waysun一路陽光

不輕易服輸,不輕言放棄.--心是夢的舞臺，心有多大，舞臺有多大。踏踏實實做事，認認真真做人。

BlogJava :: 首頁 :: 新隨筆 :: 聯系 :: :: 管理 ::

167 隨筆 :: 1 文章 :: 64 評論 :: 0 Trackbacks

<

2011年11月

>

日

一

二

三

四

五

六

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

6

7

8

9

10

公告

開啟一扇窗,給自己一個舞臺!

QQ:251218333,82424805
MSN:CF1504@Hotmail.com
E-mail:yyk1504@163.com
第位來訪者

常用鏈接

隨筆分類(189)

隨筆檔案(160)

文章分類(1)

AJAX

Flex
iDEAL網絡
Java開源AJAX框架
nm1504
struts
亮亮的博客
沖出宇宙
周老師科研站
四海兄弟
我的休閑博客
方佳瑋的博客
昆山人在上海
空山雪林
胡偉的官方博客
舞動JAVA
趙良乾

搜索

積分與排名

積分 - 236496
排名 - 240

最新評論

1.?re: cfca證書工具包使用指南【轉】
阿斯頓撒旦
--廖
2.?re: Java源碼：md5加密算法（轉帖）
11111111111111111111111
--企鵝額
3.?re: javascript中獲取radio值得方法【收藏】
范德薩發大水
--俄方地方
4.?re: 模態窗口提交到struts2的action后關閉自身并返回到父窗口，父窗口為一個iframe[未登錄]
頂頂頂頂
--斷點
5.?www
11
--ww

CA基礎知識【轉】

1、什么是數字證書？ 　　TOP
　　數字證書就是標志網絡用戶身份信息的一系列數據，用來在網絡通訊中識別通訊各方的身份，即要在Internet上解決"我是誰"的問題，就如同現實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執照一樣，以表明我們的身份或某種資格。
數字證書是由權威公正的第三方機構即CA中心簽發的，以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網絡應用的安全性。
數字證書采用公鑰密碼體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一把公共密鑰（公鑰）并可以對外公開，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無誤地到達目的地了，即使被第三方截獲，由于沒有相應的私鑰，也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。
　　用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：
　（1）保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否;
　（2）保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。
　　數字證書可用于：發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。
數字證書的格式一般采用X.509國際標準。

2、數字證書的用途 　　TOP
　　CA中心所發放的數字證書可以應用于公眾網絡上的商務活動和行政作業活動，包括支付型和非支付型電子商務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、工商稅務海關、政府行政辦公、教育科研單位、保險、醫療等網上作業系統。它主要應用于網上購物、企業與企業的電子貿易、安全電子郵件、網上證券交易、網上銀行等方面。CA中心還可以與企業代碼證中心合作，將企業代碼證和企業數字安全證書一體化，為企業網上交易、網上報稅、網上報關、網上作業奠定基礎，免去企業面對眾多的窗口服務的苦累。
主要應用：
　（1）網上報稅
　（2）工商管理。
　（3）網上辦公
　（4）安全電子郵件
　（5）網上交易
　（6）網上招標
　　以往的招投標受時間、地域、人文的影響，存在著許多弊病，例如外地投標者的不便、招投標各方的資質，以及招標單位和投標單位之間存在的不正當關系。而實行網上的公開招投標，利用數字安全證書對企業進行身份確認，招投標企業只有在通過身份和資質審核后，才可在網上展開招投標活動，從而確保了招投標企業的安全性和合法性，雙方企業通過安全網絡通道了解和確認對方的信息，選擇符合自己條件的合作伙伴，確保網上的招投標在一種安全、透明、信任、合法、高效的環境下進行。通過該網上招投標系統，使企業能夠制定正確的投資取向，根據自身的實際情況，選擇合適的合作者。

3、數字證書工作原理 　　TOP
　　數字證書采用公鑰體制，就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送以商戶，然后由商戶用自己的私有密鑰進行解密。
　　用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：
　　(1) 保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；
　　(2) 保證信息自簽發后到收到為止未曾作過任何修改，簽發的文件是真實文件。
數字簽名具體做法是：
　　(1) 將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。
　　(2) 將該報文摘要值用發送者的私人密鑰加密,然后連同原報文一起發送給接收者,而產生的報文即稱數字簽名。
　　(3)接收方收到數字簽名后，用同樣的HASH算法對報文計算摘要值，然后與用發送者的公開密鑰進行解密解開的報文摘要值相比較，如相等則說明報文確實來自所稱的發送者。

