什么是证书和认证系统
(资料图片)
证书是保存有关个人或机构的信息及其公共密钥的数字记录。用RSA数据安全创始人之一RonRivest的话来说,“数字证书是您在因特网上的名片”。它们是用于多种安全用途的个人数字ID。
数字证书是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
证书将公共密钥绑定到密钥所有者并提供一种可靠的交换密钥的方法。一旦交换,密钥则可用于加密和解密消息。简单地说,公共密钥方案以类似如下的方式起作用:
1.甲希望给乙发送私人消息。甲用一种专门的实用程序生成了一对密钥。这两个密钥是惟一且彼此连接的。由一个密钥加密的数据可以用另一个(且没有其他的)解密。
2.甲保留私人密钥并使公共密钥可公共使用。
3.当甲准备给乙发送私人消息时,用其私人密钥加密。
4.乙收到消息后,用甲的公共密钥解密它。
相反的路也可以。乙可以用甲的公共密钥加密消息并将其发送给甲。甲收到后,用私人密钥解密消息。或者,乙也可以用自己的私人密钥加密消息,甲可以用乙的公共密钥解密消息。
CA的优点是它为甲和乙提供了一种安全可靠的交换公共密钥的方法。如果密钥是在CA发布的证书中,则可以认为密钥是被授予证书的那人的真实密钥。
数字证书是由权威公正的第三方机构即CA中心签发的,如Verisign,甚至美国邮局发布。基本上是,发布一个证书,等于CA在说:“我们已经验证了证书中有关该人或机构的信息是真实的,并且证书中的公共密钥对该人或机构是有效的公共密钥”。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
并非所有的证书都是为公共密钥发布而设计。属性证书将描述性数据绑定到某人或单独的公共密钥证书上,数据是经过属性授权机构数字签名的,以保证内容通过它自己的签名。
证书可能包括标识、访问控制、安全许可证等等。证书可以用于客户机和服务器间的验证和安全消息交换程序。证书甚至可用于代替网上交易时的信用卡号。由主要信用卡公司开发的SET (安全电子交易)方案是为向贸易商隐藏信用卡号而设计的,方法是用数字证书代替信用卡号。
消息伪造的风险或许是使用公共密钥基础结构的一个更重要的原因。随着电子商务的发展,增进了确保消息可信和不被更改的需要。另一个问题是消息否认,即消息的作者否认已经发送了一个消息。这些问题可以通过数字签名消息而得以避免。消息与用户密钥结合并随机创建一个惟一的消息摘要,该摘要以后可以用于检测更改并证明用户签署了原始消息。
CA提供多种服务,包括验证申请证书的人或组织的身份,管理和更新数字证书,维护证书吊销列表(已被吊销的证书)以及以安全的方式管理证书服务器和证书信息。
理想的情况是,所有证书应该具备标准格式(布局、结构)以便它们可以用于世界各地。最公认的证书标准是由ISO/IEC定义的X.5O9版本3。证书格式包括信息字段,如)X.509版本号、序列号、发布CA、有效期、持有者的名字、持有者的公共密钥和为适应应用程序而定制的可选信息。目前,数字证书主要分为安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。
营业执照公示信息