模块6 名词解释 防火墙:防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火 墙的英文名为“FireWall”,它是最重要的网络防护设备之一 病毒:计算机病毒是一种计算机程序,与我们平时使用的程序不同,它能够自我复制,并会 破坏计算机中的程序和数据,从而影响计算机的使用。 信息加密:加密是指将数据进行编码,使它成为一种不可理解的形式,这种不可理解的内容 叫做密文。 私有密钥密码技术:也叫对称加密技术,在这种体制中,发送方和接收方使用的密钥是 相同的,即K1=K2。 公开密钥密码技术:也叫非对称加密技术,在这种体制中,加密密钥和解密密钥是不同的, 即K1K2,被成为公钥和私钥,私钥是发送发持有的,必须保密,而公钥是对外公开的。 可以为接收方下载并 数字签名:数字签名技术的作用与书面文件签名有相同之处,能确认以下两点问题:其一, 信息是由签名者发送的:其二,信息自签发后到收到为止未曾作过任何修改。这样,数字签 名就可以用来防止电子信总因易被修改而有人伪造,或冒用他人名义发送信息,或发出信息 后又加以否认等等情况的发生 身份认证:指的是在计算机网络中确认操作者身份的过程 数字证书:又称为数字标识 是一个经证书认证机构(CA)数字签名的包含用户身份信息 以及公开密钥信息的电子文件,即用电子手段来证实一个用户的身份和对网络资源访间的权 限。 认证机构:认证中心(CA)就是承担网上安全电子交易认证服务、签发数字证书并能 够确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书 的申请、签发数字证书以及管理数字证书。认证中心依据认证操作规定 实施服务操作 公钥基础设施PKI:PKI(Public Key Infrastructure)即"公钥基础设施",是一种遵循既定 标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密 钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设 施。PK技术是信息安全技术的核心,也是电子商务的关键和基础技术。 二、选择题 1.从证中心的作用有哪些(ABCDE). A,证书领发 B.证书更新C.证书查询D.证书作废E.证书归档 2.数字证书采用(C)体制,即利用一对互相匹配的密钥进行加密、解密。 A,私有密钥密码B.对称加密算法 C.公开密钥密码 D.DES 3.身份认证的具体技术有哪些(ABCDE A.静态密码和智能卡B.短信密码C.动态口令 D.USBKey E.生物识别 4.数字签名技术的作用与书面文件签名有相同之处,能确认以下两点问题:(AC) A.信息是由签名者发送的 B 信息是由接受者发送 信息自签发后到收到为止未曾作过任何修改 D.信息自签发后未曾做过任何修改 5.防火墙能做什么(ACDE)。 A.实现安全策略 B.病毒与特洛伊木马 C.创建 一个阻塞点D.记录网络活动E.限制网络暴致
模块 6 一、名词解释 防火墙:防火墙是位于两个(或多个)网络间,实施网络间访问控制的一组组件的集合。防火 墙的英文名为“FireWall”,它是最重要的网络防护设备之一。 病毒:计算机病毒是一种计算机程序,与我们平时使用的程序不同,它能够自我复制,并会 破坏计算机中的程序和数据,从而影响计算机的使用。 信息加密:加密是指将数据进行编码,使它成为一种不可理解的形式,这种不可理解的内容 叫做密文。 私有密钥密码技术:也叫对称加密技术,在这种体制中,发送方和接收方使用的密钥是 相同的,即 K1=K2。 公开密钥密码技术:也叫非对称加密技术,在这种体制中,加密密钥和解密密钥是不同的, 即 K1≠K2,被成为公钥和私钥,私钥是发送发持有的,必须保密,而公钥是对外公开的, 可以为接收方下载并使用。 