi)，使用方便 (它把整個加密技