1、什么是數(shù)字證書? TOP
數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡通訊中識別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。
數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網(wǎng)絡應用的安全性。
數(shù)字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由于沒有相應的私鑰,也無法進行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件,也就形成了數(shù)字簽名。采用數(shù)字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否;
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件。
數(shù)字證書可用于:發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務等網(wǎng)上安全電子事務處理和安全電子交易活動。
數(shù)字證書的格式一般采用X.509國際標準。
2、數(shù)字證書的用途 TOP
CA中心所發(fā)放的數(shù)字證書可以應用于公眾網(wǎng)絡上的商務活動和行政作業(yè)活動,包括支付型和非支付型電子商務活動,其應用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè),包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易,以及公共事業(yè)、金融服務業(yè)、工商稅務海關(guān)、政府行政辦公、教育科研單位、保險、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。它主要應用于網(wǎng)上購物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。CA中心還可以與企業(yè)代碼證中心合作,將企業(yè)代碼證和企業(yè)數(shù)字安全證書一體化,為企業(yè)網(wǎng)上交易、網(wǎng)上報稅、網(wǎng)上報關(guān)、網(wǎng)上作業(yè)奠定基礎(chǔ),免去企業(yè)面對眾多的窗口服務的苦累。
主要應用:
(1)網(wǎng)上報稅
(2)工商管理。
(3)網(wǎng)上辦公
(4)安全電子郵件
(5)網(wǎng)上交易
(6)網(wǎng)上招標
以往的招投標受時間、地域、人文的影響,存在著許多弊病,例如外地投標者的不便、招投標各方的資質(zhì),以及招標單位和投標單位之間存在的不正當關(guān)系。而實行網(wǎng)上的公開招投標,利用數(shù)字安全證書對企業(yè)進行身份確認,招投標企業(yè)只有在通過身份和資質(zhì)審核后,才可在網(wǎng)上展開招投標活動,從而確保了招投標企業(yè)的安全性和合法性,雙方企業(yè)通過安全網(wǎng)絡通道了解和確認對方的信息,選擇符合自己條件的合作伙伴,確保網(wǎng)上的招投標在一種安全、透明、信任、合法、高效的環(huán)境下進行。通過該網(wǎng)上招投標系統(tǒng),使企業(yè)能夠制定正確的投資取向,根據(jù)自身的實際情況,選擇合適的合作者。
3、數(shù)字證書工作原理 TOP
數(shù)字證書采用公鑰體制,就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人一個人知道。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。其數(shù)學原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按現(xiàn)在的計算機技術(shù)水平,要破解目前采用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密,安全地傳送以商戶,然后由商戶用自己的私有密鑰進行解密。
用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件,也就形成了數(shù)字簽名。采用數(shù)字簽名,能夠確認以下兩點:
(1) 保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否認;
(2) 保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件。
數(shù)字簽名具體做法是:
(1) 將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要。在數(shù)學上保證,只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。
(2) 將該報文摘要值用發(fā)送者的私人密鑰加密,然后連同原報文一起發(fā)送給接收者,而產(chǎn)生的報文即稱數(shù)字簽名。
(3)接收方收到數(shù)字簽名后,用同樣的HASH算法對報文計算摘要值,然后與用發(fā)送者的公開密鑰進行解密解開的報文摘要值相比較,如相等則說明報文確實來自所稱的發(fā)送者。
4、CA中心的概念 TOP
