PKI基础(二).PKI基础--5.数字证书及应用

　　5．数字证书 　　

　　　　数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。　　

　　　　从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。　　

　　　　简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循X.509标准。 　　

　　6．数字证书的应用 　　

　　　　现有持证人甲向持证人乙传送数字信息，为了保证信息传送的真实性、完整性和不可否认性，需要对要传送的信息进行数字加密和数字签名，其传送过程如下： 　　

　　　　（1） 甲准备好要传送的数字信息（明文）。 　　

　　　　（2） 甲对数字信息进行哈希（hash）运算，得到一个信息摘要。 　　

　　　　（3） 甲用自己的私钥（SK）对信息摘要进行加密得到甲的数字签名，并将其附在数字信息上。 　　

　　　　（4） 甲随机产生一个加密密钥（DES密钥），并用此密钥对要发送的信息进行加密，形成密文。 　　

　　　　（5） 甲用乙的公钥（PK）对刚才随机产生的加密密钥进行加密，将加密后的DES密钥连同密文一起传送给乙。 　　

　　　　（6） 乙收到甲传送过来的密文和加过密的DES密钥，先用自己的私钥（SK）对加密的DES密钥进行解密，得到DES密钥。 　　

　　　　（7） 乙然后用DES密钥对收到的密文进行解密，得到明文的数字信息，然后将DES密钥抛弃（即DES密钥作废）。 　　

　　　　（8） 乙用甲的公钥（PK）对甲的数字签名进行解密，得到信息摘要。　　

　　　　（9） 乙用相同的hash算法对收到的明文再进行一次hash运算，得到一个新的信息摘要。 　　

　　　　（10） 乙将收到的信息摘要和新产生的信息摘要进行比较，如果一致，说明收到的信息没有被修改过。