数字签名:数字签名技术的作用与书面文件签名有相同之处,能确认以下两点问题:其一, 信息是由签名者发送的;其二,信息自签发后到收到为止未曾作过任何修改。这样,数字签 名就可以用来防止电子信息因易被修改而有人伪造,或冒用他人名义发送信息,或发出信息 后又加以否认等等情况的发生。 身份认证:指的是在计算机网络中确认操作者身份的过程。 数字证书:又称为数字标识,是一个经证书认证机构(CA)数字签名的包含用户身份信息 以及公开密钥信息的电子文件,即用电子手段来证实一个用户的身份和对网络资源访问的权 限。 认证机构:认证中心(CA)就是承担网上安全电子交易认证服务、签发数字证书并能 够确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书 的申请、签发数字证书以及管理数字证书。认证中心依据认证操作规定,实施服务操作。 公钥基础设施 PKI:PKI(Public Key Infrastructure ) 即"公钥基础设施",是一种遵循既定 标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密 钥和证书管理体系,简单来说,PKI 就是利用公钥理论和技术建立的提供安全服务的基础设 施。PKI 技术是信息安全技术的核心,也是电子商务的关键和基础技术。 二、选择题 1.认证中心的作用有哪些( ABCDE )。 A.证书颁发 B.证书更新 C.证书查询 D.证书作废 E.证书归档 2.数字证书采用( C )体制,即利用一对互相匹配的密钥进行加密、解密。 A.私有密钥密码 B.对称加密算法 C.公开密钥密码 D.DES 3.身份认证的具体技术有哪些( ABCDE )。 A.静态密码和智能卡 B.短信密码 C.动态口令 D.USB Key E.生物识别 4.数字签名技术的作用与书面文件签名有相同之处,能确认以下两点问题:( AC ) A.信息是由签名者发送的 B.信息是由接受者发送的 C.信息自签发后到收到为止未曾作过任何修改 D.信息自签发后未曾做过任何修改 5.防火墙能做什么( ACDE )。 A.实现安全策略 B.病毒与特洛伊木马 C.创建一个阻塞点 D.记录网络活动 E.限制网络暴露
三、简答题 1.计算机病毒有哪些种类? ①系统病 ②蠕虫病毒 ③木马病毒、黑客病毒」 ④脚本病毒 ⑤宏病毒。 后门病毒 ⑦病毒种植程序病毒。 ⑧破坏性程序病毒。 ⑨玩笑病毒。 ⑩捆绑机病毒。 2。常用的物理安全防范策略有哪些呢 (1)机房环境安全。为了使电子商务系统能正常运作,必须提供良好的工作场所,保 证计算机机房的制度安全、建筑安全、设备防火和防盗指施等。 (2)对硬件的保护。计算机硬件系统是电子商务系统的组成部分之一。硬件防护非常 重要,它一般是指在计算机硬件上采取相应措施或通过增加硬件设备来防护,比如防静电、 进行电磁屏蔽、存储器保护和输入输出通道控制等。 3.身份 证技术的具体工具有哪些 (1)静态密码。 (2)智能卡。 (3)短信密码 (4)动态口令 (5)USB Key (6)生物识别 4.数字证书的原理是什么? 数字证书的原理:数字证书采用公开密钥密码体制,即利用一对互相匹配的密钥进行加密、 解密。每个用户自己设定一把特定的仅为本人所知的私有密钥,用它进行解密和签名:同时 发定一把公共密钥并由本人公开,为一组用户所共享,用于加密和验证签名,当发送一份保 密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。这样信 息就可以安全无误地到达目的地了。 5.简述如何发一份加密的文件给小王。 (1)在Outlook exi ress中设定邮件。