數字證書基本概念

2021-06-16 03:54:55 字數 2134 閱讀 6902

(1)什麼是證書?

在乙個電子商務系統中,所有參與活動的實體都必須用證書來表明自己的身份。證書一方面可以用來向系統中的其它實體證明自己的身份(每份證書都是經「相對權威的機構」簽名的),另一方面由於每份證書都攜帶著證書持有者的公鑰(簽名證書攜帶的是簽名公鑰,金鑰加密證書攜帶的是金鑰加密公鑰),所以,證書也可以向接收者證實某人或某個機構對公開金鑰的擁有,同時也起著公鑰分發的作用。

(2)什麼是ca?

ca是certificate authority的縮寫,是證書授權的意思。在電子商務系統中,所有實體的證書都是由證書授權中心既ca中心分發並簽名的。乙個完整、安全的電子商務系統必須建立起乙個完整、合理的ca體系。ca體系由證書審批部門和證書操作部門組成。

(3)什麼是ssl?

安全套接層協議(ssl,security socket layer)是網景(netscape)公司提出的基於web應用的安全協議,它包括:伺服器認證、客戶認證(可選)、ssl鏈路上的資料完整性和ssl鏈路上的資料保密性,主要採用公開金鑰體制和x.509數字證書技術來提供安全性保證。對於電子商務應用來說, ssl可保證資訊的真實性、完整性和保密性。但由於ssl不對應用層的訊息進行數字簽名,因此不能提供交易的不可否認性,這是ssl在電子商務中使用的最大不足。有鑑於此,網景公司在從communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名(form signing)"的功能,在電子商務中,可利用這一功能來對包含購買者的訂購資訊和付款指令的表單進行數字簽名,從而保證交易資訊的不可否認性。

(4)什麼是ra?

ra即證書發放審核部門,它是ca系統的乙個功能元件。它負責對證書申請者進行資格審查,並決定是否同意給該申請者發放證書,並承擔因審核錯誤引起的、為不滿足資格的證書申請者發放證書所引起的一切後果,因此它應由能夠承擔這些責任的機構擔任。

(5)什麼是cp?

cp即證書發放的操作部門,它是ca系統的乙個功能元件,負責為已授權的申請者製作、發放和管理證書,並承擔因操作運營錯誤所產生的一切後果,包括失密和為沒有獲得授權者發放證書等,它可以由審核授權部門自己擔任,也可委託給第三方擔任。

(6)什麼是crl?

crl是證書作廢表的縮寫。crl中記錄尚未過期但已宣告作廢的使用者證書序列號,供證書使用者在認證對方證書時查詢使用。crl通常被稱為證書黑名單。

(7)什麼是ocsp?

(8)什麼是金鑰對,怎樣使用它,怎樣獲得金鑰對?

像有的加密技術中採用相同的金鑰加密、解密資料,公共金鑰加密技術採用一對匹配的金鑰進行加密、解密。每把金鑰執行一種對資料的單向處理,每把的功能恰恰與另一把相反,一把用於加密時,則另一把就用於解密。

公共金鑰是由其主人加以公開的,而私人金鑰必須保密存放。為傳送乙份保密報文,傳送者必須使用接收者的公共金鑰對資料進行加密,一旦加密,只有接收方用其私人金鑰才能加以解密。

相反地,使用者也能用自己私人金鑰對資料加以處理。換句話說,金鑰對的工作是可以任選方向的。這提供了"數字簽名"的基礎,如果要乙個使用者用自己的私人金鑰對資料進行了處理,別人可以用他提供的公共金鑰對資料加以處理。由於僅僅擁有者本人知道私人金鑰,這種被處理過的報文就形成了一種電子簽名----一種別人無法產生的檔案。

數字證書中包含了公共金鑰資訊,從而確認了擁有金鑰對的使用者的身份。

大多數情況下,當你申請數字證書時,會為你產生金鑰對。出於安全性考慮,金鑰對應當在您的機器產生並且私人金鑰不會在網上傳輸。

一旦產生,就應在認證中心上登記自己的公共金鑰,隨後認證中心將傳送給使用者數字證書,以證實你的公共金鑰及其他一些資訊。

(9)如何確保得到我的私鑰的安全?

有以下三種保護方法:

將私人金鑰存放在自己計算機的硬碟上,這樣你能控制對它的訪問。

將私人金鑰存放在ic卡上,並將ic卡存放在自己可以控制的地方。

當你產生自己的私人金鑰時,你所使用的軟體(如瀏覽器)將要求你輸入乙個密碼,這一密碼將保護對私人金鑰的訪問。對於微軟internet explorer使用者,私人金鑰將由windows密碼加以保護。 只有在下述兩種情況下,第三方可以訪問您的私人金鑰:

有權訪問你存放金鑰的檔案(常常是你的系統配置檔案)。

知道你的私人密碼。有的軟體允許你選擇不使用密碼來保護你的私人金鑰。如果你選擇了這項,你必須已確信,無論現在還是將來,都不會有人非法訪問你的計算機。

總而言之,使用密碼要比完全以物理角度保護你的計算機方便得多。不選用密碼,就像在自己的支票夾上預先簽好了所有支票,並將它開啟著放在辦公桌上。

公鑰,私鑰和數字證書基本概念

加密和認證 首先我們需要區分加密和認證這兩個基本概念。加密是將資料資料加密,使得非法使用者即使取得加密過的資料,也無法獲取正確的資料內容,所以資料加密可以保護資料,防止監聽攻擊。其重點在於資料的安全性。身份認證是用來判斷某個身份的真實性,確認身份後,系統才可以依不同的身份給予不同的許可權。其重點在於...

數字證書的概念

數字證書的概念 數字證書 ca 認證中心 數字簽名 密碼技術 數字摘要 在現實生活中,人們所從事的活動主體憑證一般有以下幾種 1 當事人本身,2 有效證件,3 親筆簽名,等等。這些憑證的共有特點是實物性,可以得到確認和追訴。而在internet的世界裡,人們所面對和處理的都是數位化的資訊或資料,對在...

SSL,HTTPS,數字證書

ssl https secure hypertext transfer protocol 安全超文字傳輸協議 它是由netscape開發並內置於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。https實際上應用了netscape的完全套接字層 ssl 作為http應用層的子層。...