亚洲色欲久久久综合网,亚洲伊人成无码综合网,亚洲天堂一区二区三区四区

CA基礎(chǔ)知識(shí)【轉(zhuǎn)】

1、什么是數(shù)字證書(shū)？ 　　TOP
　　數(shù)字證書(shū)就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通訊中識(shí)別通訊各方的身份，即要在Internet上解決"我是誰(shuí)"的問(wèn)題，就如同現(xiàn)實(shí)中我們每一個(gè)人都要擁有一張證明個(gè)人身份的身份證或駕駛執(zhí)照一樣，以表明我們的身份或某種資格。
數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的，以數(shù)字證書(shū)為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
數(shù)字證書(shū)采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)擁有一把公共密鑰（公鑰）并可以對(duì)外公開(kāi)，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無(wú)誤地到達(dá)目的地了，即使被第三方截獲，由于沒(méi)有相應(yīng)的私鑰，也無(wú)法進(jìn)行解密。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的一種是RSA體制。
　　用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：
　（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否;
　（2）保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。
　　數(shù)字證書(shū)可用于：發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購(gòu)、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)。
數(shù)字證書(shū)的格式一般采用X.509國(guó)際標(biāo)準(zhǔn)。

2、數(shù)字證書(shū)的用途 　　TOP
　　CA中心所發(fā)放的數(shù)字證書(shū)可以應(yīng)用于公眾網(wǎng)絡(luò)上的商務(wù)活動(dòng)和行政作業(yè)活動(dòng)，包括支付型和非支付型電子商務(wù)活動(dòng)，其應(yīng)用范圍涉及需要身份認(rèn)證及數(shù)據(jù)安全的各個(gè)行業(yè)，包括傳統(tǒng)的商業(yè)、制造業(yè)、流通業(yè)的網(wǎng)上交易，以及公共事業(yè)、金融服務(wù)業(yè)、工商稅務(wù)海關(guān)、政府行政辦公、教育科研單位、保險(xiǎn)、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)。它主要應(yīng)用于網(wǎng)上購(gòu)物、企業(yè)與企業(yè)的電子貿(mào)易、安全電子郵件、網(wǎng)上證券交易、網(wǎng)上銀行等方面。CA中心還可以與企業(yè)代碼證中心合作，將企業(yè)代碼證和企業(yè)數(shù)字安全證書(shū)一體化，為企業(yè)網(wǎng)上交易、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)關(guān)、網(wǎng)上作業(yè)奠定基礎(chǔ)，免去企業(yè)面對(duì)眾多的窗口服務(wù)的苦累。
主要應(yīng)用：
　（1）網(wǎng)上報(bào)稅
　（2）工商管理。
　（3）網(wǎng)上辦公
　（4）安全電子郵件
　（5）網(wǎng)上交易
　（6）網(wǎng)上招標(biāo)
　　以往的招投標(biāo)受時(shí)間、地域、人文的影響，存在著許多弊病，例如外地投標(biāo)者的不便、招投標(biāo)各方的資質(zhì)，以及招標(biāo)單位和投標(biāo)單位之間存在的不正當(dāng)關(guān)系。而實(shí)行網(wǎng)上的公開(kāi)招投標(biāo)，利用數(shù)字安全證書(shū)對(duì)企業(yè)進(jìn)行身份確認(rèn)，招投標(biāo)企業(yè)只有在通過(guò)身份和資質(zhì)審核后，才可在網(wǎng)上展開(kāi)招投標(biāo)活動(dòng)，從而確保了招投標(biāo)企業(yè)的安全性和合法性，雙方企業(yè)通過(guò)安全網(wǎng)絡(luò)通道了解和確認(rèn)對(duì)方的信息，選擇符合自己條件的合作伙伴，確保網(wǎng)上的招投標(biāo)在一種安全、透明、信任、合法、高效的環(huán)境下進(jìn)行。通過(guò)該網(wǎng)上招投標(biāo)系統(tǒng)，使企業(yè)能夠制定正確的投資取向，根據(jù)自身的實(shí)際情況，選擇合適的合作者。