首先,打开Outlook Express,然后选择菜单中的“工 具”菜单中的“帐户”选项,出现“Interet帐户”对话框,点击右边的“添加”按钮,选择 “邮件”选项 输入读者的邮件显示姓名,如“小王”:点击“下一步”,输入读者的电子邮件地址(如 pwb2000@163.net):点击“下一步”,系统让读者分别输入接收邮件服务器和发送邮件服务 器的域名或P地址,如木例为:163.nt,smtD.163.net:关于163的邮件设置,可以参考 wwl63.net的站点邮件设置帮助文件 占未“下一 步”,系统让读者输入登录到邮箱的账号和密码,如果是163帐户,建议读 者勾选“使用安全密码验证”。继续点击“下 一步”,可以看到成功设置了一个新的帐户 (2)Outlook Express中设置邮箱与数字证书的绑定。在Outlook Express6.0单击菜单中的 “工具”,选择“帐号”,选取“邮件”选项卡中的用于发送安全电子邮件的邮件账号,即刚 才建立的账号“小王”,然后单击“属性
三、简答题 1.计算机病毒有哪些种类? ①系统病毒。 ②蠕虫病毒。 ③木马病毒、黑客病毒。 ④脚本病毒。 ⑤宏病毒。 ⑥后门病毒。 ⑦病毒种植程序病毒。 ⑧破坏性程序病毒。 ⑨玩笑病毒。 ⑩捆绑机病毒。 2.常用的物理安全防范策略有哪些呢? (1)机房环境安全。为了使电子商务系统能正常运作,必须提供良好的工作场所,保 证计算机机房的制度安全、建筑安全、设备防火和防盗措施等。 (2)对硬件的保护。计算机硬件系统是电子商务系统的组成部分之一。硬件防护非常 重要,它一般是指在计算机硬件上采取相应措施或通过增加硬件设备来防护,比如防静电、 进行电磁屏蔽、存储器保护和输入输出通道控制等。 3.身份认证技术的具体工具有哪些? (1)静态密码。 (2)智能卡。 (3)短信密码。 (4)动态口令。 (5)USB Key。 (6)生物识别。 4.数字证书的原理是什么? 数字证书的原理:数字证书采用公开密钥密码体制,即利用一对互相匹配的密钥进行加密、 解密。每个用户自己设定一把特定的仅为本人所知的私有密钥,用它进行解密和签名;同时 设定一把公共密钥并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保 密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密。这样信 息就可以安全无误地到达目的地了。 5.简述如何发一份加密的文件给小王。 (1)在 Outlook Express 中设定邮件。首先,打开 Outlook Express,然后选择菜单中的“工 具”菜单中的“帐户”选项,出现“Internet 帐户”对话框,点击右边的“添加”按钮,选择 “邮件”选项, 输入读者的邮件显示姓名,如“小王”;点击“下一步”,输入读者的电子邮件地址(如 pwb2000@163.net);点击“下一步”,系统让读者分别输入接收邮件服务器和发送邮件服务 器的域名或 IP 地址,如本例为:163.net,smtp.163.net;关于 163 的邮件设置,可以参考 www.163.net 的站点邮件设置帮助文件。 继续点击“下一步”,系统让读者输入登录到邮箱的账号和密码,如果是 163 帐户,建议读 者勾选“使用安全密码验证”。继续点击“下一步”,可以看到成功设置了一个新的帐户。 (2)Outlook Express 中设置邮箱与数字证书的绑定。在 Outlook Express6.0 单击菜单中的 “工具”,选择“帐号”,选取“邮件”选项卡中的用于发送安全电子邮件的邮件账号,即刚 才建立的账号“小王”,然后单击“属性
