【正文】 ES密鑰拋棄（即DES密鑰作廢）。 （8）乙用甲的公鑰（PK）對甲的數(shù)字簽名進行解密，得到信息摘要。乙用相同的hash算法對收到的明文再進行一次hash運算，得到一個新的信息摘要。 （9）乙將收到的信息摘要和新產(chǎn)生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。,6.3.5 數(shù)字證書的應(yīng)用(1) 數(shù)字安全證書主要應(yīng)用于電子政務(wù)、網(wǎng)上購物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。CA中心還可以與企業(yè)代碼證中心合作，將企業(yè)代碼證和企業(yè)數(shù)字安全證書一體化，為企業(yè)網(wǎng)上交易、網(wǎng)上報稅、網(wǎng)上報關(guān)、網(wǎng)上作業(yè)奠定基礎(chǔ)，免去企業(yè)面對眾多的窗口服務(wù)的苦累。,6.3.5 數(shù)字證書的應(yīng)用(2) 1．網(wǎng)上交易 利用數(shù)字安全證書的認證技術(shù)，對交易雙方進行身份確認以及資質(zhì)的審核，確保交易者信息的惟一性和不可抵賴性，保護了交易各方的利益，實現(xiàn)安全交易。 2．網(wǎng)上辦公 網(wǎng)上辦公系統(tǒng)綜合國內(nèi)政府、企事業(yè)單位的辦公特點，提供了一個虛擬的辦公環(huán)境，并在該系統(tǒng)中嵌入數(shù)字認證技術(shù)，展開網(wǎng)上政文的上傳下達，通過網(wǎng)絡(luò)聯(lián)結(jié)各個崗位的工作人員，通過數(shù)字安全證書進行數(shù)字加密和數(shù)字簽名，實行跨部門運作，實現(xiàn)安全便捷的網(wǎng)上辦公。,6.3.5 數(shù)字證書的應(yīng)用(2) 3．網(wǎng)上招標(biāo) 以往的招投標(biāo)受時間、地域、人文的影響，存在著許多弊病，例如外地投標(biāo)者的不便、招投標(biāo)各方的資質(zhì)，以及招標(biāo)單位和投標(biāo)單位之間存在的貓膩關(guān)系。而實行網(wǎng)上的公開招投標(biāo)，經(jīng)貿(mào)委利用數(shù)字安全證書對企業(yè)進行身份確認，招投標(biāo)企業(yè)只有在通過經(jīng)貿(mào)委的身份和資質(zhì)審核后，才可在網(wǎng)上展開招投標(biāo)活動，從而確保了招投標(biāo)企業(yè)的安全性和合法性，雙方企業(yè)通過安全網(wǎng)絡(luò)通道了解和確認對方的信息，選擇符合自己條件的合作伙伴，確保網(wǎng)上的招投標(biāo)在一種安全、透明、信任、合法、高效的環(huán)境下進行。通過該網(wǎng)上招投標(biāo)系統(tǒng)，使企業(yè)能夠制定正確的投資取向，根據(jù)自身的實際情況，選擇合適的合作者。,6.3.5 數(shù)字證書的應(yīng)用(3) 4．網(wǎng)上報稅 利用基于數(shù)字安全證書的用戶身份認證技術(shù)對網(wǎng)上報稅系統(tǒng)中的申報數(shù)據(jù)進行數(shù)字簽名，確保申報數(shù)據(jù)的完整性，確認系統(tǒng)用戶的真實身份和申報數(shù)據(jù)的真實來源，防止出現(xiàn)抵賴行為和他人偽造篡改數(shù)據(jù)；利用基于數(shù)字安全證書的安全通信協(xié)議技術(shù)，對網(wǎng)絡(luò)上傳輸?shù)臋C密信息進行加密，可以防止商業(yè)機密或其他敏感信息泄露。,6.3.5 數(shù)字證書的應(yīng)用(4) 5．安全電子郵件 郵件的發(fā)送方利用接收方的公開密鑰對郵件進行加密，郵件接受方用自己的私有密鑰解密，確保了郵件在傳輸過程中信息的安全性、完整性和惟一性。,數(shù)字證書,為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI（Public Key Infrastructure——公鑰基礎(chǔ)設(shè)施）技術(shù)。PKI技術(shù)采用證書管理公鑰，通過第三方的可信任機構(gòu)—認證中心CA（Certificate Authority），把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、Email、身份證號等）捆綁在一起，在Internet上驗證用戶的身份。目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。,公鑰基礎(chǔ)設(shè)施（PKI）,6.4.1 PKI基礎(chǔ)(1) 什么是PKI？PKI就是利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。所謂基礎(chǔ)設(shè)施，就是在某個大環(huán)境下普遍適用的系統(tǒng)和準(zhǔn)則。公開密鑰基礎(chǔ)設(shè)施（PKI）則是希望從技術(shù)上解決網(wǎng)上身份認證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務(wù)。 PKI基礎(chǔ)設(shè)施把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。,6.4.1 PKI基礎(chǔ) (2) 從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性，數(shù)據(jù)的機密性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認。,公鑰基礎(chǔ)設(shè)施（PKI）,6.4.1 PKI基礎(chǔ) (3) 一個有效的PKI系統(tǒng)必須是安全的和透明的，用戶在獲得加密和數(shù)字簽名服務(wù)時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分。 ? 公鑰密碼證書管理。 ? 黑名單的發(fā)布和管理。 ? 密鑰的備份和恢復(fù)。 ? 自動更新密鑰。 ? 自動管理歷史密鑰。 ? 支持交叉認證。,6.4.1 PKI基礎(chǔ) (4) 由于PKI基礎(chǔ)設(shè)施是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案，國外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品，如美國的Verisign、IBM，加拿大的Entrust、SUN等安全產(chǎn)品供應(yīng)商為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品，為電子商務(wù)的發(fā)展以及政府辦公網(wǎng)、EDI等提供了安全保證。 簡言之，PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）就是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。,6.4.2 PKI密碼算法及應(yīng)用 (1) 1．單鑰密碼算法（加密） 單鑰密碼算法，又稱對稱密碼算法：是指加密密鑰和解密密鑰為同一密鑰的密碼算法。因此，信息的發(fā)送者和信息的接收者在進行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密碼）。在對稱密鑰密碼算法中，加密運算與解密運算使用同樣的密鑰。通常，使用的加密算法比較簡便高效，密鑰簡短，破譯極其困難；由于系統(tǒng)的保密性主要取決于密鑰的安全性，所以，在公開的計算機網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個嚴(yán)峻的問題。最典型的是DES（Data Encryption Standard）算法。,6.4.2 PKI密碼算法及應(yīng)用 (2) 2．雙鑰密碼算法（加密、簽名） 雙鑰密碼算法，又稱公鑰密碼算法：是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。公鑰密碼算法不同于單鑰密碼算法，它使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，通信雙方無需事先交換密鑰就可進行保密通信。其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用；解密密鑰只有解密人自己知道。這兩個密鑰之間存在著相互依存關(guān)系：即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。,第6章 認證與數(shù)字簽名 6.4 公鑰基礎(chǔ)設(shè)