数字证书在电子病历中的应用/洪劼(3)
三、基于数字证书的CA认证技术
数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在网络上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。数字证书是由权威公正的第三方机构即 CA 中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。简单的说我们可以使用数字证书来保证:信息除发送方和接收方外不被其他人窃取即使被窃取得到的也是不能读懂的乱码;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖;信息存储的完整机密。 数字证书采用公钥密码体制,即每个实体都有一对互相匹配的密钥:公开密钥(公钥)和私有密钥(私钥)。每个用户拥有一把仅为本人所掌握的私钥,用它进行解密和签名;另外还拥有一把公钥并可以对外公开,用于加密和验证签名。 CA就是数字或电子证书认证中心,是一个负责数字证书发放和管理,同时为电子商务或电子政务系统等提供数字身份验证和安全可信支撑平台的第三方的权威机构。应用系统通过第三方认证机构提供的数字证书和安全支撑平台使应用系统具有可信性和合法性。这就是 CA 认证的意义。CA 认证对应用系统主要提供以下功能:
1) 身份认证
通过安全应用支撑平台为应用系统提供安全认证的环境基础,利用为系统的用户、设备、机
构、业务等颁发数字证书作为身份识别和认证的依据,在应用系统的登陆部分,实现用户与服务资源的双向认证,达到“一人一证、一机一证、每个机构一证、每个业务一证、持证上岗”的效果。
2) 数据签名
对数据的签名和验签,是将数据作为证据的一种最有效的方法。系统通过利用用户的签名私
钥,对数据进行签名运算,并把运算结果作为一个字段存储在数据库中,这样数据就是经过这个用户签名的数据,具有法律效力,不能修改。当需要对数据进行验签时,系统只要再用用户的证书进行一次运算,就可以确定签名的有效性。对数据作签名验签可以确认数据单元的来源和完整性,并保护数据,防止被人伪造或篡改。
3) 数据的加解密
基于安全的整体规划考虑,数据在网络中传输时要确保机密数据不为第三方窃取。需要在机
密数据的传输过程中进行加密处理,只能由接收方进行解密还原成明文,才能保证机密数据即使被第三方窃取也由于没有解密密钥而只能是一些无用的加密文件,这就是“取得到,但看不懂”。认证系统采用的是基于非对称和对称加密技术的数字信封的加密方式,即原文利用对称算法进行加密,得到原文的密文,在把对称算法的密钥利用非对称算法进行加密得到密钥密文,把原文密文和密钥密文加上公钥组成了数字信封进行机密传输,而用于加密和解密的私钥只能在存在数字证书中。
总共5页
[1] [2] 3
[4] [5] 上一页 下一页