选择上面的“安全”标签,可以看到“签署证书”和“加密首选项”两栏,通过相关设置 可以进行邮件的签署和加密。 继续上图的设: “签名证书”项后,点击“选择”按钮。可以看到在 a netca.net 上面申请的证书。选择读者的数字证书,点击“确定”完成邮箱与证书的绑定,读者也可以 点击“查看证书”,了解自己证书的详细信总。 注意:如果点击“选择”按钮,没有相关的证书弹出来,请确认读者的证书己经正确安装且 没有过期。同时要确认读者在Outlook Expr©ss中所设置的邮箱与读者在申请数字证书时所 提供的邮箱 查看读者在申请数字证书时所提供的邮箱方法 在n 依次点击 中的“Intemet选项”,选择“内容”选项卡中的“证书”,选中读者的数亏 证书,点击“查看”,找到“详细信总”中的“主题”,读者就可以看到邮箱。 按照同样的方法,读者也可以在“加密首选项”中把读者自己的证书选中。就可以准备发送 加密电子邮件了。 (3)发送签名的电子邮件。发送加密邮件前必须先获得接收方的数字标识 收方发一份签名邮件来获取对方的数字标识 或者直接到电子商务安全认证中心的网站如 htp:www.cnca.net上面去查询下载来获取对方的数字标识。 启动Outlook Express6.0,点击“新邮件”,撰写新邮件。同时选中右上方的“签名”或者“加 密”选项 点击“发送”,签名邮件发送成功。当收件人收到并打开有数字签名的邮件时,将看到数字 签名邮件的提示信息, 按“蝶续”按钮 才可阅读到该邮件的内容 若邮件在传输过程中被他人篡改或发信人的数字证书有问题,将出现“安全警告”提示。收 到邮件后,可以看到邮件的右边中间有一个小图标,点击它,可以看到相关的数字证书信息, 包括把查看他的相关信息、把发信人的数字证书添加到自己的通讯簿。 发送加密邮件的方法与发送签名邮件的方法类似,收取申子邮件实际上就是一个解密的过 程,算法已经隐藏在后台运行了。通过这些具休的操作,对加密和解密也有了更加深刻的认 识。 四、论述题 1.试论述如何防御网络黑客对网上支付过程的攻击 首先对自己操作的电脑和网络进行安全规划。 ①防病毒软件 ,国内市场上主要有国产的360、瑞星、金山毒霸和KV杀毒软件。国外 的诺顿、卡巴斯基和McAfee(俗称卖咖啡)等。国外的杀毒软件,内核强大,杀毒功能更 强,界面简洁精干。国内的杀毒软件虽然在内核上无法与国外杀毒软件相媲美,但是在对付 国产病毒方面,占用资源方面又远远优于国外的杀毒软件。比如卡巴斯基是国际上著名的老 牌杀毒软件,杀毒功能强大,但是它占用的系统资源相对就要多一些,所以硬件配置不高的 朋友并不适合使用卡巴斯基,使用占用资源很小的金山毒霸,效果反而会更好 ②查漏补缺。病毒能够轻松地进入用户的电脑,很大程度上是因为用户的电脑上没有任 何的安全防御措施,并且该更新的补丁没有及时更新。因为病毒的作者必须要等待系统补丁 发布以后才能对系统漏洞进行反编译,所以病毒一般是在补丁发布以后的一段时间才会出 现。这个时候及时为系统打上补丁,成为了关键中的关锭。因为在病毒肆虐之前为系统打日 补丁,可以从根本上消除蠕虫病毒所带来的安全隐患 Update自动更新。Windows例行检查可以保护计算机免受最新病毒和其他 安全威胁攻击的更新。 ④防止下载病毒。面对Internet如此海量的资源,特别是一些网络游戏的外挂中、小网站里 的工具中、一些号称“免费”的网络资源中,经常隐藏有令人意料不到的东西。避免下载到
选择上面的“安全”标签,可以看到“签署证书”和“加密首选项”两栏,通过相关设置, 可以进行邮件的签署和加密。 继续上图的设置,在“签名证书”项后,点击“选择”按钮。可以看到在 https://testca.netca.net/ 上面申请的证书。选择读者的数字证书,点击“确定”完成邮箱与证书的绑定,读者也可以 点击“查看证书”,了解自己证书的详细信息。 注意:如果点击“选择”按钮,没有相关的证书弹出来,请确认读者的证书已经正确安装且 没有过期。同时要确认读者在 Outlook Express 中所设置的邮箱与读者在申请数字证书时所 提供的邮箱一致。