1、第三单元 数字证书申请与加密邮件使用一、信息认证通过开放的 Internet 网进行商业数据的传输,信息的保密是十分重要的一个环节,一般来说,可以采用对重要的商业文件进行加密处理,以确保文件的安全,同时为防止文件在传输的过程中被修改,需要对传输的数据和信息的来源进行验证,以确定发信人的身份。验证的方法主要有以下几种:秘密密钥加密系统(Secret Key Encryption)公开密钥加密系统(Public Key Encryption)以上两种方法的综合方式。1、基于私钥体制信息认证原理:通信的甲乙双方共同约定一个口令或一组密码,即建立一个通信双方共享的密钥。当通信的甲方要发送信息给乙方时,
2、为防止信息在公共信道中传输时被窃取,通信的甲方将信息用共享的密钥加密后再传出。由于密钥是双方共享的,乙方由此可以确定信息是由甲方发出的。基于私钥体制的信息认证特点是在信息认证的同时也对信息进行加密,而且信息加密和解密使用的是同一个密钥,即加密密钥同时也作为解密密钥,这种加密和解密采用同一密钥的加密方法称为对称加密算法。这种加密算法简单快捷,密钥较短,且破译困难,因而得到广泛的使用。但这种算法在使用中存在以下问题: 需要提供一条安全通道使通信双方可以在第一次通信时协商一个共同的密钥,而在这种协商过程中,一旦在 Internet 上进行通信就有可能产生不安全因素; 由于每一对可能的通信者之间需要使
3、用不同的密钥,这就使得密钥的数目随着通信数量的增长而变得难于管理,因而难以适应日益增长的信息交流的需要; 这种算法虽然可以对信息发送者的身份进行验证,但却不能对信息的完整性进行验证。2、基于公钥体制的信息认证 公开密钥系统的加密和解密公开密钥加密是基于一对密钥,用一个密钥加密的信息只有用另一个密钥才能解密,两个密钥中,只有加密者本人才知道的密钥称为私有密钥 (Private Key) ,而另一个密钥可以被广泛公开,被称为公开密钥(Public Key) 。这种加密和解密采用不同的密钥的算法称为非对称加密算法。公开密钥系统的加、解密原理如图62 所示:图62在实际使用中,信息的发送者,既可以使用
4、私有密钥加密,也可以使用公开密钥加密,而只有掌1握了与之配对公开密钥或私有密钥的接收者才能解开密文。这种由公开密钥和私有密钥组成的“密钥对”是这种加密算法的最主要的特征。与私钥体制相比,这种加密算法速度较慢,一般不适用对文件进行加密,只适用于对少量数据进行加密。在微软公司的 Windows NT的安全体系结构中,公开密钥系统主要是用来对私有密钥进行加密。即用来将加密或解密的私有密钥传输给收件方时用来对传输数据进行加密。在实际文件传输过程中,一方面是对被传输的文件进行加密或解密,另一方面是对私有密钥进行的加密或解密,对文件的加密采用私有密钥系统进行加密,对私有密钥则采用公钥系统进行加密。3、数字
5、签名为提高加密的速度,实际应用中为防止他人对传输的文件进行破坏,以及对发信人的身份进行验证,加密专家推出一种能快速产生短小信息的代表用户身份的机制,称为报文摘要(Message digest ) ,这种短小信息能被加密而成为数字签名(Digital signature) 。快速生成报文摘要的方法是使用单道散列函数(one-way hash function) ,也称 Hash 函数(Hashing Function)来实现的。这种方法并不使用密钥,而是采用某一种算法公式将不同的信息转化为一个一个的数字串。 比如某条消息经过处理的结果为字符串 CBBV255ndsAG3D67 ,这一字符串就称之
6、为这条消息的报文摘要,将这些报文摘要用私有密钥进行加密,就得到相应的数字签名。图63 所示意的是,信息的发送者甲首先把要发送的消息通过 Hash 函数处理得到其报文摘要,并将该报文摘要用甲的私有密钥加密,形成数字签名,然后将这份数字签名连同明文一同发往信息接收者乙。图63乙收到甲的信息后,用甲的公开密钥对其数字签名进行解密后,乙也有了一份甲通过 Hash 函数转换而得到的该报文摘要,如果乙能用甲的公开密钥解密甲的数字签名,乙就可以鉴别出信息的发送者的身份。另一方面,在收到信息后,乙使用与甲相同的 Hash函数,将甲发送来的明文进行转换,从而得到另一份报文摘要。如果两分报文摘要,通过比较是相同的
