1703483489
现金管理:数字时代的网络金融服务 四、安全认证技术
1703483490
1703483491
信息的认证性是信息安全性的另一个重要方面。认证的目的有两个:一是验证信息的发送者是真正的,而不是冒充的;二是验证信息的完整性,即验证信息在传送或存储过程中是否被篡改、攻击和破坏等。安全认证是防止他人对数据进行主动攻击(如伪造,篡改信息等)的一种重要技术。安全认证的主要技术手段有:
1703483492
1703483493
(一)身份识别
1703483494
1703483495
通信和数据系统的安全性常常取决于能否正确识别通信用户或终端的个人身份。比如银行的自动取款机(ATM)可将现款发放给经它正确识别的账号持卡人。对计算机的访问和使用、安全地区的出入和放行、出入境等都是以准确的身份识别为基础的。身份识别技术能使识别者让对方识别到自己的真正身份,确保识别者的合法权益。但是从更深一层意义上来说,它是社会责任制的体现和社会管理的需要。
1703483496
1703483497
进入电子信息社会,虽然有不少学者试图使用电子化生物唯一识别信息(如指纹、掌纹、声纹、视网膜、脸形等),但由于代价高、准确性低、存储空间大和传输效率低,不适合计算机读取和判别,只能作为辅助措施应用。而使用密码技术,特别是公钥密码技术,能够设计出安全性高的识别协议,普遍受到人们的青睐。
1703483498
1703483499
当前,常用的各类具有身份识别功能的技术主要有:密码口令、智能卡、硬件加密卡、动态口令卡、证书认证、指纹和眼角虹膜等。
1703483500
1703483501
(二)数字签名技术
1703483502
1703483503
随着信息时代的来临,人们希望通过数字通信网络进行远距离的贸易合同的签名,为了保证数据的完整性,完成数据原发者身份鉴别,数字签名(Digital Signature)技术应运而生,并开始运用到商业通信系统中(如电子邮递、电子转账、办公室自动化等系统中)。
1703483504
1703483505
所谓“数字签名”就是通过某种密码运算方法生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
1703483506
1703483507
一个数字签名算法主要由两个算法组成,即签名算法和验证算法。签名者能使用一个(秘密)签名算法签一个消息,所得的签名能通过一个公开的验证算法来验证。给定一个签名,验证算法根据签名是否真实来作出一个“真”或“假”的问答。
1703483508
1703483509
数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖行为发生。
1703483510
1703483511
(三)PKI认证体系
1703483512
1703483513
1.PKI的含义
1703483514
1703483515
PKI(Public Key Infrastructure)即“公开密钥体系”,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、安全通信、密钥恢复和安全时间等9项信息安全所需要的服务。简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
1703483516
1703483517
PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在互联网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在互联网上实现密钥的自动管理,保证网上数据的安全传输。
1703483518
1703483519
因此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便地使用加密和数字签名技术,从而保证网上数据的机密性、完整性和有效性。
1703483520
1703483521
2.PKI的组成
1703483522
1703483523
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、密钥和证书的更新、证书作废系统、支持交叉认证、应用接口(API)等基本构成部分。
1703483524
1703483525
(1)认证机构CA(Certificate Authority,简称CA)
1703483526
1703483527
CA是PKI的核心执行机构,是PKI的主要组成部分,业界人士通常称它为认证中心。即数字证书的申请及签发机关,CA必须具备权威性的特征;
1703483528
1703483529
(2)数字证书库
1703483530
1703483531
证书是数字证书或电子证书的简称,它符合X.509标准,是网上实体身份的证明。证书是由具备权威性、可信任性和公正性的第三方机构签发的,因此,它是权威性的电子文档。数字证书库是用于存储已签发的数字证书及公钥的存放处,用户可由此获得所需的其他用户的证书及公钥。
1703483532
1703483533
(3)密钥备份及恢复系统
1703483534
1703483535
密钥备份及恢复是密钥管理的主要内容,如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构(CA)来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
1703483536
1703483537
(4)密钥和证书的更新
[
上一页 ]
[ :1.703483488e+09 ]
[
下一页 ]