查看读者在申请数字证书时所提供的邮箱方法:在 Internet Explorer 中, 依次点击“工具”中的“Internet 选项”,选择“内容”选项卡中的“证书”,选中读者的数字 证书,点击“查看”,找到“详细信息”中的“主题”,读者就可以看到邮箱。 按照同样的方法,读者也可以在“加密首选项”中把读者自己的证书选中。就可以准备发送 加密电子邮件了。 (3)发送签名的电子邮件。发送加密邮件前必须先获得接收方的数字标识,可以首先让接 收方发一份签名邮件来获取对方的数字标识,或者直接到电子商务安全认证中心的网站如 http://www.cnca.net 上面去查询下载来获取对方的数字标识。 启动 Outlook Express6.0,点击“新邮件”,撰写新邮件。同时选中右上方的“签名”或者“加 密”选项 点击“发送”,签名邮件发送成功。当收件人收到并打开有数字签名的邮件时,将看到数字 签名邮件的提示信息,按“继续”按钮后,才可阅读到该邮件的内容。 若邮件在传输过程中被他人篡改或发信人的数字证书有问题,将出现“安全警告”提示。收 到邮件后,可以看到邮件的右边中间有一个小图标,点击它,可以看到相关的数字证书信息, 包括把查看他的相关信息、把发信人的数字证书添加到自己的通讯簿。 发送加密邮件的方法与发送签名邮件的方法类似,收取电子邮件实际上就是一个解密的过 程,算法已经隐藏在后台运行了。通过这些具体的操作,对加密和解密也有了更加深刻的认 识。 四、论述题 1.试论述如何防御网络黑客对网上支付过程的攻击。 首先对自己操作的电脑和网络进行安全规划。 ①防病毒软件。国内市场上主要有国产的 360、瑞星、金山毒霸和 KV 杀毒软件。国外 的诺顿、卡巴斯基和 McAfee(俗称卖咖啡)等。国外的杀毒软件,内核强大,杀毒功能更 强,界面简洁精干。国内的杀毒软件虽然在内核上无法与国外杀毒软件相媲美,但是在对付 国产病毒方面,占用资源方面又远远优于国外的杀毒软件。比如卡巴斯基是国际上著名的老 牌杀毒软件,杀毒功能强大,但是它占用的系统资源相对就要多一些,所以硬件配置不高的 朋友并不适合使用卡巴斯基,使用占用资源很小的金山毒霸,效果反而会更好。 ②查漏补缺。病毒能够轻松地进入用户的电脑,很大程度上是因为用户的电脑上没有任 何的安全防御措施,并且该更新的补丁没有及时更新。因为病毒的作者必须要等待系统补丁 发布以后才能对系统漏洞进行反编译,所以病毒一般是在补丁发布以后的一段时间才会出 现。这个时候及时为系统打上补丁,成为了关键中的关键。因为在病毒肆虐之前为系统打上 补丁,可以从根本上消除蠕虫病毒所带来的安全隐患。 ③Windows Update 自动更新。Windows 例行检查可以保护计算机免受最新病毒和其他 安全威胁攻击的更新。 ④防止下载病毒。面对 Internet 如此海量的资源,特别是一些网络游戏的外挂中、小网站里 的工具中、一些号称“免费”的网络资源中,经常隐藏有令人意料不到的东西。避免下载到
病毒要养成良好的下载习惯。一般不要去一些小的网站下载东西,对任何下找的文件和程序 不直接打开,而是先使用杀毒软件查毒后再打开。 2. 说明数字证书在哪些方面应用 数字证书使用对象的角度分,目前的数字证书类型主要包括:个人身份证书、企业或机 构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。这些数 字证书特点各有不同。 从数字证书的技术角度分,CA中心发放的证书分为两类:SSL证书和SET证书。一般地说 SSL证书(安全套接后 是服务于银行对企业或企业对企业的电子商务活动的:而$ET( 全电子交易)证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的 证书,但它们的信任体系完全不同,而且所符合的标准也不一样。简单地说,$$L数字证书 的功能作用是通过公开密钥证明持证人的身份。