数字证书 - ChinaLeo
数字证书概念
数 字证书(Digital Certificate, Digital ID)又称为数字凭证,是INTERNET上使用电子手段证实用户身份和用户访问网络资源权限的一种安全防范手段。它由权威机构发行。在网上的电子交易 中,如双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容:
• 证书的版本信息;
• 证书的序列号,每个证书都有一个唯一的证书序列号;
• 证书所使用的签名算法;
• 证书的发行机构名称,命名规则一般采用X..500格式;
• 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
• 证书所有人的名称,命名规则一般采用X..500格式;
• 证书所有人的公开密钥;
• 证书发行者对证书的签名。
数字认证原理
数 字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(简称私钥),用它进行解密和签名;同 时设定一把公开密钥(简称公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收 方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在 公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密 密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的 计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安 全地传送以商户,然后由商户用自己的私有密钥进行解密。
如果用户需要发送加密数据,发送方需要使用接收方的数字证书中的公开密钥对数据进行加密,而接收方则使用自己的私有密钥进行解密,从而保证数据的安全保密性。
数字证书类型
数字证书有三种类型:
个人证书(Personal Digital ID):它仅仅为某一个用户提供证书,以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的,并通过安全的电子邮件(S/MIME)来进行交易操作。
企业服务器证书(Server ID):它通常为网上的某个Web服务器提供证书,拥有Web服务器的企业就可以用具有证书的万维网站点(Web Site)来进行安全电子交易。有证书的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
软件开发者证书(Developer ID):它通常为Internet中被下载的软件提供证书,该证书用于和微软公司合法化软件技术结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类证书中前二类是常用的证书。大部分认证中心提供前两类证书,能提供各类证书的认证中心并不普遍。
5.9 认证中心
认证中心概念
在 电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方就能完成的,而需要有一个具有权威性和公正性的第三方来完成。认证中心CA (Certification Authority)就是提供交易双方身份认证并保证交易安全进行的第三方服务机构,它承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身 份。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。认证中心依据认证操作规定(CPS: Certification Practice Statement)来实施服务操作。
目前在全 球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4 月,总部在美国加州的Mountain View。该公司所提供的数字证书的服务已遍及全世界50个国家,接受该公司的服务器数字证书的Web站点服务器已超过45 000个,而使用该公司个人数字证书的用户已超过200万名。
认证中心层次结构
CA体系的层次结构如下图所示:
图CA的层次结构
它由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA四个层次构成。在CA的层次结构中,除去根CA外的每一级CA都可能含有多个 CA。也就是说,根CA下面可以有多个被它授权的品牌CA,每个品牌CA下面可以有多个被该品牌CA授权的地方CA,每个地方CA下面可以有多个被该地方 CA授权的持卡人CA、商家CA、支付网关CA。上一级CA负责下一级CA数字证书的申请,签发及管理工作。持卡人CA、商家CA和支付网关CA是面向最 终用户发放证书的CA认证机构。
通过一个完整的CA认证体系,可以有效地实现对数字证书的验证。 每一份数字证书都与上一级的签名证书相关联,最终通过安全认证链追溯到一个已知的可信赖的机构,由此便可以对各级数字证书的有效性进行验证。同时,这样的 一种层次结构也形成了一个信任链,它保证了信任的可传递性,使得由不同的终极CA认证机构所颁发的证书能够被信任该CA层次结构中任一CA认证中心的使用 者所信任。这是因为他们信任同一个根CA。根CA的密钥由一个自签证书分配,根证书的公开密钥对所有各方公开,它是CA体系中的最高层。
认证中心的组成
认证中心为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
认证中心的工作流程
CA通过注册服务器,证书申请受理和审核机构,认证中心服务器就可以完成各项用户请求以及管理功能了。其工作流程如下:
• 接收并验证用户对数字证书的申请。
• 审核用户的申请。
• 向申请者颁发、拒绝颁发数字证书。
• 接收、处理最终用户的数字证书更新请求。
• 接收用户对数字证书的查询或作废的要求。
• 产生和发布证书作废列表CRL。
• 数字证书的归档。
• 密钥归档。
• 历史数据归档。
数 字证书(Digital Certificate, Digital ID)又称为数字凭证,是INTERNET上使用电子手段证实用户身份和用户访问网络资源权限的一种安全防范手段。它由权威机构发行。在网上的电子交易 中,如双方出示了各自的数字证书,并用它来进行交易操作,那么双方都可不必为对方身份的真伪担心。
