|
|
|
|
|
认证技术主要解决网络通信过程中通信双方的身份认证。认证的过程涉及加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合方法。认证一般有账户名/口令认证、使用摘要算法认证、基于PKI(Public Key Infrastructure,公开密钥体系)的认证等几种方法。一个有效的PKI系统必须是安全的和透明的,用户在获得加密和数字签名服务时,不需要详细了解PKI的内部运行机制。
|
|
|
|
PKI是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及必需的密钥和证书管理体系。简单地说,PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI技术是安全信息技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
|
|
|
|
|
|
Hash(哈希)函数(又称散列函数)提供了这样一种计算过程:输入一个长度不固定的字符串,返回一串定长度的字符串(又称Hash值)。单向Hash函数用于产生信息摘要。
|
|
|
|
信息摘要简要地描述了一份较长的信息或文件,它可以被看作一份长文件的"数字指纹"。信息摘要用于创建数字签名。
|
|
|
|
|
|
数字签名是通过一个单向散列函数对要传送的报文进行处理得到的,用以认证报文来源并核实报文是否发生变化的一个字母数字串。数字签名可以解决否认、伪造、篡改及冒充等问题,应用范围十分广泛,如加密信件、商务信函、订货购买系统、远程金融交易、自动模式处理等。
|
|
|
|
数字签名和数字加密的过程虽然都使用公开密钥体系,但实现的过程正好相反,使用的密钥对也不同。数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接收方用发送方的公开密钥进行解密,这是一个一对多的关系,任何拥有发送方公开密钥的人都可以验证数字签名的正确性。数字加密则使用的是接收方的密钥对,这是多对一的关系,任何知道接收方公开密钥的人都可以向接收方发送加密信息,只有唯一拥有接收方私有密钥的人才能对信息解密。另外,数字签名只采用了非对称密钥加密算法,它能保证发送信息的完整性、身份认证和不可否认性,而数字加密则采用了对称密钥加密算法和非对称密钥加密算法相结合的方法,它能保证发送信息的保密性。
|
|
|
|
|
|
SSL(Secure Sockets Layer)是网景(Netscape)公司提出的基于Web应用的安全协议,又叫安全套接层协议。
|
|
|
|
SSL协议主要提供三方面的服务:用户和服务器的合法性认证;加密数据以隐藏被传送的数据;保护数据的完整性,目的是在两个通信应用程序之间提供私密性和可靠性。对于电子商务应用来说,使用SSL可保证信息的真实性、完整性和保密性。
|
|
|
|
|
|
数字时间戳技术是数字签名技术的一种变种。数字时间戳服务(Digital Time-stamp Service,DTS)是网上电子商务提供的安全服务项目之一,能提供电子文件的日期和时间信息的安全保护。
|
|
|
|
时间戳(Time-stamp)是一个经加密后形成的凭证文档,它包括以下3个部分。
|
|
|
|
|
|
|
|
|
|
一般来说,时间戳产生的过程为:用户首先将需要时间戳的文件用Hash编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
|
|
|
