1.加/解密算法
加密算法是加密原始消息让其变为密文消息的算法。解密算法是解密密文消息使它变成明文消息的算法。加/解密算法的基本原则是:算法公开,密钥保密。密钥是加/解密算法中的可变参数,一般为一组符合一定条件的随机序列。用于加密算法的密钥叫加密密钥,用于解密算法的密钥叫解密密钥。
2.Hash函数
Hash函数将任意长度的输入,由Hash算法,变换为确定长度的输出,该输出就是Hash值或消息摘要。常用的消息摘要是160bit或256bit。一般来说,对于给出的一个消息通过变换,计算它的Hash值很容易,但要从Hash值找出相应的原始消息很困难。Hash函数最本质的特点是变换有单向性。
Hash函数的使用方法为:用Hash算法对消息生成摘要并保存,以后每次用时都对消息用相同的Hash算法计算,若得到的摘要与保存的摘要相等,则认为消息没有被修改,从而实现了检验消息完整性的目的。常用的Hash算法有MDS、SHA等。
Hash函数的单向性让它天生就对消息进行差错检测,消息中的随意一比特或若干比特发生改变都会造成消息摘要改变。且Hash函数的速度比对称加密算法还快,因此被广泛应用。
3.双重数字签名
数字签名指附加在报文信息上的一些数据,或其做的密码变换,这种密码变换可让数据单元的接收者辨认信息的来源与是否完整,并保护数据,防止接收者或他人伪造。一个签名者的签名仅可唯一地由其自己产生。当双方争议时,仲裁机构就用信息上的数字签名进行无误的裁定,从而实现防抵赖性的安全服务。
双重数字签名的概念就是指在某些场合,发送者要向接收者寄两组有关信息。接收者仅可解读其中一组,另一组只可转给第三方接收者,不可以打开看,故称做双重数字签名。
双重数字签名是PKI中各种加/解密技术的综合应用,是SET和non-SET中常用的技术,在B2C、B2B的电子商务应用模式中广泛应用。
4.数字信封
数字信封是指将通信密钥,也是对称密钥加密,形成数字信封,之后传给接收端。仅有指定的接收方才可拿私钥把数字信封打开,得到此对称密钥,用其解读传送来的信息。
数字信封技术是借密码技术确保仅有规定的消息接收者才可获取消息的安全技术。它解决了私钥加密中密钥分发与公钥加密时间长的困难,它在外层用公钥加密算法,因而有了公钥的灵活性,同时在内层用对称加密算法,可提高加密效率。它还便于在传送中用不一样的对称密钥,给系统额外的安全保证。
数字信封是PKI中用对称和非对称密码算法的完美结合,是PKI应用系统中常用的一种密码技术。
5.信任模型
在PKI应用中,用户的信任主要源自对证书的验证,而此信任是基于对颁发证书的CA的信任,而不一样可信PKI域的信任要靠证书链或交叉认证来完成,这种组成PKI域终端用户间认证与互相信任的PKI/CA结构方式,叫做信任模型。
一个PKI中全部的实体形成独立的信任域。PKI内CA与CA、CA与用户实体间的结构形成PKI体系,叫做PKI的信任模型。它确定了域内不同实体的结构,是建立PKI的第一步问题。
