數字證書基本概念
發布時間:2007-09-26 10:35 浏覽次數:2803
1. 什麽是證書?
在一個電(diàn)子商(shāng)務(wù)系統中(zhōng),所有(yǒu)參與活動的實體(tǐ)都必須用(yòng)證書來表明自己的身份。證書一方面可(kě)以用(yòng)來向系統中(zhōng)的其它實體(tǐ)證明自己的身份(每份證書都是經“相對權威的機構”簽名(míng)的),另一方面由于每份證書都攜帶着證書持有(yǒu)者的公(gōng)鑰(簽名(míng)證書攜帶的是簽名(míng)公(gōng)鑰,密鑰加密證書攜帶的是密鑰加密公(gōng)鑰),所以,證書也可(kě)以向接收者證實某人或某個機構對公(gōng)開密鑰的擁有(yǒu),同時也起着公(gōng)鑰分(fēn)發的作(zuò)用(yòng)。
2. 什麽是CA?
CA是Certificate Authority的縮寫,是證書授權的意思。在電(diàn)子商(shāng)務(wù)系統中(zhōng),所有(yǒu)實體(tǐ)的證書都是由證書授權中(zhōng)心既CA中(zhōng)心分(fēn)發并簽名(míng)的。一個完整、安(ān)全的電(diàn)子商(shāng)務(wù)系統必須建立起一個完整、合理(lǐ)的CA體(tǐ)系。CA體(tǐ)系由證書審批部門和證書操作(zuò)部門組成。
3. 什麽是SSL?
安(ān)全套接層協議(SSL,Security Socket Layer)是網景(Netscape)公(gōng)司提出的基于WEB應用(yòng)的安(ān)全協議,它包括:服務(wù)器認證、客戶認證(可(kě)選)、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性,主要采用(yòng)公(gōng)開密鑰體(tǐ)制和X.509數字證書技(jì )術來提供安(ān)全性保證。對于電(diàn)子商(shāng)務(wù)應用(yòng)來說, SSL可(kě)保證信息的真實性、完整性和保密性。但由于SSL不對應用(yòng)層的消息進行數字簽名(míng),因此不能(néng)提供交易的不可(kě)否認性,這是SSL在電(diàn)子商(shāng)務(wù)中(zhōng)使用(yòng)的最大不足。有(yǒu)鑒于此,網景公(gōng)司在從Communicator 4.04版開始的所有(yǒu)浏覽器中(zhōng)引入了一種被稱作(zuò)"表單簽名(míng)(Form Signing)"的功能(néng),在電(diàn)子商(shāng)務(wù)中(zhōng),可(kě)利用(yòng)這一功能(néng)來對包含購(gòu)買者的訂購(gòu)信息和付款指令的表單進行數字簽名(míng),從而保證交易信息的不可(kě)否認性。
4. 什麽是RA?
RA即證書發放審核部門,它是CA系統的一個功能(néng)組件。它負責對證書申請者進行資格審查,并決定是否同意給該申請者發放證書,并承擔因審核錯誤引起的、為(wèi)不滿足資格的證書申請者發放證書所引起的一切後果,因此它應由能(néng)夠承擔這些責任的機構擔任。
5. 什麽是CP?
CP即證書發放的操作(zuò)部門,它是CA系統的一個功能(néng)組件,負責為(wèi)已授權的申請者制作(zuò)、發放和管理(lǐ)證書,并承擔因操作(zuò)運營錯誤所産(chǎn)生的一切後果,包括失密和為(wèi)沒有(yǒu)獲得授權者發放證書等,它可(kě)以由審核授權部門自己擔任,也可(kě)委托給第三方擔任。
6. 什麽是CRL?
CRL是證書作(zuò)廢表的縮寫。CRL中(zhōng)記錄尚未過期但已聲明作(zuò)廢的用(yòng)戶證書序列号,供證書使用(yòng)者在認證對方證書時查詢使用(yòng)。CRL通常被稱為(wèi)證書黑名(míng)單。
7. 什麽是OCSP?