數(shù)字證書認證中心(Certficate Authority,CA)就是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。對于一個大型的應用環(huán)境,認證中心往往采用一種多層次的分級結(jié)構(gòu),各級的認證中心類似于各級行政機關(guān),上級認證中心負責簽發(fā)和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。 認證中心主要有以下幾種功能:
(1) 證書的頒發(fā)
中心接收、驗證用戶(包括下級認證中心和最終用戶)的數(shù)字證書的申請,將申請的內(nèi)容進行備案,并根據(jù)申請的內(nèi)容確定是否受理該數(shù)字證書申請。如果中心接受該數(shù)字證書申請,則進一步確定給用戶頒發(fā)何種類型的證書。新證書用認證中心的私鑰簽名以后,發(fā)送到目錄服務器供用戶下載和查詢。為了保證消息的完整性,返回給用戶的所有應答信息都要使用認證中心的簽名。
(2)證書的更新
認證中心可以定期更新所有用戶的證書,或者根據(jù)用戶的請求來更新用戶的證書。
(3)證書的查詢
證書的查詢可以分為兩類,其一是證書申請的查詢,認證中心根據(jù)用戶的查詢請求返回當前用戶證書申請的處理過程;其二是用戶證書的查詢,這類查詢由目錄服務器來完成,目錄服務器根據(jù)用戶的請求返回適當?shù)淖C書。
(4)證書的作廢
當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時,用戶需要向認證中心提出證書作廢的請求,認證中心根據(jù)用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過了有效期,認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(Certificate Revocation List,CRL)來完成上述功能。
(5)證書的歸檔
證書具有一定的有效期,證書過了有效期之后就將作廢,但是我們不能將作廢的證書簡單地丟棄,因為有時我們可能需要驗證以前的某個交易過程中產(chǎn)生的數(shù)字簽名,這時我們就需要查詢作廢的證書。基于此類考慮,認證中心還應當具備管理作廢證書和作廢私鑰的功能。
5、PKI技術(shù)基礎(chǔ) TOP
(1) PKI基本概念
公鑰基礎(chǔ)設施PKI(Public Key Infrastructure),是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務的關(guān)鍵和基礎(chǔ)技術(shù)。
原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù),而解密時用于解密的密鑰與加密密鑰相同,這稱之為對稱型加密算法。采用此加密技術(shù)的理論基礎(chǔ)的加密方法如果用于網(wǎng)絡傳輸數(shù)據(jù)加密,則不可避免地出現(xiàn)安全漏洞。因為在發(fā)送加密數(shù)據(jù)的同時,也需要將密鑰通過網(wǎng)絡傳輸通知接收者,第三方在截獲加密數(shù)據(jù)的同時,只需再截取相應密鑰即可將數(shù)據(jù)解密使用或進行非法篡改。
區(qū)別于原有的單密鑰加密技術(shù),PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。
PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。
(2) PKI的基本組成
完整的PKI系統(tǒng)必須具有權(quán)威認證機構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應用接口(API)等基本構(gòu)成部分,構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。
認證機構(gòu)(CA):
即數(shù)字證書的申請及簽發(fā)機關(guān),CA必須具備權(quán)威性的特征;
數(shù)字證書庫:
用于存儲已簽發(fā)的數(shù)字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰;
密鑰備份及恢復系統(tǒng):
如果用戶丟失了用于解密數(shù)據(jù)的密鑰,則數(shù)據(jù)將無法被解密,這將造成合法數(shù)據(jù)丟失。為避免這種情況,PKI提供備份與恢復密鑰的機制。但須注意,密鑰的備份與恢復必須由可信的機構(gòu)來完成。并且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統(tǒng):
證書作廢處理系統(tǒng)是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內(nèi)也可能需要作廢,原因可能是密鑰介質(zhì)丟失或用戶身份變更等。為實現(xiàn)這一點,PKI必須提供作廢證書的一系列機制。
應用接口(API):
PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務,因此一個完整的PKI必須提供良好的應用接口系統(tǒng),使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保安全網(wǎng)絡環(huán)境的完整性和易用性。