3、數(shù)字證書(shū)工作原理 　　TOP
　　數(shù)字證書(shū)采用公鑰體制，就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱為“公鑰”和“私鑰”，它們兩個(gè)必需配對(duì)使用，否則不能打開(kāi)加密文件。這里的“公鑰”是指可以對(duì)外公布的，“私鑰”則不能，只能由持有人一個(gè)人知道。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個(gè)大數(shù)分解成兩個(gè)質(zhì)數(shù)的乘積，加密和解密用的是兩個(gè)不同的密鑰。即使已知明文、密文和加密密鑰（公開(kāi)密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時(shí)間。公開(kāi)密鑰技術(shù)解決了密鑰發(fā)布的管理問(wèn)題，商戶可以公開(kāi)其公開(kāi)密鑰，而保留其私有密鑰。購(gòu)物者可以用人人皆知的公開(kāi)密鑰對(duì)發(fā)送的信息進(jìn)行加密，安全地傳送以商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。
　　用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：
　　(1) 保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；
　　(2) 保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。
數(shù)字簽名具體做法是：
　　(1) 將報(bào)文按雙方約定的HASH算法計(jì)算得到一個(gè)固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證，只要改動(dòng)報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會(huì)與原先的值不相符。這樣就保證了報(bào)文的不可更改性。
　　(2) 將該報(bào)文摘要值用發(fā)送者的私人密鑰加密,然后連同原報(bào)文一起發(fā)送給接收者,而產(chǎn)生的報(bào)文即稱數(shù)字簽名。
　　(3)接收方收到數(shù)字簽名后，用同樣的HASH算法對(duì)報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開(kāi)密鑰進(jìn)行解密解開(kāi)的報(bào)文摘要值相比較，如相等則說(shuō)明報(bào)文確實(shí)來(lái)自所稱的發(fā)送者。

4、CA中心的概念 　　TOP
　　數(shù)字證書(shū)認(rèn)證中心（Certficate Authority,CA）就是一個(gè)負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)。對(duì)于一個(gè)大型的應(yīng)用環(huán)境，認(rèn)證中心往往采用一種多層次的分級(jí)結(jié)構(gòu)，各級(jí)的認(rèn)證中心類似于各級(jí)行政機(jī)關(guān)，上級(jí)認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級(jí)認(rèn)證中心的證書(shū)，最下一級(jí)的認(rèn)證中心直接面向最終用戶。認(rèn)證中心主要有以下幾種功能：
(1) 證書(shū)的頒發(fā)
　　中心接收、驗(yàn)證用戶(包括下級(jí)認(rèn)證中心和最終用戶)的數(shù)字證書(shū)的申請(qǐng)，將申請(qǐng)的內(nèi)容進(jìn)行備案，并根據(jù)申請(qǐng)的內(nèi)容確定是否受理該數(shù)字證書(shū)申請(qǐng)。如果中心接受該數(shù)字證書(shū)申請(qǐng)，則進(jìn)一步確定給用戶頒發(fā)何種類型的證書(shū)。新證書(shū)用認(rèn)證中心的私鑰簽名以后，發(fā)送到目錄服務(wù)器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應(yīng)答信息都要使用認(rèn)證中心的簽名。
(2)證書(shū)的更新
　　認(rèn)證中心可以定期更新所有用戶的證書(shū)，或者根據(jù)用戶的請(qǐng)求來(lái)更新用戶的證書(shū)。
(3)證書(shū)的查詢
　　證書(shū)的查詢可以分為兩類，其一是證書(shū)申請(qǐng)的查詢，認(rèn)證中心根據(jù)用戶的查詢請(qǐng)求返回當(dāng)前用戶證書(shū)申請(qǐng)的處理過(guò)程；其二是用戶證書(shū)的查詢，這類查詢由目錄服務(wù)器來(lái)完成，目錄服務(wù)器根據(jù)用戶的請(qǐng)求返回適當(dāng)?shù)淖C書(shū)。
(4)證書(shū)的作廢
　　當(dāng)用戶的私鑰由于泄密等原因造成用戶證書(shū)需要申請(qǐng)作廢時(shí)，用戶需要向認(rèn)證中心提出證書(shū)作廢的請(qǐng)求，認(rèn)證中心根據(jù)用戶的請(qǐng)求確定是否將該證書(shū)作廢。另外一種證書(shū)作廢的情況是證書(shū)已經(jīng)過(guò)了有效期，認(rèn)證中心自動(dòng)將該證書(shū)作廢。認(rèn)證中心通過(guò)維護(hù)證書(shū)作廢列表(Certificate Revocation List,CRL)來(lái)完成上述功能。
(5)證書(shū)的歸檔
　　證書(shū)具有一定的有效期，證書(shū)過(guò)了有效期之后就將作廢，但是我們不能將作廢的證書(shū)簡(jiǎn)單地丟棄，因?yàn)橛袝r(shí)我們可能需要驗(yàn)證以前的某個(gè)交易過(guò)程中產(chǎn)生的數(shù)字簽名，這時(shí)我們就需要查詢作廢的證書(shū)?；诖祟惪紤]，認(rèn)證中心還應(yīng)當(dāng)具備管理作廢證書(shū)和作廢私鑰的功能。

