簡介
CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中,CA不僅對持卡人、商戶發放證書,還要對獲款的銀行、網關發放證書。
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份後,便為他分配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給申請者。
如果一個用戶想鑑別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國內、國際安全電子交易協定標準的電子商務安全證,並負責管理所有參與網上交易的個體所需的數字證書,因此是安全電子交易的核心環節。
證書
證書實際是由證書籤證機關(CA)簽發的對用戶的公鑰的認證。
證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。證書的格式和驗證方法普遍遵循X.509 國際標準。
加密:
CA認證我們將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
解密:
我們將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如何在電子文檔上實現簽名的目的呢?我們可以使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,方法如下:
信息傳送者用其私匙對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用傳送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函式(HASH函式) 生成的。對這些HASH函式的特殊要求是:
接受的輸入報文數據沒有長度限制;
對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
從報文能方便地算出摘要;
難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
難以生成兩個不同的報文具有相同的摘要。
1.接受的輸入報文數據沒有長度限制;
2.對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
3.從報文能方便地算出摘要;
4.難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
5.難以生成兩個不同的報文具有相同的摘要。
驗證
收方在收到信息後用如下的步驟驗證您的簽名:
使用自己的私鑰將信息轉為明文;
使用發信方的公鑰從數字簽名部分得到原摘要;
收方對您所傳送的源信息進行hash運算,也產生一個摘要;
收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
1.使用自己的私鑰將信息轉為明文;
2.使用發信方的公鑰從數字簽名部分得到原摘要;
3.收方對您所傳送的源信息進行hash運算,也產生一個摘要;
4.收方比較兩個摘要,如果兩者相同,則可以證明信息簽名者的身份。
如果兩摘要內容不符,會說明什麼原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明信息的簽名者不可信;也可能收到的信息根本就不是簽名者傳送的信息,信息在傳輸過程中已經遭到破壞或篡改。
作用:
•保密性 - 只有收件人才能閱讀信息。
•認證性 - 確認信息傳送者的身份。
•完整性 - 信息在傳遞過程中不會被篡改。
•不可抵賴性 - 傳送者不能否認已傳送的信息。
數字證書
數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有公鑰對所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。
使用數字證書能做什麼?
數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,傳送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,傳送者要用自己的私鑰對信件進行簽名;收件人可使用傳送者的公鑰對簽名進行驗證,以確認傳送者的身份。
線上交易中您可使用數字證書驗證對方身份。用數字證書加密信息,可以確保只有接收者才能解密、閱讀原文,信息在傳遞過程中的保密性和完整性。有了數字證書網上安全才得以實現,電子郵件、線上交易和信用卡購物的安全才能得到保證。
數字證書的類型
個人數字證書,主要用於標識數字證書自然人所有人的身份,包含了個人的身份信息及其公鑰,如用戶姓名、證件號碼、身份類型等,可用於個人在網上進行契約簽定、定單、錄入審核、操作許可權、支付信息等活動。
機構數字證書,用於機構在電子政務和電子商務方面的對外活動,如契約簽訂等方面。證書中包含機構信息和機構的公鑰,以及機構的簽名私鑰,用於標識證書持有機構的真實身份。此證書相當於現實世界中機構的公章,具有唯一性,即每個機構只有一個 。
設備數字證書,用於在網路套用中標識網路設備的身份,主要包含了設備的相關信息及其公鑰,如:域名、網址等,可用於VPN伺服器、WEB伺服器等各種網路設備在網路通訊中標識和驗證設備身份。
代碼簽名數字證書,是簽發給軟體提供者的數字證書,包含了軟體提供者的身份信息及其公鑰,主要用於證明軟體發布者所發行的軟體代碼來源於一個真實軟體發布者,可以有效防止軟體代碼被篡改。
1.個人數字證書,主要用於標識數字證書自然人所有人的身份,包含了個人的身份信息及其公鑰,如用戶姓名、證件號碼、身份類型等,可用於個人在網上進行契約簽定、定單、錄入審核、操作許可權、支付信息等活動。
2.機構數字證書,用於機構在電子政務和電子商務方面的對外活動,如契約簽訂等方面。證書中包含機構信息和機構的公鑰,以及機構的簽名私鑰,用於標識證書持有機構的真實身份。此證書相當於現實世界中機構的公章,具有唯一性,即每個機構只有一個 。
3.設備數字證書,用於在網路套用中標識網路設備的身份,主要包含了設備的相關信息及其公鑰,如:域名、網址等,可用於VPN伺服器、WEB伺服器等各種網路設備在網路通訊中標識和驗證設備身份。
4.代碼簽名數字證書,是簽發給軟體提供者的數字證書,包含了軟體提供者的身份信息及其公鑰,主要用於證明軟體發布者所發行的軟體代碼來源於一個真實軟體發布者,可以有效防止軟體代碼被篡改。