通常來說,CA是證書的簽發(fā)機構(gòu),它是PKI的核心。眾所周知,構(gòu)建密碼服務系統(tǒng)的核心內(nèi)容是如何實現(xiàn)密鑰管理。公鑰體制涉及到一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網(wǎng)上傳輸,而公鑰則是公開的,需要在網(wǎng)上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,目前較好的解決方案是數(shù)字證書機制。
數(shù)字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權(quán)威性的電子文檔,形同網(wǎng)絡計算環(huán)境中的一種身份證,用于證明某一主體(如人、服務器等)的身份以及其公開密鑰的合法性,又稱為數(shù)字ID。數(shù)字證書由一對密鑰及用戶信息等數(shù)據(jù)共同組成,并寫入一定的存儲介質(zhì)內(nèi),確保用戶信息不被非法讀取及篡改。
6、關(guān)于電子簽名的介紹 TOP
(1)什么是電子簽名
《電子簽名法》中明確規(guī)定:電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。而數(shù)據(jù)電文是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。
這部法律規(guī)定、可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力,屆時消費者可用手寫簽名、公章的“電子版”、秘密代號、密碼或指紋、聲音、視網(wǎng)膜結(jié)構(gòu)等安全地在網(wǎng)上“付錢”、“交易”及“轉(zhuǎn)帳”。
(2)《電子簽名法》立法的目的
《電子簽名法》立法的直接目的是為了規(guī)范電子簽名行為,確立電子簽名的法律效力,維護各方合法權(quán)益;立法的最終目的是為了促進電子商務和電子政務的發(fā)展,增強交易的安全性。
(3)電子簽名法的主要內(nèi)容
《電子簽名法》重點解決了五個方面的問題。一是確立了電子簽名的法律效力;二是規(guī)范了電子簽名的行為;三是明確了認證機構(gòu)的法律地位及認證程序,并給認證機構(gòu)設置了市場準入條件和行政許可的程序;四是規(guī)定了電子簽名的安全保障措施;五是明確了認證機構(gòu)行政許可的實施主體是國務院信息產(chǎn)業(yè)主管部門。目前已變更為信息和工業(yè)化部,目前已經(jīng)取得資質(zhì)得有北京天威誠信電子商務服務有限公司等20余家公司獲得了從業(yè)資格,可以對外提供合法電子簽名服務。
數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡通訊中識別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。
數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網(wǎng)絡應用的安全性。
數(shù)字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由于沒有相應的私鑰,也無法進行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件,也就形成了數(shù)字簽名。采用數(shù)字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否;
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件。
數(shù)字證書可用于:發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務等網(wǎng)上安全電子事務處理和安全電子交易活動。
數(shù)字證書的格式一般采用X.509國際標準。
2、數(shù)字證書的用途 TOP
CA中心所發(fā)放的數(shù)字證書可以應用于公眾網(wǎng)絡上的商務活動和行政作業(yè)活動,包括支付型和非支付型電子商務活動,其應用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè),包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易,以及公共事業(yè)、金融服務業(yè)、工商稅務海關(guān)、政府行政辦公、教育科研單位、保險、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。它主要應用于網(wǎng)上購物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。CA中心還可以與企業(yè)代碼證中心合作,將企業(yè)代碼證和企業(yè)數(shù)字安全證書一體化,為企業(yè)網(wǎng)上交易、網(wǎng)上報稅、網(wǎng)上報關(guān)、網(wǎng)上作業(yè)奠定基礎(chǔ),免去企業(yè)面對眾多的窗口服務的苦累。
主要應用:
(1)網(wǎng)上報稅
(2)工商管理。
(3)網(wǎng)上辦公
(4)安全電子郵件
(5)網(wǎng)上交易
(6)網(wǎng)上招標