5、PKI技術(shù)基礎(chǔ) 　　TOP
（1） PKI基本概念
　　公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure），是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系，簡(jiǎn)單來(lái)說(shuō)，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。
　　原有的單密鑰加密技術(shù)采用特定加密密鑰加密數(shù)據(jù)，而解密時(shí)用于解密的密鑰與加密密鑰相同，這稱之為對(duì)稱型加密算法。采用此加密技術(shù)的理論基礎(chǔ)的加密方法如果用于網(wǎng)絡(luò)傳輸數(shù)據(jù)加密，則不可避免地出現(xiàn)安全漏洞。因?yàn)樵诎l(fā)送加密數(shù)據(jù)的同時(shí)，也需要將密鑰通過(guò)網(wǎng)絡(luò)傳輸通知接收者，第三方在截獲加密數(shù)據(jù)的同時(shí)，只需再截取相應(yīng)密鑰即可將數(shù)據(jù)解密使用或進(jìn)行非法篡改。
區(qū)別于原有的單密鑰加密技術(shù)，PKI采用非對(duì)稱的加密算法，即由原文加密成密文的密鑰不同于由密文解密為原文的密鑰，以避免第三方獲取密鑰后將密文解密。
PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。
（2） PKI的基本組成
　　完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書(shū)庫(kù)、密鑰備份及恢復(fù)系統(tǒng)、證書(shū)作廢系統(tǒng)、應(yīng)用接口（API）等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來(lái)著手構(gòu)建。
認(rèn)證機(jī)構(gòu)（CA）：
　　即數(shù)字證書(shū)的申請(qǐng)及簽發(fā)機(jī)關(guān)，CA必須具備權(quán)威性的特征；
數(shù)字證書(shū)庫(kù)：
　　用于存儲(chǔ)已簽發(fā)的數(shù)字證書(shū)及公鑰，用戶可由此獲得所需的其他用戶的證書(shū)及公鑰；
密鑰備份及恢復(fù)系統(tǒng)：
　　如果用戶丟失了用于解密數(shù)據(jù)的密鑰，則數(shù)據(jù)將無(wú)法被解密，這將造成合法數(shù)據(jù)丟失。為避免這種情況，PKI提供備份與恢復(fù)密鑰的機(jī)制。但須注意，密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)來(lái)完成。并且，密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。
證書(shū)作廢系統(tǒng)：
　　證書(shū)作廢處理系統(tǒng)是PKI的一個(gè)必備的組件。與日常生活中的各種身份證件一樣,證書(shū)有效期以內(nèi)也可能需要作廢，原因可能是密鑰介質(zhì)丟失或用戶身份變更等。為實(shí)現(xiàn)這一點(diǎn),PKI必須提供作廢證書(shū)的一系列機(jī)制。
應(yīng)用接口（API）：
　　PKI的價(jià)值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此一個(gè)完整的PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。
　　通常來(lái)說(shuō)，CA是證書(shū)的簽發(fā)機(jī)構(gòu),它是PKI的核心。眾所周知，構(gòu)建密碼服務(wù)系統(tǒng)的核心內(nèi)容是如何實(shí)現(xiàn)密鑰管理。公鑰體制涉及到一對(duì)密鑰（即私鑰和公鑰），私鑰只由用戶獨(dú)立掌握，無(wú)須在網(wǎng)上傳輸，而公鑰則是公開(kāi)的，需要在網(wǎng)上傳送，故公鑰體制的密鑰管理主要是針對(duì)公鑰的管理問(wèn)題，目前較好的解決方案是數(shù)字證書(shū)機(jī)制。
　　數(shù)字證書(shū)是公開(kāi)密鑰體系的一種密鑰管理媒介。它是一種權(quán)威性的電子文檔，形同網(wǎng)絡(luò)計(jì)算環(huán)境中的一種身份證，用于證明某一主體（如人、服務(wù)器等）的身份以及其公開(kāi)密鑰的合法性，又稱為數(shù)字ID。數(shù)字證書(shū)由一對(duì)密鑰及用戶信息等數(shù)據(jù)共同組成，并寫(xiě)入一定的存儲(chǔ)介質(zhì)內(nèi)，確保用戶信息不被非法讀取及篡改。