数字证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容:
• 证书的版本信息;
• 证书的序列号,每个证书都有一个唯一的证书序列号;
• 证书所使用的签名算法;
• 证书的发行机构名称,命名规则一般采用X..500格式;
• 证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
• 证书所有人的名称,命名规则一般采用X..500格式;
• 证书所有人的公开密钥;
• 证书发行者对证书的签名。
数字认证原理
数 字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(简称私钥),用它进行解密和签名;同 时设定一把公开密钥(简称公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收 方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
在 公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密 密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的 计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安 全地传送以商户,然后由商户用自己的私有密钥进行解密。
如果用户需要发送加密数据,发送方需要使用接收方的数字证书中的公开密钥对数据进行加密,而接收方则使用自己的私有密钥进行解密,从而保证数据的安全保密性。
数字证书类型
数字证书有三种类型:
个人证书(Personal Digital ID):它仅仅为某一个用户提供证书,以帮助其个人在网上进行安全交易操作。个人身份的数字证书通常是安装在客户端的浏览器内的,并通过安全的电子邮件(S/MIME)来进行交易操作。
企业服务器证书(Server ID):它通常为网上的某个Web服务器提供证书,拥有Web服务器的企业就可以用具有证书的万维网站点(Web Site)来进行安全电子交易。有证书的Web服务器会自动地将其与客户端Web浏览器通信的信息加密。
软件开发者证书(Developer ID):它通常为Internet中被下载的软件提供证书,该证书用于和微软公司合法化软件技术结合的软件,以使用户在下载软件时能获得所需的信息。
上述三类证书中前二类是常用的证书。大部分认证中心提供前两类证书,能提供各类证书的认证中心并不普遍。
5.9 认证中心
认证中心概念
在 电子交易中,无论是数字时间戳服务还是数字证书的发放,都不是靠交易双方就能完成的,而需要有一个具有权威性和公正性的第三方来完成。认证中心CA (Certification Authority)就是提供交易双方身份认证并保证交易安全进行的第三方服务机构,它承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身 份。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。认证中心依据认证操作规定(CPS: Certification Practice Statement)来实施服务操作。
目前在全 球处于领导地位的认证中心是美国的VeriSign公司,创建于1995年4 月,总部在美国加州的Mountain View。该公司所提供的数字证书的服务已遍及全世界50个国家,接受该公司的服务器数字证书的Web站点服务器已超过45 000个,而使用该公司个人数字证书的用户已超过200万名。
认证中心层次结构
CA体系的层次结构如下图所示:
图CA的层次结构
它由根CA、品牌CA、地方CA以及持卡人CA、商家CA、支付网关CA四个层次构成。在CA的层次结构中,除去根CA外的每一级CA都可能含有多个 CA。也就是说,根CA下面可以有多个被它授权的品牌CA,每个品牌CA下面可以有多个被该品牌CA授权的地方CA,每个地方CA下面可以有多个被该地方 CA授权的持卡人CA、商家CA、支付网关CA。上一级CA负责下一级CA数字证书的申请,签发及管理工作。持卡人CA、商家CA和支付网关CA是面向最 终用户发放证书的CA认证机构。
通过一个完整的CA认证体系,可以有效地实现对数字证书的验证。 每一份数字证书都与上一级的签名证书相关联,最终通过安全认证链追溯到一个已知的可信赖的机构,由此便可以对各级数字证书的有效性进行验证。同时,这样的 一种层次结构也形成了一个信任链,它保证了信任的可传递性,使得由不同的终极CA认证机构所颁发的证书能够被信任该CA层次结构中任一CA认证中心的使用 者所信任。这是因为他们信任同一个根CA。根CA的密钥由一个自签证书分配,根证书的公开密钥对所有各方公开,它是CA体系中的最高层。
认证中心的组成
认证中心为了实现其功能,主要由以下三部分组成:
(1)注册服务器:通过 Web Server 建立的站点,可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表,免去了排队等候等烦恼。
(2)证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
(3)认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
认证中心的工作流程
CA通过注册服务器,证书申请受理和审核机构,认证中心服务器就可以完成各项用户请求以及管理功能了。其工作流程如下:
• 接收并验证用户对数字证书的申请。
• 审核用户的申请。
• 向申请者颁发、拒绝颁发数字证书。
• 接收、处理最终用户的数字证书更新请求。
• 接收用户对数字证书的查询或作废的要求。
• 产生和发布证书作废列表CRL。
• 数字证书的归档。
• 密钥归档。
• 历史数据归档。
版权声明:本文为shenyunjun420原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。