以往的招投標受時間、地域、人文的影響,存在著許多弊病,例如外地投標者的不便、招投標各方的資質(zhì),以及招標單位和投標單位之間存在的不正當關(guān)系。而實行網(wǎng)上的公開招投標,利用數(shù)字安全證書對企業(yè)進行身份確認,招投標企業(yè)只有在通過身份和資質(zhì)審核后,才可在網(wǎng)上展開招投標活動,從而確保了招投標企業(yè)的安全性和合法性,雙方企業(yè)通過安全網(wǎng)絡通道了解和確認對方的信息,選擇符合自己條件的合作伙伴,確保網(wǎng)上的招投標在一種安全、透明、信任、合法、高效的環(huán)境下進行。通過該網(wǎng)上招投標系統(tǒng),使企業(yè)能夠制定正確的投資取向,根據(jù)自身的實際情況,選擇合適的合作者。
3、數(shù)字證書工作原理 TOP
數(shù)字證書采用公鑰體制,就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人一個人知道。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。其數(shù)學原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積,加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰),在計算上是不可能的。按現(xiàn)在的計算機技術(shù)水平,要破解目前采用的1024位RSA密鑰,需要上千年的計算時間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題,商戶可以公開其公開密鑰,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密,安全地傳送以商戶,然后由商戶用自己的私有密鑰進行解密。
用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件,也就形成了數(shù)字簽名。采用數(shù)字簽名,能夠確認以下兩點:
(1) 保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否認;
(2) 保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件。
數(shù)字簽名具體做法是:
(1) 將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要。在數(shù)學上保證,只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。
(2) 將該報文摘要值用發(fā)送者的私人密鑰加密,然后連同原報文一起發(fā)送給接收者,而產(chǎn)生的報文即稱數(shù)字簽名。
(3)接收方收到數(shù)字簽名后,用同樣的HASH算法對報文計算摘要值,然后與用發(fā)送者的公開密鑰進行解密解開的報文摘要值相比較,如相等則說明報文確實來自所稱的發(fā)送者。
4、CA中心的概念 TOP
數(shù)字證書認證中心(Certficate Authority,CA)就是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。對于一個大型的應用環(huán)境,認證中心往往采用一種多層次的分級結(jié)構(gòu),各級的認證中心類似于各級行政機關(guān),上級認證中心負責簽發(fā)和管理下級認證中心的證書,最下一級的認證中心直接面向最終用戶。 認證中心主要有以下幾種功能:
(1) 證書的頒發(fā)
中心接收、驗證用戶(包括下級認證中心和最終用戶)的數(shù)字證書的申請,將申請的內(nèi)容進行備案,并根據(jù)申請的內(nèi)容確定是否受理該數(shù)字證書申請。如果中心接受該數(shù)字證書申請,則進一步確定給用戶頒發(fā)何種類型的證書。新證書用認證中心的私鑰簽名以后,發(fā)送到目錄服務器供用戶下載和查詢。為了保證消息的完整性,返回給用戶的所有應答信息都要使用認證中心的簽名。
(2)證書的更新
認證中心可以定期更新所有用戶的證書,或者根據(jù)用戶的請求來更新用戶的證書。
(3)證書的查詢
證書的查詢可以分為兩類,其一是證書申請的查詢,認證中心根據(jù)用戶的查詢請求返回當前用戶證書申請的處理過程;其二是用戶證書的查詢,這類查詢由目錄服務器來完成,目錄服務器根據(jù)用戶的請求返回適當?shù)淖C書。
(4)證書的作廢
當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時,用戶需要向認證中心提出證書作廢的請求,認證中心根據(jù)用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經(jīng)過了有效期,認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(Certificate Revocation List,CRL)來完成上述功能。
(5)證書的歸檔
證書具有一定的有效期,證書過了有效期之后就將作廢,但是我們不能將作廢的證書簡單地丟棄,因為有時我們可能需要驗證以前的某個交易過程中產(chǎn)生的數(shù)字簽名,這時我們就需要查詢作廢的證書。基于此類考慮,認證中心還應當具備管理作廢證書和作廢私鑰的功能。
5、PKI技術(shù)基礎(chǔ) TOP
(1) PKI基本概念
公鑰基礎(chǔ)設施PKI(Public Key Infrastructure),是一種遵循既定標準的密鑰管理平臺,它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系,簡單來說,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務的關(guān)鍵和基礎(chǔ)技術(shù)。