而SET证书的作用则是,通过公开老钥证 明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。 3.PK的原理。 公钥基础设施PKI的原理,顿名思义PK】是基于公钥密码技术的。对于普通的对称密码学 加密运算与解密运算使用同样的密钥。通常,使用的加密算法比较简便高效,密钥简短,破 译极其困难,由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安 全的传送和保管密钥是一个严峻的问题 。正是由于对称密码学中双方都使用相同的密钥,因 此无法实现数据签名和不可否认性等 而与 不同的是非对称密码学 具有两 个是公钥一个是私钥,它们具有这种性质:用公钥加密的文件只能用私钥解密,而私钥加 密的文件只能用公钥解密。公钥顾名思义是公开的,所有人都可以得到它:私钥是私有的, 不应被其他人得到,具有唯一性。这禅就可以满足电子商务中需要的一些安全要求。比如说 要证明某个文件是特定人的该人就可以用他的私细对文件加密,别人如果能用他的公组 密此文件,说明此文件就是这个人的 这就可以说是 证的实现。还有如果只想让某 人看到一个文件,就可以用此人的公钥加密文件然后传给他,这是只有他自己可以用私钥解 密,这可以说是保密性的实现。基于这种原理还可以实现完整性,这就是PK紅所依换的核心 思相 在丽实生活中,加果我们想绘其个人在网上传美一个机密文件,该文件只想让那个人看到 我们可以用对称密码将文件加密 ,在我们把加密后的文件传送给他后, 必须得让他知道解密 用的密钥,这样就出现了 个新的问题,就是如何保密的传送该密钥,此时我们发现传输 称密钥也不可靠。若改用非对称密码的技术加密,问题就解决了。然而又有一 个新的问题 生了,就是如何才能确定这个公组就是这个人的,假如我们得到了 ·个虑假的公钥,出加说 我们传给A一个文件,于是开始查找A的公钥,但是这时B从中捣乱,他用自己的公钥替 换了A的公钥,让我们错误地认为B的公钥就是A的公钥,导致我们最终使用B的公钥加 密文件,结果A无法打开文件。而B可以打开文件 这样B实现了对保密信息的窃取。因 此就算是采用非对称密码技术,仍旧无法保证保密性的实现,那我们如何才能确定的得到我 们想要的人的公钥呢?这是我们自然想到需要一个仲裁机构,或者说是一个权威的机构,它 能为我们准确无误的提供我们需要的人的公钥,这就是CA。 这实际上也是应用公钥技术的关键,即如何确认某个人点正拥有公组(及对应的私钥)。在 PK中,为了确保用户的身份及他所持有的密钥的正确四 公开密钥系统需要一个值得信 赖而且独立的第三方机构充当认证中心(CA),来确定公钥拥有人的真正身份。就像公岁 局发放的身份证一样,认证中心发放一个叫“数字证书”的身份证明。这个身份证书包含了 用户身份的部分信息及用户所持有的公钥。向公安局对身份证盖章一样,认证中心利用本身 的私钥为数字证书加上数字签名。任何想发放自己公钥的用户,可以去认证中心申请自己的
病毒要养成良好的下载习惯,一般不要去一些小的网站下载东西,对任何下载的文件和程序 都不直接打开,而是先使用杀毒软件查毒后再打开。 2.说明数字证书在哪些方面应用。 从数字证书使用对象的角度分,目前的数字证书类型主要包括:个人身份证书、 企业或机 构身份证书、支付网关证书、服务器证书、安全电子邮件证书、个人代码签名证书。这些数 字证书特点各有不同。 从数字证书的技术角度分,CA 中心发放的证书分为两类:SSL 证书和 SET 证书。一般地说, SSL 证书(安全套接层)是服务于银行对企业或企业对企业的电子商务活动的;而 SET(安 全电子交易)证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的 证书,但它们的信任体系完全不同,而且所符合的标准也不一样。简单地说,SSL 数字证书 的功能作用是通过公开密钥证明持证人的身份。