第3章补充内容pki技术.docVIP

PKI技术 在加密技术中根据加密密钥和解密密钥是否相同可为对称密钥体制和非对称密钥体制。 对称密钥体制是指加密密钥和解密密钥是相同的。对称密钥虽然能够保证信息在传输过程中被截获，但对于网络上的通信而言，要通信的人多，所用的密钥数量也越多，因此管理起来十分困难。优点是加密速度快，但不便于管理。如DES加密算法（见P161页） 不对称密钥是指对数据进行加密和解密过程中使用不同的密钥。即公钥和私钥，他们必须配对使用。如RSA算法（见P162）. PKI技术是一种基于非对称密钥的密码理论，它能够为所有的网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI区别于原有的单密钥加密技术，它采用的是非对称的加密算法。这种网络加密方式保证了网上交易和信息传输的机密性、真实性、完整性、不可抵赖性。数字证书是公开密钥体系的的一种密钥管理媒介。它是一种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体（如人、服务器等）的身份以及其公开密钥的合法性，又称为数字ID。数字证书由公钥及用户信息等数据共同组成，可以写入一定的存储介质内，确保用户信息不被非法读取及篡改。　 　 ePass应运而生 　　针对各种网上交易的安全漏洞，长期致力于网络安全领域的北京飞天诚信公司在大量分析网上交易的行业特性之后，推出了可以随身携带的数字证书存储介质ePass系列网络身份认证产品，为广大企业用户提供了一个安全交易的平台。　　ePass是一种通过USB接口与计算机相连的硬件设备，内置微型CPU和存储器，大小跟钥匙差不多，重量仅为6克。ePass作为一种在PKI体系中应用的产品，是为PKI应用量身设计的。它可预置密钥或存入数字证书，来确定用户的身份。借助ePass，使系统有效避开了传统身份认证过程的安全隐患，以高度安全的方式完成对网络用户的身份验证过程。事实证明，ePass为网上交易的网络身份认证提供了一种安全的解决方案。它可满足所有服务器端对客户端身份认证的需要，其采用的独特加密方式，有效地避免了各种网上交易的信息传输过程中病毒和黑客的侵袭。 　　ePass系列产品适用于需要网络安全认证的各种行业，包括金融、保险、电信、税务以及机密单位等领域。如：各种在线银行、B2B/B2C 交易、在线支付、股票交易的身份认证及数字签名过程；各种有偿内容提供商和应用服务（如收费网站、电子报刊订阅和软件下载等）提供商对客户身份的认证过程；各种机密单位和部门的工作人员互相访问机密内容的身份认证过程；各种类型的远程收费、远程预订场合：如远程订票、异地订房、交纳养路费、交纳电话费等。ePass解决方案 　　下面我们以证券行业为例，说明ePass产品在基于证书的安全认证体系中的作用。（参见下图）网上交易隐患　　证券行业的网上交易，早已如火如荼，存在的隐患也有很多：如身份验证的用户名+密码容易泄露；委托信息容易被篡改；对于交易造成的责任，由于无法确认用户身份，用户可以拒绝承担；无法保证委托信息确实发送到券商服务器；用户的交易信息传输于网上，极易被人窃取…… 　　网上证券交易究竟如何能保证信息传输的机密性、真实性、完整性、不可抵赖性呢？　　在使用数字证书的过程中，ePass应用公开密钥加密技术，建立起一套严密的身份认证系统，它能做到： 　　●发送方和接收方信息不被他人窃取　　●信息在传输过程中不被篡改●接收方能通过数字证书来确认发送方的身份　　●发送方对于自己发送的信息不可抵赖　　利用ePass进行网上交易的过程：　　申请证书　　数字证书与日常生活中的身份证相似，是用来标志和证明网络通信双方身份的数字信息文件。在网上进行电子商务活动时，交易双方需要使用数字证书来表明自己的身份，并使用数字证书来进行相关的操作，数字证书主要包括三方面的内容：证书所有者的信息、证书所有者的公开密钥和证书颁发机构的签名。　　券商申请证书　　首先，券商要想获得从事证券代理的身份和资格，须向认证机关（CA）申请数字证书，然后券商将用户的公钥存于券商服务器的数据库内。　　用户申请证书　　作为用户在申请开立股票帐户时，同样须向CA申请数字证书，获得CA发放的证书存储在ePass内。　　二、 身份认证　　券商与用户通过Internet互相交换从CA申请到的数字证书，并验证其真实性（包括验证数字签名、证书有效性等）。如任何一方发现对方数字证书有误，则立刻停止交易。　　三、证券交易　　1、 用户输入相应委托交易申请后点击“确认”，发出委托交易申请。　　2、委托申请的数据自动使用券商公钥加密（用以保证用户信息的安全性）和用户存于ePass中的私钥签名后传送到券商的服务器。　　3、券商服务器从证书库中调出该用户的公钥，以确认发送信息的确是用户本人（不可抵赖性），并用券商私钥将委托信息解开。如果确认无误，则将