糊言乱语

志未半斤, 才无八两. 有苦有乐, 糊涂过活。
posts - 25, comments - 7, trackbacks - 0, articles - 42
  BlogJava :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

数字证书基本概念

Posted on 2007-12-04 17:34 Stanley Sun 阅读(479) 评论(0)  编辑  收藏

(1)什么是证书?
在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。
(2)什么是CA?
CA是Certificate Authority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。
(3)什么是SSL?
安全套接层协议(SSL,Security Socket Layer)是网景(Netscape)公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL 链路上的数据保密性,主要采用公开密钥体制和X.509数字证书技术来提供安全性保证。对于电子商务应用来说, SSL可保证信息的真实性、完整性和保密性。但由于SSL不对应用层的消息进行数字签名,因此不能提供交易的不可否认性,这是SSL在电子商务中使用的最大不足。有鉴于此,网景公司在从Communicator 4.04版开始的所有浏览器中引入了一种被称作"表单签名(Form Signing)"的功能,在电子商务中,可利用这一功能来对包含购买者的订购信息和付款指令的表单进行数字签名,从而保证交易信息的不可否认性。
(4)什么是RA?
RA即证书发放审核部门,它是CA系统的一个功能组件。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。
(5)什么是CP?
CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。
(6)什么是CRL?
CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。
(7)什么是OCSP?
OCSP即在线证书状态查询(Online Certificate Status Protocol),使用户可以实时查询证书的作废状态。
(8)什么是密钥对,怎样使用它,怎样获得密钥对?
像有的加密技术中采用相同的密钥加密、解密数据,公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理,每把的功能恰恰与另一把相反,一把用于加密时,则另一把就用于解密。
公共密钥是由其主人加以公开的,而私人密钥必须保密存放。为发送一份保密报文,发送者必须使用接收者的公共密钥对数据进行加密,一旦加密,只有接收方用其私人密钥才能加以解密。
相反地,用户也能用自己私人密钥对数据加以处理。换句话说,密钥对的工作是可以任选方向的。这提供了"数字签名"的基础,如果要一个用户用自己的私人密钥对数据进行了处理,别人可以用他提供的公共密钥对数据加以处理。由于仅仅拥有者本人知道私人密钥,这种被处理过的报文就形成了一种电子签名----一种别人无法产生的文件。
数字证书中包含了公共密钥信息,从而确认了拥有密钥对的用户的身份。
大多数情况下,当你申请数字证书时,会为你产生密钥对。出于安全性考虑,密钥对应当在您的机器产生并且私人密钥不会在网上传输。
一旦产生,就应在认证中心上登记自己的公共密钥,随后认证中心将发送给用户数字证书,以证实你的公共密钥及其他一些信息。
(9)如何确保得到我的私钥的安全?
有以下三种保护方法:
将私人密钥存放在自己计算机的硬盘上,这样你能控制对它的存取。
将私人密钥存放在IC卡上,并将IC卡存放在自己可以控制的地方。
当你产生自己的私人密钥时,你所使用的软件(如浏览器)将要求你输入一个密码,这一密码将保护对私人密钥的存取。对于微软Internet Explorer用户,私人密钥将由Windows密码加以保护。 只有在下述两种情况下,第三方可以存取您的私人密钥:
有权存取你存放密钥的文件(常常是你的系统配置文件)。
知道你的私人密码。有的软件允许你选择不使用密码来保护你的私人密钥。如果你选择了这项,你必须已确信,无论现在还是将来,都不会有人非法访问你的计算机。
总而言之,使用密码要比完全以物理角度保护你的计算机方便得多。不选用密码,就像在自己的支票夹上预先签好了所有支票,并将它打开着放在办公桌上。
