認證中心(CA)
公鑰加密需要解決一個關鍵問題:加密信息的發送者需要認定公鑰確實是接收者的,如果他用第三者的公鑰去加密,他希望的接收者無法解密該信息,而擁有對應私鑰的第三者卻可以做到。這實際上就涉及到應用公鑰技術的關鍵:如何確認某個人真正擁有公鑰(及對應的私鑰)。在PKI 中,為了確保用戶的身份及他所持有密鑰的正確匹配,公開密鑰系統需要一個值得信賴而且獨立的第三方機構充當認證中心(Certification Authority,CA),來確認公鑰擁有人的真正身份。就象公安局發放的身份證一樣,認證中心發放一個叫"數字證書"的身份證明。這個數字證書包含了用戶身份的部分信息及用戶所持有的公鑰。象公安局對身份證蓋章一樣,認證中心利用本身的私鑰為數字證書加上數字簽名。
任何想發放自己公鑰的用戶,可以去認證中心申請自己的證書。認證中心在鑒定該人的真實身份后,頒發包含用戶公鑰的數字證書。其他用戶只要能驗證證書是真實的,并且信任頒發證書的認證中心,就可以確認用戶的公鑰。
認證中心是公鑰基礎設施的核心,有了大家信任的認證中心,用戶才能放心方便的使用公鑰技術帶來的安全服務。
概括起來,進行電子交易的互聯網用戶所面臨的安全問題有:
* 保密性 如何保證電子商務中涉及的大量保密信息在公開網絡的傳輸過程中不被竊取
* 完整性 如何保證電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易
* 身份認證與授權 在電子商務的交易過程中,如何對雙方進行認證,以保證交易雙方身份的正確性
* 抗抵賴 在電子商務的交易完成后,如何保證交易的任何一方無法否認已發生的交易
對于這些安全問題,目前最有效的解決方案是建立在公開密鑰技術基礎上的PKI/CA (Public Key Infrastructure/Certification Authority)技術。
上一篇:加密概念和PKI基礎知識簡述
下一篇:權威解讀 :密碼標準常見問題解釋