7、,则可以确定该数字签名是有效的。这就2意味着乙所接到的信息不仅仅是甲发送的,而且消息本身没有经过篡改。但该过程中存在的问题是信息发送中采用的是明文,因此不能保证信息的秘密性。为此,一般在实际应用中采用对称加密方法对明文再加密一次。二、数字证书由于 Internet 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet )电子商务系统必须保证具有十分可靠的安全保密技术,也就是
8、说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在 Internet 上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证.它是由一个由权威机构CA 机构,又称为证书授权(Certificate Authority)中
9、心发行的,人们可以在交往中用它来识别对方的身份。使用公开密钥加密,需要产生一个公开密钥和一个私有密钥,这些工作通常是通过 Web浏览器或电子邮件程序进行的。私有密钥一般由发送者保管,而公开密钥则需通过合适当途径发送给合作者。为避免冒名顶替者的身份假冒,防止他人将伪造的公开密钥发送给你的合作者,这就需要一个较好的、可信赖的专门机构来发布和管理公开密钥。这种发布和管理公开密钥的机构称为认证机构或证书管理机构(Certificate Authorities) 。 这种用来记载用户的公开密钥和身份信息合法性的电子文件则称为数字证书(Certificates) 。CA 中心为每个使用公开密钥的用户发放一
10、个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA 机构的数字签名使得攻击者不能伪造和篡改证书。1、 证书数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心 )的名称,该证书的序列号等信息,证书的格式遵循 ITUT X.509 国际标准。 一个标准的 X.509 数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称,命名规则一般采用 X
11、.500 格式;证书的有效期,现在通用的证书一般采用 UTC 时间格式,它的计时范围为 1950-2049;证书所有人的名称,命名规则一般采用 X.500 格式;证书所有人的公开密钥;证书发行者对证书的签名。从技术上说,数字证书就是一份电子文档,它记录了用户的公开密钥和身份信息,其中身份信息包含了能证明用户身份的资料,如身份证号码、电子信邮箱地址等。表1、表2 所列是用户证书的主要内容:3数字证书的外部格式用户的身份信息:姓名、身份证号、地址发布证书机构的数字签名和身份信息用户的公开密钥数字证书的有效期数字证书的有效期证书的号码表1数字证书的内部格式证书版本号证书序列号签名算法标识证书签发者
12、CA 名称证书有效期用户名称标准域用户公钥信息CA 的公钥标识用户的公钥标识证书中的公钥用途CA 承认的证书政策列表扩展域失效期自定义域 CA 签名 表22、证书的查阅在 Windows操作系统中,查阅数字证书的方法有两种: 右键单击桌面上 IE浏览器图标,打开 Internet属性选项卡,选择“内容”选项卡,图64选择“内容”选项卡“4单击“证书”按钮,可以查看包括个人证书列表、他人证书列表、中级证书颁发机构颁发的数字证书列表、受信任的根证书颁发机构颁发的数字证书列表以及受信任的其它证书颁发者颁发的数字证书列表。图65在不同的选项卡中,选中相应的证书,点击“查看”按钮,可以查看不同级别以及不
13、同颁发者颁发的数字证书的内容。图66 启动 Outlook Express,打开“工具”菜单,选择“选项” ,打开“选项”选项卡,图67单击“选项” ,打开选项卡5在选项卡中选择“安全”选项卡,图68单击“数字标识”按钮,可以看到图65 所示的“证书”管理窗口。3、数字证书的管理机构证书管理机构(CA)也是证书认证机构,通常是由一个或多个机构组成。CA 的功能主要有: 接受用户注册请求、批准或拒绝请求、颁发证书。用户向 CA提交自己的公开密钥和代表自己身份的信息,CA 验证了用户的有效身份之后,向用户颁发一个经过 CA 私有密钥签名的数字证书。在实际交易活动中,交易双方通信时,可以通过出示由某
