數字證書基本概念
1. 什么是證書?
在一個電子商務系統中,所有參與活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統中的其它實體證明自己的身份(每份證書都是經“相對權威的機構”簽名的),另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),所以,證書也可以向接收者證實某人或某個機構對公開密鑰的擁有,同時也起著公鑰分發的作用。
2. 什么是CA?
CA是Certificate Authority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心既CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。
3. 什么是SSL?
安全套接層協議(SSL,Security Socket Layer)是網景(Netscape)公司提出的基于WEB應用的安全協議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性,主要采用公開密鑰體制和X.509數字證書技術來提供安全性保證。對于電子商務應用來說, SSL可保證信息的真實性、完整性和保密性。但由于SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑒于此,網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數字簽名,從而保證交易信息的不可否認性。
4. 什么是RA?
RA即證書發放審核部門,它是CA系統的一個功能組件。它負責對證書申請者進行資格審查,并決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切后果,因此它應由能夠承擔這些責任的機構擔任。
5. 什么是CP?
CP即證書發放的操作部門,它是CA系統的一個功能組件,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營錯誤所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
在一個電子商務系統中,所有參與活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統中的其它實體證明自己的身份(每份證書都是經“相對權威的機構”簽名的),另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),所以,證書也可以向接收者證實某人或某個機構對公開密鑰的擁有,同時也起著公鑰分發的作用。
2. 什么是CA?
CA是Certificate Authority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心既CA中心分發并簽名的。一個完整、安全的電子商務系統必須建立起一個完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。
3. 什么是SSL?
安全套接層協議(SSL,Security Socket Layer)是網景(Netscape)公司提出的基于WEB應用的安全協議,它包括:服務器認證、客戶認證(可選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性,主要采用公開密鑰體制和X.509數字證書技術來提供安全性保證。對于電子商務應用來說, SSL可保證信息的真實性、完整性和保密性。但由于SSL不對應用層的消息進行數字簽名,因此不能提供交易的不可否認性,這是SSL在電子商務中使用的最大不足。有鑒于此,網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務中,可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數字簽名,從而保證交易信息的不可否認性。
4. 什么是RA?
RA即證書發放審核部門,它是CA系統的一個功能組件。它負責對證書申請者進行資格審查,并決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切后果,因此它應由能夠承擔這些責任的機構擔任。
5. 什么是CP?
CP即證書發放的操作部門,它是CA系統的一個功能組件,負責為已授權的申請者制作、發放和管理證書,并承擔因操作運營錯誤所產生的一切后果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
6. 什么是CRL?
CRL是證書作廢表的縮寫。CRL中記錄尚未過期但已聲明作廢的用戶證書序列號,供證書使用者在認證對方證書時查詢使用。CRL通常被稱為證書黑名單。
7. 什么是OCSP?
OCSP即在線證書狀態查詢(Online Certificate Status Protocol),使用戶可以實時查詢證書的作廢狀態。
8. 什么是密鑰對,怎樣使用它,怎樣獲得密鑰對?
像有的加密技術中采用相同的密鑰加密、解密數據,公共密鑰加密技術采用一對匹配的密鑰進行加密、解密。每把密鑰執行一種對數據的單向處理,每把的功能恰恰與另一把相反,一把用于加密時,則另一把就用于解密。
公共密鑰是由其主人加以公開的,而私人密鑰必須保密存放。為發送一份保密報文,發送者必須使用接收者的公共密鑰對數據進行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。
相反地,用戶也能用自己私人密鑰對數據加以處理。換句話說,密鑰對的工作是可以任選方向的。這提供了"數字簽名"的基礎,如果要一個用戶用自己的私人密鑰對數據進行了處理,別人可以用他提供的公共密鑰對數據加以處理。由于僅僅擁有者本人知道私人密鑰,這種被處理過的報文就形成了一種電子簽名----一種別人無法產生的文件。
數字證書中包含了公共密鑰信息,從而確認了擁有密鑰對的用戶的身份。
大多數情況下,當你申請數字證書時,會為你產生密鑰對。出于安全性考慮,密鑰對應當在您的機器產生并且私人密鑰不會在網上傳輸。
一旦產生,就應在認證中心上登記自己的公共密鑰,隨后認證中心將發送給用戶數字證書,以證實你的公共密鑰及其他一些信息。
CRL是證書作廢表的縮寫。CRL中記錄尚未過期但已聲明作廢的用戶證書序列號,供證書使用者在認證對方證書時查詢使用。CRL通常被稱為證書黑名單。
7. 什么是OCSP?
