| 數(shù)字證書的基本概念 |
| 發(fā)布日期:2008-12-30 11:32:09 |
| |
數(shù)字證書基本概念
(1) 什么是證書?
在一個電子商務系統(tǒng)中,所有參與活動的實體都必須用證書來表明自己的身份,。證書一方面可以用來向系統(tǒng)中的其它實體證明自己的身份(每份證書都是經(jīng)“相對權(quán)
威的機構(gòu)”簽名的),,另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),,所以,,證書也可以
向接收者證實某人或某個機構(gòu)對公開密鑰的擁有,同時也起著公鑰分發(fā)的作用,。
(2) 什么是CA?
CA是Certificate
Authority的縮寫,,是證書授權(quán)的意思。在電子商務系統(tǒng)中,,所有實體的證書都是由證書授權(quán)中心既CA中心分發(fā)并簽名的,。一個完整,、安全的電子商務系
統(tǒng)必須建立起一個完整、合理的CA體系,。CA體系由證書審批部門和證書操作部門組成,。
(3) 什么是SSL?
安全套接層協(xié)議(SSL,Security Socket
Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應用的安全協(xié)議,,它包括:服務器認證,、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL
鏈路上的數(shù)據(jù)保密性,,主要采用公開密鑰體制和X.509數(shù)字證書技術來提供安全性保證,。對于電子商務應用來說,
SSL可保證信息的真實性,、完整性和保密性,。但由于SSL不對應用層的消息進行數(shù)字簽名,因此不能提供交易的不可否認性,,這是SSL在電子商務中使用的最
大不足,。有鑒于此,網(wǎng)景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(Form
Signing)"的功能,,在電子商務中,,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數(shù)字簽名,從而保證交易信息的不可否認性,。
(4) 什么是RA?
RA即證書發(fā)放審核部門,,它是CA系統(tǒng)的一個功能組件。它負責對證書申請者進行資格審查,,并決定是否同意給該申請者發(fā)放證書,,并承擔因?qū)徍隋e誤引起的、為不滿足資格的證書申請者發(fā)放證書所引起的一切后果,,因此它應由能夠承擔這些責任的機構(gòu)擔任,。
(5) 什么是CP?
CP即證書發(fā)放的操作部門,它是CA系統(tǒng)的一個功能組件,,負責為已授權(quán)的申請者制作,、發(fā)放和管理證書,并承擔因操作運營錯誤所產(chǎn)生的一切后果,,包括失密和為沒有獲得授權(quán)者發(fā)放證書等,,它可以由審核授權(quán)部門自己擔任,也可委托給第三方擔任,。
(6) 什么是CRL?
CRL是證書作廢表的縮寫,。CRL中記錄尚未過期但已聲明作廢的用戶證書序列號,供證書使用者在認證對方證書時查詢使用。CRL通常被稱為證書黑名單,。
(7) 什么是OCSP?
OCSP即在線證書狀態(tài)查詢(Online Certificate Status Protocol),,使用戶可以實時查詢證書的作廢狀態(tài)。
(8) 什么是密鑰對,,怎樣使用它,,怎樣獲得密鑰對?
像有的加密技術中采用相同的密鑰加密、解密數(shù)據(jù),,公共密鑰加密技術采用一對匹配的密鑰進行加密,、解密。每把密鑰執(zhí)行一種對數(shù)據(jù)的單向處理,,每把的功能恰恰與另一把相反,,一把用于加密時,則另一把就用于解密,。
公共密鑰是由其主人加以公開的,,而私人密鑰必須保密存放。為發(fā)送一份保密報文,,發(fā)送者必須使用接收者的公共密鑰對數(shù)據(jù)進行加密,一旦加密,,只有接收方用其私人密鑰才能加以解密,。
相
反地,用戶也能用自己私人密鑰對數(shù)據(jù)加以處理,。換句話說,,密鑰對的工作是可以任選方向的。這提供了"數(shù)字簽名"的基礎,,如果要一個用戶用自己的私人密鑰對
數(shù)據(jù)進行了處理,,別人可以用他提供的公共密鑰對數(shù)據(jù)加以處理。由于僅僅擁有者本人知道私人密鑰,,這種被處理過的報文就形成了一種電子簽名----一種別人
無法產(chǎn)生的文件,。
數(shù)字證書中包含了公共密鑰信息,從而確認了擁有密鑰對的用戶的身份,。
大多數(shù)情況下,,當你申請數(shù)字證書時,會為你產(chǎn)生密鑰對,。出于安全性考慮,,密鑰對應當在您的機器產(chǎn)生并且私人密鑰不會在網(wǎng)上傳輸。
一旦產(chǎn)生,,就應在認證中心上登記自己的公共密鑰,,隨后認證中心將發(fā)送給用戶數(shù)字證書,以證實你的公共密鑰及其他一些信息。
(9) 如何確保得到我的私鑰的安全,?
有以下三種保護方法:
將私人密鑰存放在自己計算機的硬盤上,,這樣你能控制對它的存取。
將私人密鑰存放在IC卡上,,并將IC卡存放在自己可以控制的地方,。
當你產(chǎn)生自己的私人密鑰時,你所使用的軟件(如瀏覽器)將要求你輸入一個密碼,,這一密碼將保護對私人密鑰的存取,。對于微軟Internet Explorer用戶,私人密鑰將由Windows密碼加以保護,。 只有在下述兩種情況下,,第三方可以存取您的私人密鑰:
有權(quán)存取你存放密鑰的文件(常常是你的系統(tǒng)配置文件)。
知道你的私人密碼,。有的軟件允許你選擇不使用密碼來保護你的私人密鑰,。如果你選擇了這項,你必須已確信,,無論現(xiàn)在還是將來,,都不會有人非法訪問你的計算機。
總而言之,,使用密碼要比完全以物理角度保護你的計算機方便得多,。不選用密碼,就像在自己的支票夾上預先簽好了所有支票,,并將它打開著放在辦公桌上,。 | |
|