原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù),而解密時用于解密的密鑰與加密密鑰相同,這稱之為對稱型加密算法。采用此加密技術(shù)的理論基礎(chǔ)的加密方法如果用于網(wǎng)絡傳輸數(shù)據(jù)加密,則不可避免地出現(xiàn)安全漏洞。因為在發(fā)送加密數(shù)據(jù)的同時,也需要將密鑰通過網(wǎng)絡傳輸通知接收者,第三方在截獲加密數(shù)據(jù)的同時,只需再截取相應密鑰即可將數(shù)據(jù)解密使用或進行非法篡改。
區(qū)別于原有的單密鑰加密技術(shù),PKI采用非對稱的加密算法,即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰,以避免第三方獲取密鑰后將密文解密。
PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。
(2) PKI的基本組成
完整的PKI系統(tǒng)必須具有權(quán)威認證機構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復系統(tǒng)、證書作廢系統(tǒng)、應用接口(API)等基本構(gòu)成部分,構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。
認證機構(gòu)(CA):
即數(shù)字證書的申請及簽發(fā)機關(guān),CA必須具備權(quán)威性的特征;
數(shù)字證書庫:
用于存儲已簽發(fā)的數(shù)字證書及公鑰,用戶可由此獲得所需的其他用戶的證書及公鑰;
密鑰備份及恢復系統(tǒng):
如果用戶丟失了用于解密數(shù)據(jù)的密鑰,則數(shù)據(jù)將無法被解密,這將造成合法數(shù)據(jù)丟失。為避免這種情況,PKI提供備份與恢復密鑰的機制。但須注意,密鑰的備份與恢復必須由可信的機構(gòu)來完成。并且,密鑰備份與恢復只能針對解密密鑰,簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統(tǒng):
證書作廢處理系統(tǒng)是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內(nèi)也可能需要作廢,原因可能是密鑰介質(zhì)丟失或用戶身份變更等。為實現(xiàn)這一點,PKI必須提供作廢證書的一系列機制。
應用接口(API):
PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務,因此一個完整的PKI必須提供良好的應用接口系統(tǒng),使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互,確保安全網(wǎng)絡環(huán)境的完整性和易用性。
通常來說,CA是證書的簽發(fā)機構(gòu),它是PKI的核心。眾所周知,構(gòu)建密碼服務系統(tǒng)的核心內(nèi)容是如何實現(xiàn)密鑰管理。公鑰體制涉及到一對密鑰(即私鑰和公鑰),私鑰只由用戶獨立掌握,無須在網(wǎng)上傳輸,而公鑰則是公開的,需要在網(wǎng)上傳送,故公鑰體制的密鑰管理主要是針對公鑰的管理問題,目前較好的解決方案是數(shù)字證書機制。
數(shù)字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權(quán)威性的電子文檔,形同網(wǎng)絡計算環(huán)境中的一種身份證,用于證明某一主體(如人、服務器等)的身份以及其公開密鑰的合法性,又稱為數(shù)字ID。數(shù)字證書由一對密鑰及用戶信息等數(shù)據(jù)共同組成,并寫入一定的存儲介質(zhì)內(nèi),確保用戶信息不被非法讀取及篡改。
6、關(guān)于電子簽名的介紹 TOP
(1)什么是電子簽名
《電子簽名法》中明確規(guī)定:電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。而數(shù)據(jù)電文是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。
這部法律規(guī)定、可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力,屆時消費者可用手寫簽名、公章的“電子版”、秘密代號、密碼或指紋、聲音、視網(wǎng)膜結(jié)構(gòu)等安全地在網(wǎng)上“付錢”、“交易”及“轉(zhuǎn)帳”。
(2)《電子簽名法》立法的目的
《電子簽名法》立法的直接目的是為了規(guī)范電子簽名行為,確立電子簽名的法律效力,維護各方合法權(quán)益;立法的最終目的是為了促進電子商務和電子政務的發(fā)展,增強交易的安全性。
(3)電子簽名法的主要內(nèi)容
《電子簽名法》重點解決了五個方面的問題。一是確立了電子簽名的法律效力;二是規(guī)范了電子簽名的行為;三是明確了認證機構(gòu)的法律地位及認證程序,并給認證機構(gòu)設置了市場準入條件和行政許可的程序;四是規(guī)定了電子簽名的安全保障措施;五是明確了認證機構(gòu)行政許可的實施主體是國務院信息產(chǎn)業(yè)主管部門。目前已變更為信息和工業(yè)化部,目前已經(jīng)取得資質(zhì)得有北京天威誠信電子商務服務有限公司等20余家公司獲得了從業(yè)資格,可以對外提供合法電子簽名服務。