OCSP即在線證書狀態查詢(Online Certificate Status Protocol),使用戶可以實時查詢證書的作廢狀態。
8. 什么是密鑰對,怎樣使用它,怎樣獲得密鑰對?
像有的加密技術中采用相同的密鑰加密、解密數據,公共密鑰加密技術采用一對匹配的密鑰進行加密、解密。每把密鑰執行一種對數據的單向處理,每把的功能恰恰與另一把相反,一把用于加密時,則另一把就用于解密。
公共密鑰是由其主人加以公開的,而私人密鑰必須保密存放。為發送一份保密報文,發送者必須使用接收者的公共密鑰對數據進行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。
相反地,用戶也能用自己私人密鑰對數據加以處理。換句話說,密鑰對的工作是可以任選方向的。這提供了"數字簽名"的基礎,如果要一個用戶用自己的私人密鑰對數據進行了處理,別人可以用他提供的公共密鑰對數據加以處理。由于僅僅擁有者本人知道私人密鑰,這種被處理過的報文就形成了一種電子簽名----一種別人無法產生的文件。
數字證書中包含了公共密鑰信息,從而確認了擁有密鑰對的用戶的身份。
大多數情況下,當你申請數字證書時,會為你產生密鑰對。出于安全性考慮,密鑰對應當在您的機器產生并且私人密鑰不會在網上傳輸。
一旦產生,就應在認證中心上登記自己的公共密鑰,隨后認證中心將發送給用戶數字證書,以證實你的公共密鑰及其他一些信息。
9. 如何確保得到我的私鑰的安全?
有以下三種保護方法:
將私人密鑰存放在自己計算機的硬盤上,這樣你能控制對它的存取。
將私人密鑰存放在IC卡上,并將IC卡存放在自己可以控制的地方。
當你產生自己的私人密鑰時,你所使用的軟件(如瀏覽器)將要求你輸入一個密碼,這一密碼將保護對私人密鑰的存取。對于微軟Internet Explorer用戶,私人密鑰將由Windows密碼加以保護。 只有在下述兩種情況下,第三方可以存取您的私人密鑰:
有權存取你存放密鑰的文件(常常是你的系統配置文件)。
知道你的私人密碼。有的軟件允許你選擇不使用密碼來保護你的私人密鑰。如果你選擇了這項,你必須已確信,無論現在還是將來,都不會有人非法訪問你的計算機。
總而言之,使用密碼要比完全以物理角度保護你的計算機方便得多。不選用密碼,就像在自己的支票夾上預先簽好了所有支票,并將它打開著放在辦公桌上。
有以下三種保護方法:
將私人密鑰存放在自己計算機的硬盤上,這樣你能控制對它的存取。
將私人密鑰存放在IC卡上,并將IC卡存放在自己可以控制的地方。
當你產生自己的私人密鑰時,你所使用的軟件(如瀏覽器)將要求你輸入一個密碼,這一密碼將保護對私人密鑰的存取。對于微軟Internet Explorer用戶,私人密鑰將由Windows密碼加以保護。 只有在下述兩種情況下,第三方可以存取您的私人密鑰:
有權存取你存放密鑰的文件(常常是你的系統配置文件)。
知道你的私人密碼。有的軟件允許你選擇不使用密碼來保護你的私人密鑰。如果你選擇了這項,你必須已確信,無論現在還是將來,都不會有人非法訪問你的計算機。
總而言之,使用密碼要比完全以物理角度保護你的計算機方便得多。不選用密碼,就像在自己的支票夾上預先簽好了所有支票,并將它打開著放在辦公桌上。
上一篇:產品介紹