OCSP即在線(xiàn)證書狀态查詢(Online Certificate Status Protocol),使用(yòng)戶可(kě)以實時查詢證書的作(zuò)廢狀态。
8. 什麽是密鑰對,怎樣使用(yòng)它,怎樣獲得密鑰對?
像有(yǒu)的加密技(jì )術中(zhōng)采用(yòng)相同的密鑰加密、解密數據,公(gōng)共密鑰加密技(jì )術采用(yòng)一對匹配的密鑰進行加密、解密。每把密鑰執行一種對數據的單向處理(lǐ),每把的功能(néng)恰恰與另一把相反,一把用(yòng)于加密時,則另一把就用(yòng)于解密。
公(gōng)共密鑰是由其主人加以公(gōng)開的,而私人密鑰必須保密存放。為(wèi)發送一份保密報文(wén),發送者必須使用(yòng)接收者的公(gōng)共密鑰對數據進行加密,一旦加密,隻有(yǒu)接收方用(yòng)其私人密鑰才能(néng)加以解密。
相反地,用(yòng)戶也能(néng)用(yòng)自己私人密鑰對數據加以處理(lǐ)。換句話說,密鑰對的工(gōng)作(zuò)是可(kě)以任選方向的。這提供了"數字簽名(míng)"的基礎,如果要一個用(yòng)戶用(yòng)自己的私人密鑰對數據進行了處理(lǐ),别人可(kě)以用(yòng)他(tā)提供的公(gōng)共密鑰對數據加以處理(lǐ)。由于僅僅擁有(yǒu)者本人知道私人密鑰,這種被處理(lǐ)過的報文(wén)就形成了一種電(diàn)子簽名(míng)----一種别人無法産(chǎn)生的文(wén)件。
數字證書中(zhōng)包含了公(gōng)共密鑰信息,從而确認了擁有(yǒu)密鑰對的用(yòng)戶的身份。
大多(duō)數情況下,當你申請數字證書時,會為(wèi)你産(chǎn)生密鑰對。出于安(ān)全性考慮,密鑰對應當在您的機器産(chǎn)生并且私人密鑰不會在網上傳輸。
一旦産(chǎn)生,就應在認證中(zhōng)心上登記自己的公(gōng)共密鑰,随後認證中(zhōng)心将發送給用(yòng)戶數字證書,以證實你的公(gōng)共密鑰及其他(tā)一些信息。
9. 如何确保得到我的私鑰的安(ān)全?
有(yǒu)以下三種保護方法:
将私人密鑰存放在自己計算機的硬盤上,這樣你能(néng)控制對它的存取。
将私人密鑰存放在IC卡上,并将IC卡存放在自己可(kě)以控制的地方。
當你産(chǎn)生自己的私人密鑰時,你所使用(yòng)的軟件(如浏覽器)将要求你輸入一個密碼,這一密碼将保護對私人密鑰的存取。對于微軟Internet Explorer用(yòng)戶,私人密鑰将由Windows密碼加以保護。 隻有(yǒu)在下述兩種情況下,第三方可(kě)以存取您的私人密鑰:
有(yǒu)權存取你存放密鑰的文(wén)件(常常是你的系統配置文(wén)件)。
知道你的私人密碼。有(yǒu)的軟件允許你選擇不使用(yòng)密碼來保護你的私人密鑰。如果你選擇了這項,你必須已确信,無論現在還是将來,都不會有(yǒu)人非法訪問你的計算機。
總而言之,使用(yòng)密碼要比完全以物(wù)理(lǐ)角度保護你的計算機方便得多(duō)。不選用(yòng)密碼,就像在自己的支票夾上預先簽好了所有(yǒu)支票,并将它打開着放在辦(bàn)公(gōng)桌上。