4、CA中心的概念 　　TOP
　　數字證書認證中心（Certficate Authority,CA）就是一個負責發放和管理數字證書的權威機構。對于一個大型的應用環境，認證中心往往采用一種多層次的分級結構，各級的認證中心類似于各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。認證中心主要有以下幾種功能：
(1) 證書的頒發
　　中心接收、驗證用戶(包括下級認證中心和最終用戶)的數字證書的申請，將申請的內容進行備案，并根據申請的內容確定是否受理該數字證書申請。如果中心接受該數字證書申請，則進一步確定給用戶頒發何種類型的證書。新證書用認證中心的私鑰簽名以后，發送到目錄服務器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。
(2)證書的更新
　　認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。
(3)證書的查詢
　　證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄服務器來完成，目錄服務器根據用戶的請求返回適當的證書。
(4)證書的作廢
　　當用戶的私鑰由于泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢的請求，認證中心根據用戶的請求確定是否將該證書作廢。另外一種證書作廢的情況是證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(Certificate Revocation List,CRL)來完成上述功能。
(5)證書的歸檔
　　證書具有一定的有效期，證書過了有效期之后就將作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。基于此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。

5、PKI技術基礎 　　TOP
（1） PKI基本概念
　　公鑰基礎設施PKI（Public Key Infrastructure），是一種遵循既定標準的密鑰管理平臺,它能夠為所有網絡應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。
　　原有的單密鑰加密技術采用特定加密密鑰加密數據，而解密時用于解密的密鑰與加密密鑰相同，這稱之為對稱型加密算法。采用此加密技術的理論基礎的加密方法如果用于網絡傳輸數據加密，則不可避免地出現安全漏洞。因為在發送加密數據的同時，也需要將密鑰通過網絡傳輸通知接收者，第三方在截獲加密數據的同時，只需再截取相應密鑰即可將數據解密使用或進行非法篡改。
區別于原有的單密鑰加密技術，PKI采用非對稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。
PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。
（2） PKI的基本組成
　　完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口（API）等基本構成部分，構建PKI也將圍繞著這五大系統來著手構建。
認證機構（CA）：
　　即數字證書的申請及簽發機關，CA必須具備權威性的特征；
數字證書庫：
　　用于存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；
密鑰備份及恢復系統：
　　如果用戶丟失了用于解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況，PKI提供備份與恢復密鑰的機制。但須注意，密鑰的備份與恢復必須由可信的機構來完成。并且，密鑰備份與恢復只能針對解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。
證書作廢系統：
　　證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點,PKI必須提供作廢證書的一系列機制。
應用接口（API）：
　　PKI的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用接口系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保安全網絡環境的完整性和易用性。
　　通常來說，CA是證書的簽發機構,它是PKI的核心。眾所周知，構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰（即私鑰和公鑰），私鑰只由用戶獨立掌握，無須在網上傳輸，而公鑰則是公開的，需要在網上傳送，故公鑰體制的密鑰管理主要是針對公鑰的管理問題，目前較好的解決方案是數字證書機制。
　　數字證書是公開密鑰體系的一種密鑰管理媒介。它是一種權威性的電子文檔，形同網絡計算環境中的一種身份證，用于證明某一主體（如人、服務器等）的身份以及其公開密鑰的合法性，又稱為數字ID。數字證書由一對密鑰及用戶信息等數據共同組成，并寫入一定的存儲介質內，確保用戶信息不被非法讀取及篡改。

6、關于電子簽名的介紹 　　TOP
（1）什么是電子簽名
　　《電子簽名法》中明確規定：電子簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。而數據電文是指以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息。
這部法律規定、可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，屆時消費者可用手寫簽名、公章的“電子版”、秘密代號、密碼或指紋、聲音、視網膜結構等安全地在網上“付錢”、“交易”及“轉帳”。
（2）《電子簽名法》立法的目的
　　《電子簽名法》立法的直接目的是為了規范電子簽名行為，確立電子簽名的法律效力，維護各方合法權益；立法的最終目的是為了促進電子商務和電子政務的發展，增強交易的安全性。
（3）電子簽名法的主要內容
　　《電子簽名法》重點解決了五個方面的問題。一是確立了電子簽名的法律效力；二是規范了電子簽名的行為；三是明確了認證機構的法律地位及認證程序，并給認證機構設置了市場準入條件和行政許可的程序；四是規定了電子簽名的安全保障措施；五是明確了認證機構行政許可的實施主體是國務院信息產業主管部門。目前已變更為信息和工業化部，目前已經取得資質得有北京天威誠信電子商務服務有限公司等20余家公司獲得了從業資格，可以對外提供合法電子簽名服務。

posted on 2011-11-08 18:33 weesun一米陽光閱讀(402) 評論(0) 編輯收藏

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理