二:数字证书的一些问题:
1. 我的私钥怎样保存?
私钥可以通过两种方式保存:
以文件的形式保存在你的计算机硬盘中,这样你可以很容易控制对它的访问。
产生私钥时,使用的软件(例如浏览器)可能会要求你提供一个密码,通过这个密码来保护私钥免被非法使用。对于Microsoft IE用户, 私钥可以由Windows的密码保护。
第三方只可以在下列情况下访问你的私钥:1、能够访问用于存储密钥的文件(该文件往往是你的计算机系统配置文件的一部分);2、知道保护私钥的密码。某些软件允许你选择不使用密码来保护你的私钥,如果选择了该选项,你必须确信现在或者将来不会有人在非授权的情况下使用你的计算机
一般来说,可以很简单的使用密码将你的计算机完全的保护起来。不使用密码就象填好支票后将支票本放在桌上一样不安全。
2. 我该怎样保存我的私钥?
通过物理的安全保护来保护你的计算机不被非授权使用。要使用访问控制产品或者操作系统保护措施(例如系统密码)。采取措施来防病毒,因为病毒能攻击私钥。一般选择一个好的密码来保护私钥。
3. 什么是好的密码?
一个好的密码要足够的长和足够的特别,通过彻底搜寻(例如使用目录)也不能被查到,好的密码应该是你很容易就能记住而别人很难猜到的密码;最好使用八位以上的密码,不要使用容易与你某些事情联系起来的密码,比如你的电话号码、生日或是你家庭成员的名字。不要使用英文单词、常见的术语或是你以前用过的密码;如果将密码写下来了,不要放到容易找到的地方。
4. 我的计算机将我的密码保存在哪儿?
你的私钥一般以加密的形式保存在参数选择或配置文件里,只能用你的私钥保护密码才能打开。
5. 我需要在家里和办公室都使用我的数字证书,我可以安全的在计算机之间移动我的私钥和数字证书吗?
在计算机之间移动密钥和数字证书是可能的,只要两台计算机都使用同样的软件。你需要询问软件供应商是否有这样的软件应用。在你打算移动密钥时,使用安全的密码来保护你的密钥是非常重要的。
6. 我在没有获得一个新证书的情况下可以更改我保护私钥的密码吗?
可以。你的密码加密了你的证书私钥。可以用产生这个密码的程序更改密码(重新加密你的私钥)。如果你认为其它人有可能知道你的密码时,你应该立刻更改密码。
7. 我忘了我的私钥密码,有人能帮我更换掉它吗?
不能。如果你忘了你的私钥密码,没有人能帮助你。你只能产生新的密钥对和获得新的证书。所有用你的公钥加密的安全电子邮件都会失效,除非你的 PKI体系具有密钥备份和密钥恢复系统并且该系统已经备份了你的私钥(该方式一般在支持双密钥对体系中)。有些情况下,你还需要重新安装你的电子邮件程序和网络浏览器。
8. 在我忘了我的密码时没有人能帮助我,这听起来非常不友好,为什么?
这是介于安全和便利之间的矛盾。如果有方法让其他人能为你恢复私钥密码,那他或者她也能盗用密码以达到其不可告人的目的。证书仍然是新的,但证书私钥可能已经被外泄,也就是说,该证书持有者进行的交易已经不具备不可否认性。将来可能可以将你的私钥不加密地保存在一张软盘上(不需要密码),而软盘被放在安全的地方,比如保管箱。微软和网景都是在这样的系统上运作的。如果你忘了正常加密的密码,可以用这张软盘来恢复你的证书的私钥。
9. 有人偷了我的计算机,他们现在拥有我的证书的私钥吗?
如果你使用了一个好的密码来保护你的私钥,那别人就不可能使用你的私钥。你应该和给你发证的CA中心联系,要求废除你的证书,然后给你发放一个新的证书(有新的密钥对)。
10. 有人偷了我的计算机,而我已经选择不要密码保护我的私钥,我现在该怎么办?
你应该立即通知你的CA你的私钥受到安全威胁,它会安排撤销你的证书并给你颁发新的证书。注意:虽然关系伙伴一般都会检查证书的撤销状态,但仍然有些不会去这么做。最好的办法是通知所有可能受到影响的人你的私钥已经不安全了。
CA认证功能介绍
概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。
(4)接收、处理最终用户的数字证书更新请求-证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。(2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
CA认证简介
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、 SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。


只有注册用户登录后才能发表评论。


网站导航: