數(shù)字證書基本概念
1. 什么是證書?
在一個(gè)電子商務(wù)系統(tǒng)中,所有參與活動(dòng)的實(shí)體都必須用證書來(lái)表明自己的身份。證書一方面可以用來(lái)向系統(tǒng)中的其它實(shí)體證明自己的身份(每份證書都是經(jīng)“相對(duì)權(quán)威的機(jī)構(gòu)”簽名的),另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),所以,證書也可以向接收者證實(shí)某人或某個(gè)機(jī)構(gòu)對(duì)公開(kāi)密鑰的擁有,同時(shí)也起著公鑰分發(fā)的作用。
2. 什么是CA?
CA是Certificate Authority的縮寫,是證書授權(quán)的意思。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書都是由證書授權(quán)中心既CA中心分發(fā)并簽名的。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。
3. 什么是SSL?
安全套接層協(xié)議(SSL,Security Socket Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性,主要采用公開(kāi)密鑰體制和X.509數(shù)字證書技術(shù)來(lái)提供安全性保證。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō), SSL可保證信息的真實(shí)性、完整性和保密性。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。有鑒于此,網(wǎng)景公司在從Communicator 4.04版開(kāi)始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務(wù)中,可利用這一功能來(lái)對(duì)包含購(gòu)買者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。
4. 什么是RA?
RA即證書發(fā)放審核部門,它是CA系統(tǒng)的一個(gè)功能組件。它負(fù)責(zé)對(duì)證書申請(qǐng)者進(jìn)行資格審查,并決定是否同意給該申請(qǐng)者發(fā)放證書,并承擔(dān)因?qū)徍隋e(cuò)誤引起的、為不滿足資格的證書申請(qǐng)者發(fā)放證書所引起的一切后果,因此它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任。
5. 什么是CP?
CP即證書發(fā)放的操作部門,它是CA系統(tǒng)的一個(gè)功能組件,負(fù)責(zé)為已授權(quán)的申請(qǐng)者制作、發(fā)放和管理證書,并承擔(dān)因操作運(yùn)營(yíng)錯(cuò)誤所產(chǎn)生的一切后果,包括失密和為沒(méi)有獲得授權(quán)者發(fā)放證書等,它可以由審核授權(quán)部門自己擔(dān)任,也可委托給第三方擔(dān)任。
在一個(gè)電子商務(wù)系統(tǒng)中,所有參與活動(dòng)的實(shí)體都必須用證書來(lái)表明自己的身份。證書一方面可以用來(lái)向系統(tǒng)中的其它實(shí)體證明自己的身份(每份證書都是經(jīng)“相對(duì)權(quán)威的機(jī)構(gòu)”簽名的),另一方面由于每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,密鑰加密證書攜帶的是密鑰加密公鑰),所以,證書也可以向接收者證實(shí)某人或某個(gè)機(jī)構(gòu)對(duì)公開(kāi)密鑰的擁有,同時(shí)也起著公鑰分發(fā)的作用。
2. 什么是CA?
CA是Certificate Authority的縮寫,是證書授權(quán)的意思。在電子商務(wù)系統(tǒng)中,所有實(shí)體的證書都是由證書授權(quán)中心既CA中心分發(fā)并簽名的。一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。CA體系由證書審批部門和證書操作部門組成。
3. 什么是SSL?
安全套接層協(xié)議(SSL,Security Socket Layer)是網(wǎng)景(Netscape)公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性,主要采用公開(kāi)密鑰體制和X.509數(shù)字證書技術(shù)來(lái)提供安全性保證。對(duì)于電子商務(wù)應(yīng)用來(lái)說(shuō), SSL可保證信息的真實(shí)性、完整性和保密性。但由于SSL不對(duì)應(yīng)用層的消息進(jìn)行數(shù)字簽名,因此不能提供交易的不可否認(rèn)性,這是SSL在電子商務(wù)中使用的最大不足。有鑒于此,網(wǎng)景公司在從Communicator 4.04版開(kāi)始的所有瀏覽器中引入了一種被稱作"表單簽名(Form Signing)"的功能,在電子商務(wù)中,可利用這一功能來(lái)對(duì)包含購(gòu)買者的訂購(gòu)信息和付款指令的表單進(jìn)行數(shù)字簽名,從而保證交易信息的不可否認(rèn)性。
4. 什么是RA?
RA即證書發(fā)放審核部門,它是CA系統(tǒng)的一個(gè)功能組件。它負(fù)責(zé)對(duì)證書申請(qǐng)者進(jìn)行資格審查,并決定是否同意給該申請(qǐng)者發(fā)放證書,并承擔(dān)因?qū)徍隋e(cuò)誤引起的、為不滿足資格的證書申請(qǐng)者發(fā)放證書所引起的一切后果,因此它應(yīng)由能夠承擔(dān)這些責(zé)任的機(jī)構(gòu)擔(dān)任。
5. 什么是CP?
CP即證書發(fā)放的操作部門,它是CA系統(tǒng)的一個(gè)功能組件,負(fù)責(zé)為已授權(quán)的申請(qǐng)者制作、發(fā)放和管理證書,并承擔(dān)因操作運(yùn)營(yíng)錯(cuò)誤所產(chǎn)生的一切后果,包括失密和為沒(méi)有獲得授權(quán)者發(fā)放證書等,它可以由審核授權(quán)部門自己擔(dān)任,也可委托給第三方擔(dān)任。
6. 什么是CRL?
CRL是證書作廢表的縮寫。CRL中記錄尚未過(guò)期但已聲明作廢的用戶證書序列號(hào),供證書使用者在認(rèn)證對(duì)方證書時(shí)查詢使用。CRL通常被稱為證書黑名單。
7. 什么是OCSP?
OCSP即在線證書狀態(tài)查詢(Online Certificate Status Protocol),使用戶可以實(shí)時(shí)查詢證書的作廢狀態(tài)。
8. 什么是密鑰對(duì),怎樣使用它,怎樣獲得密鑰對(duì)?
像有的加密技術(shù)中采用相同的密鑰加密、解密數(shù)據(jù),公共密鑰加密技術(shù)采用一對(duì)匹配的密鑰進(jìn)行加密、解密。每把密鑰執(zhí)行一種對(duì)數(shù)據(jù)的單向處理,每把的功能恰恰與另一把相反,一把用于加密時(shí),則另一把就用于解密。
公共密鑰是由其主人加以公開(kāi)的,而私人密鑰必須保密存放。為發(fā)送一份保密報(bào)文,發(fā)送者必須使用接收者的公共密鑰對(duì)數(shù)據(jù)進(jìn)行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。
相反地,用戶也能用自己私人密鑰對(duì)數(shù)據(jù)加以處理。換句話說(shuō),密鑰對(duì)的工作是可以任選方向的。這提供了"數(shù)字簽名"的基礎(chǔ),如果要一個(gè)用戶用自己的私人密鑰對(duì)數(shù)據(jù)進(jìn)行了處理,別人可以用他提供的公共密鑰對(duì)數(shù)據(jù)加以處理。由于僅僅擁有者本人知道私人密鑰,這種被處理過(guò)的報(bào)文就形成了一種電子簽名----一種別人無(wú)法產(chǎn)生的文件。
數(shù)字證書中包含了公共密鑰信息,從而確認(rèn)了擁有密鑰對(duì)的用戶的身份。
大多數(shù)情況下,當(dāng)你申請(qǐng)數(shù)字證書時(shí),會(huì)為你產(chǎn)生密鑰對(duì)。出于安全性考慮,密鑰對(duì)應(yīng)當(dāng)在您的機(jī)器產(chǎn)生并且私人密鑰不會(huì)在網(wǎng)上傳輸。
一旦產(chǎn)生,就應(yīng)在認(rèn)證中心上登記自己的公共密鑰,隨后認(rèn)證中心將發(fā)送給用戶數(shù)字證書,以證實(shí)你的公共密鑰及其他一些信息。
CRL是證書作廢表的縮寫。CRL中記錄尚未過(guò)期但已聲明作廢的用戶證書序列號(hào),供證書使用者在認(rèn)證對(duì)方證書時(shí)查詢使用。CRL通常被稱為證書黑名單。
7. 什么是OCSP?
OCSP即在線證書狀態(tài)查詢(Online Certificate Status Protocol),使用戶可以實(shí)時(shí)查詢證書的作廢狀態(tài)。
8. 什么是密鑰對(duì),怎樣使用它,怎樣獲得密鑰對(duì)?
像有的加密技術(shù)中采用相同的密鑰加密、解密數(shù)據(jù),公共密鑰加密技術(shù)采用一對(duì)匹配的密鑰進(jìn)行加密、解密。每把密鑰執(zhí)行一種對(duì)數(shù)據(jù)的單向處理,每把的功能恰恰與另一把相反,一把用于加密時(shí),則另一把就用于解密。
公共密鑰是由其主人加以公開(kāi)的,而私人密鑰必須保密存放。為發(fā)送一份保密報(bào)文,發(fā)送者必須使用接收者的公共密鑰對(duì)數(shù)據(jù)進(jìn)行加密,一旦加密,只有接收方用其私人密鑰才能加以解密。
相反地,用戶也能用自己私人密鑰對(duì)數(shù)據(jù)加以處理。換句話說(shuō),密鑰對(duì)的工作是可以任選方向的。這提供了"數(shù)字簽名"的基礎(chǔ),如果要一個(gè)用戶用自己的私人密鑰對(duì)數(shù)據(jù)進(jìn)行了處理,別人可以用他提供的公共密鑰對(duì)數(shù)據(jù)加以處理。由于僅僅擁有者本人知道私人密鑰,這種被處理過(guò)的報(bào)文就形成了一種電子簽名----一種別人無(wú)法產(chǎn)生的文件。
數(shù)字證書中包含了公共密鑰信息,從而確認(rèn)了擁有密鑰對(duì)的用戶的身份。
大多數(shù)情況下,當(dāng)你申請(qǐng)數(shù)字證書時(shí),會(huì)為你產(chǎn)生密鑰對(duì)。出于安全性考慮,密鑰對(duì)應(yīng)當(dāng)在您的機(jī)器產(chǎn)生并且私人密鑰不會(huì)在網(wǎng)上傳輸。
一旦產(chǎn)生,就應(yīng)在認(rèn)證中心上登記自己的公共密鑰,隨后認(rèn)證中心將發(fā)送給用戶數(shù)字證書,以證實(shí)你的公共密鑰及其他一些信息。
9. 如何確保得到我的私鑰的安全?
有以下三種保護(hù)方法:
將私人密鑰存放在自己計(jì)算機(jī)的硬盤上,這樣你能控制對(duì)它的存取。
將私人密鑰存放在IC卡上,并將IC卡存放在自己可以控制的地方。
當(dāng)你產(chǎn)生自己的私人密鑰時(shí),你所使用的軟件(如瀏覽器)將要求你輸入一個(gè)密碼,這一密碼將保護(hù)對(duì)私人密鑰的存取。對(duì)于微軟Internet Explorer用戶,私人密鑰將由Windows密碼加以保護(hù)。 只有在下述兩種情況下,第三方可以存取您的私人密鑰:
有權(quán)存取你存放密鑰的文件(常常是你的系統(tǒng)配置文件)。
知道你的私人密碼。有的軟件允許你選擇不使用密碼來(lái)保護(hù)你的私人密鑰。如果你選擇了這項(xiàng),你必須已確信,無(wú)論現(xiàn)在還是將來(lái),都不會(huì)有人非法訪問(wèn)你的計(jì)算機(jī)。
總而言之,使用密碼要比完全以物理角度保護(hù)你的計(jì)算機(jī)方便得多。不選用密碼,就像在自己的支票夾上預(yù)先簽好了所有支票,并將它打開(kāi)著放在辦公桌上。
有以下三種保護(hù)方法:
將私人密鑰存放在自己計(jì)算機(jī)的硬盤上,這樣你能控制對(duì)它的存取。
將私人密鑰存放在IC卡上,并將IC卡存放在自己可以控制的地方。
當(dāng)你產(chǎn)生自己的私人密鑰時(shí),你所使用的軟件(如瀏覽器)將要求你輸入一個(gè)密碼,這一密碼將保護(hù)對(duì)私人密鑰的存取。對(duì)于微軟Internet Explorer用戶,私人密鑰將由Windows密碼加以保護(hù)。 只有在下述兩種情況下,第三方可以存取您的私人密鑰:
有權(quán)存取你存放密鑰的文件(常常是你的系統(tǒng)配置文件)。
知道你的私人密碼。有的軟件允許你選擇不使用密碼來(lái)保護(hù)你的私人密鑰。如果你選擇了這項(xiàng),你必須已確信,無(wú)論現(xiàn)在還是將來(lái),都不會(huì)有人非法訪問(wèn)你的計(jì)算機(jī)。
總而言之,使用密碼要比完全以物理角度保護(hù)你的計(jì)算機(jī)方便得多。不選用密碼,就像在自己的支票夾上預(yù)先簽好了所有支票,并將它打開(kāi)著放在辦公桌上。