而 SET 证书的作用则是,通过公开密钥证 明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。 3.PKI 的原理。 公钥基础设施 PKI 的原理,顾名思义 PKI 是基于公钥密码技术的。对于普通的对称密码学, 加密运算与解密运算使用同样的密钥。通常,使用的加密算法比较简便高效,密钥简短,破 译极其困难,由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安 全的传送和保管密钥是一个严峻的问题。正是由于对称密码学中双方都使用相同的密钥,因 此无法实现数据签名和不可否认性等功能。而与此不同的是非对称密码学,具有两个密钥, 一个是公钥一个是私钥,它们具有这种性质:用公钥加密的文件只能用私钥解密,而私钥加 密的文件只能用公钥解密。公钥顾名思义是公开的,所有人都可以得到它;私钥是私有的, 不应被其他人得到,具有唯一性。这样就可以满足电子商务中需要的一些安全要求。比如说 要证明某个文件是特定人的,该人就可以用他的私钥对文件加密,别人如果能用他的公钥解 密此文件,说明此文件就是这个人的,这就可以说是一种认证的实现。还有如果只想让某个 人看到一个文件,就可以用此人的公钥加密文件然后传给他,这是只有他自己可以用私钥解 密,这可以说是保密性的实现。基于这种原理还可以实现完整性,这就是 PKI 所依赖的核心 思想。 在现实生活中,如果我们想给某个人在网上传送一个机密文件,该文件只想让那个人看到, 我们可以用对称密码将文件加密,在我们把加密后的文件传送给他后,必须得让他知道解密 用的密钥,这样就出现了一个新的问题,就是如何保密的传送该密钥,此时我们发现传输对 称密钥也不可靠。若改用非对称密码的技术加密,问题就解决了。然而又有一个新的问题产 生了,就是如何才能确定这个公钥就是这个人的,假如我们得到了一个虚假的公钥,比如说 我们传给 A 一个文件,于是开始查找 A 的公钥,但是这时 B 从中捣乱,他用自己的公钥替 换了 A 的公钥,让我们错误地认为 B 的公钥就是 A 的公钥,导致我们最终使用 B 的公钥加 密文件,结果 A 无法打开文件,而 B 可以打开文件,这样 B 实现了对保密信息的窃取。因 此就算是采用非对称密码技术,仍旧无法保证保密性的实现,那我们如何才能确定的得到我 们想要的人的公钥呢?这是我们自然想到需要一个仲裁机构,或者说是一个权威的机构,它 能为我们准确无误的提供我们需要的人的公钥,这就是 CA。 这实际上也是应用公钥技术的关键,即如何确认某个人真正拥有公钥(及对应的私钥)。在 PKI 中,为了确保用户的身份及他所持有的密钥的正确匹配,公开密钥系统需要一个值得信 赖而且独立的第三方机构充当认证中心(CA),来确定公钥拥有人的真正身份。就像公安 局发放的身份证一样,认证中心发放一个叫“数字证书”的身份证明。这个身份证书包含了 用户身份的部分信息及用户所持有的公钥。向公安局对身份证盖章一样,认证中心利用本身 的私钥为数字证书加上数字签名。任何想发放自己公钥的用户,可以去认证中心申请自己的
证书。认证中心在签订该人的真实身份后,颁发包含用户公钥的数字证书。其他用户只要能 验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥。认证中心是公 钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便的使用公钥技术带来的安 全服务
证书。认证中心在签订该人的真实身份后,颁发包含用户公钥的数字证书。其他用户只要能 验证证书是真实的,并且信任颁发证书的认证中心,就可以确认用户的公钥。认证中心是公 钥基础设施的核心,有了大家信任的认证中心,用户才能放心方便的使用公钥技术带来的安 全服务