6、關(guān)于電子簽名的介紹 　　TOP
（1）什么是電子簽名
　　《電子簽名法》中明確規(guī)定：電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。而數(shù)據(jù)電文是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。
這部法律規(guī)定、可靠的電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力，屆時(shí)消費(fèi)者可用手寫(xiě)簽名、公章的“電子版”、秘密代號(hào)、密碼或指紋、聲音、視網(wǎng)膜結(jié)構(gòu)等安全地在網(wǎng)上“付錢”、“交易”及“轉(zhuǎn)帳”。
（2）《電子簽名法》立法的目的
　　《電子簽名法》立法的直接目的是為了規(guī)范電子簽名行為，確立電子簽名的法律效力，維護(hù)各方合法權(quán)益；立法的最終目的是為了促進(jìn)電子商務(wù)和電子政務(wù)的發(fā)展，增強(qiáng)交易的安全性。
（3）電子簽名法的主要內(nèi)容
　　《電子簽名法》重點(diǎn)解決了五個(gè)方面的問(wèn)題。一是確立了電子簽名的法律效力；二是規(guī)范了電子簽名的行為；三是明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序，并給認(rèn)證機(jī)構(gòu)設(shè)置了市場(chǎng)準(zhǔn)入條件和行政許可的程序；四是規(guī)定了電子簽名的安全保障措施；五是明確了認(rèn)證機(jī)構(gòu)行政許可的實(shí)施主體是國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)。目前已變更為信息和工業(yè)化部，目前已經(jīng)取得資質(zhì)得有北京天威誠(chéng)信電子商務(wù)服務(wù)有限公司等20余家公司獲得了從業(yè)資格，可以對(duì)外提供合法電子簽名服務(wù)。

posted on 2011-11-08 18:33 weesun一米陽(yáng)光閱讀(400) 評(píng)論(0) 編輯收藏

新用戶注冊(cè) 刷新評(píng)論列表


只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問(wèn) 管理

waysun一路陽(yáng)光

公告

常用鏈接

隨筆分類(189)

隨筆檔案(160)

文章分類(1)

AJAX

搜索

積分與排名

最新隨筆

最新評(píng)論