14、个 CA 签发的证书来证明自己的身份,如果对签发证书的 CA 本身不信任,则可以验证 CA 的身份,依此类推,一直到公认的权威 CA 处,就可以确信证书的有效性。这种证书和认证机构的确认方式称为证书的树形验证结构。图69在电子商务交易中,用户甲和用户乙之间需要进行身份验证时,可以向 CA1级证书认证机构发出身份认证请求,若用户甲和用户乙中有一方对 CA1的认证权威存在怀疑时,则可以向更高一级的认证机构 CA2级的认证机构进行认证请求,直至到认证机构得到甲、乙双方的信任认可为止。4、数字证书的申请要在电子商务交易中进行交易双方的身份的验证或使用加密邮件进行各种商务沟通,首先必须向 CA 认证机构
15、申请相关的数字证书,目前国内颁发数字证书的机构主要有:选择“安全”选项卡6中国协卡认证体系: http:/ http:/广东省电子商务认证中心:http:/Email作为网上最普遍最快捷的一种通信方式,已被人们所接受,如何确保 Email的真实性、保密性便成为目前的首要问题。CA 中心为其提供了一种解决的方法,即通过数字证书证书方式确保电子邮件的真实性、保密性。用户可以向数字证书的的颁发机构申请个人数字证书。数字证书的申请步骤如下:、用户需下载根证书(即签发机构的证书)到浏览器中、填写用户证书申请表,申请自己的个人数字证书在使用安全 Email与对方进行通信时,需要通过查询对方的 Email帐
16、号来下载对方个人数字证书。下面以中国协卡认证体系上海数字认证中心有限公司(SHECA)个人数字证书申请为例说明数字证书申请的过程和步骤:第一步:登录中国协卡认证体系上海数字认证中心有限公司站点http:/ SHECA授权的数字证书申请受理点,受理点对用户提交的申请进行审核,审核通过后,受理点将向用户发放在线注册所需的密码信封,其中包含了用户在线注册的相关资料。第三步:用户在取得受理点发放的密码信封后即可登录 SHECA站点进行在线注册。图70 为 SHECA数字证书申请流程示意图:携带申请表和有效证件至受理点 在 上下载证书申请(更新)表格 填写申请表并准备申请所需的有效证件复印件受理点审核
17、,用户领取数字证书 交纳证书年费 用户领取数字证书7网上申请数字证书 请根据您申请的证书类型选择对应的操作步骤”图705、数字证书的使用在 Outlook Express5.0 中单击工具(T)菜单下的帐号( A),选定您已申请过个人数字测试证书的 Email 地址,查看属性;选择 “安全”选项卡;在“S/MIME 安全邮件”中选中“从以下地点发送安全邮件时使用数字标识”。图71在图71 中点击“数字标识”按钮,从证书列表中选择与 Email地址相对应的证书作数字标识。今后使用该地址发送电子邮件就可以选择使用数字标识。在 Outlook Express6.0 中单击工具(T)菜单下的帐号( A
18、),选定您已申请过个人数字测试证书的 Email 地址,查看属性;选择 “安全”选项卡(如图72);图72在“签署证书”和“加密首选项”中,分别单击“选择”按钮,在弹出的“选择默认账户数字 ID”8对话框中(如图73),图73选择与 Email地址相对应的签署证书和加密证书。今后使用该地址发送电子邮件就可以选择使用数字标识进行邮件加密和使用数字签名。6、添加联系人的数字标识一旦发件人在电子邮件中使用了加密和数字签名,当收件人收到并打开该邮件时,将看到如图74 所示提示。图74如果收件人下载并安装了发件人的数字标识,当按“继续”按钮后就可以看到该邮件的真正内容;但如果未下载并安装了发件人的数字标
19、识,则无法看到邮件的真正内容。所以,要想正确阅读带有数字签名或加密过的邮件,首先必须添加发件人的数字标识。添加发件人数字标识的方法一般有两种:第一种方法是在 CA中心网站上下载对方证书,第二种方法是从带有数字签名的电子邮件中添加。、从 CA中心网站上下载发件人数字标识登录 CA站点,在下载用户证书对话框中,输入发件人的 E-mail地址(如图75),一旦证书申请成功并正确安装,则在“选择默认账户数字 ID”对话框中将显示出证书的相关记录9图75点击“开始下载“按钮,系统将自动开始下载和安装发件人的数字证书,在下载安装过程中可以看到以下信息: 在文件下载对话框中,选择“在文件的当前位置打开(O) ”图76 单击“确定”按钮后,打开“数字标识”选项对话框(如图77) 。图
