數字認證

保障網上安全交易的數字證書

數字認證證書它是以數字證書為核心的加密技術可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的安全性、完整性。使用了數字證書,即使您發送的信息在網上被他人截獲,甚至您丟失了個人的賬戶、密碼等信息,仍可以保證您的賬戶、資金安全。簡單來說就是保障你的在網上交易的安全。

基本介紹


歷史沿革

證書實際是由證書籤證機關(CA)簽發的對用戶的公鑰的認證。
證書的內容包括:電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。目前,證書的格式和驗證方法普遍遵循X.509國際標準。
● 加密:ca認證將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
● 解密:將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
如打算在電子文檔上實現簽名的目的,可使用數字簽名。RSA公鑰體制可實現對數字信息的數字簽名,方法如下:
信息發送者用其私匙對從所傳報文中提取出的特徵數據(或稱數字指紋)進行RSA演演算法操作,以保證發信人無法抵賴曾發過該信息(即不可抵賴性),同時也確保信息報文在傳遞過程中未被篡改(即完整性)。當信息接收者收到報文後,就可以用發送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的散列函數HASH函數)生成的。對這些HASH函數的特殊要求是:
● ● 接受的輸入報文數據沒有長度限制;
● ● 對任何輸入報文數據生成固定長度的摘要(數字指紋)輸出;
● ● 從報文能方便地算出摘要;
● ● 難以對指定的摘要生成一個報文,而由該報文可以算出該指定的摘要;
● ● 難以生成兩個不同的報文具有相同的摘要。

數字證書

數字證書為實現雙方安全通信提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子信息加密。數字證書中含有密鑰對(公鑰和私鑰)所有者的識別信息,通過驗證識別信息的真偽實現對證書持有者身份的認證。

必要性

由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕鬆地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。為了保證網際網路上電子交易及支付的安全性,保密性等,防範交易及支付過程中的欺詐行為,必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份,並且在網上能夠有效無誤的被進行驗證。數字證書是一種權威性的電子文檔。它提供了一種在Internet上驗證您身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構----CA證書授權(CertificateAuthority)中心發行的,人們可以在網際網路交往中用它來識別對方的身份。當然在數字證書認證的過程中,證書認證中心(CA)作為權威的、公正的、可信賴的第三方,其作用是至關重要的。
數字證書也必須具有唯一性和可靠性。為了達到這一目的,需要採用很多技術來實現。通常,數字證書採用公鑰體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所有的私有密鑰(私鑰),用它進行解密和簽名;同時設定一把公共密鑰(公鑰)並由本人公開,為一組用戶所共享,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。公開密鑰技術解決了密鑰發布的管理問題,用戶可以公開其公開密鑰,而保留其私有密鑰。

頒發過程

數字證書頒發過程一般為:用戶首先產生自己的密鑰對,並將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后,將執行一些必要的步驟,以確信請求確實由用戶發送而來,然後,認證中心將發給用戶一個數字證書,該證書內包含用戶的個人信息和他的公鑰信息,同時還附有認證中心的簽名信息。用戶就可以使用自己的數字證書進行相關的各種活動。數字證書由獨立的證書發行機構發布。數字證書各不相同,每種證書可提供不同級別的可信度。可以從證書發行機構獲得您自己的數字證書。

數字身份認證原理

若註冊者認定一個人的身份,是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身份認證機構(可以是一個自然人)。把數字身份比喻成一個證件,那麼數字證書就是身份認證機構蓋在數字身份證上的一個章或印(或者說加在數字身份證上的一個簽名),這一行為表示身份認證機構已認定這個人。
身份認證機構是人們註冊公鑰的機構。註冊之後,身份認證機構就向註冊者發一數字證書,也就是說在註冊者的數字身份證上加簽。服務有免費,也有收費。身份認證機構也可以是一個自然人,就如PGP和GPG系統所倡導的。

證書分類

基於數字證書的應用角度分類,數字證書可以分為以下幾種:
伺服器證書被安裝於伺服器設備上,用來證明伺服器的身份和進行通信加密。伺服器證書可以用來防止假冒站點。
在伺服器上安裝伺服器證書後,客戶端瀏覽器可以與伺服器證書建立SSL連接,在SSL連接上傳輸的任何數據都會被加密。同時,瀏覽器會自動驗證伺服器證書是否有效,驗證所訪問的站點是否是假冒站點,伺服器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球知名的伺服器證書品牌是verisign.,thawte.geotrust等,其伺服器證書編製起來的可信網路已覆蓋全球,目前該公司已通過聯合國內數字認證企業如天威誠信開展中國區服務。
SSL證書主要用於伺服器(應用)的數據傳輸鏈路加密和身份認證,綁定網站域名,不同的產品對於不同價值的數據和要求不同的身份認證。超真SSL和超快SSL在頒發時間上已經沒有什麼區別,主要區別在於:超快SSL只驗證域名所有權,證書中不顯示單位名稱;而超真SSL需要驗證域名所有權、營業執照和第三方資料庫驗證,證書中顯示單位名稱。

電子郵件證書

電子郵件證書可以用來證明電子郵件發件人的真實性。它並不證明數字證書上面CN一項所標識的證書所有者姓名的真實性,它只證明郵件地址的真實性。
收到具有有效電子簽名的電子郵件,我們除了能相信郵件確實由指定郵箱發出外,還可以確信該郵件從被發出后沒有被篡改過。
另外,使用接收的郵件證書,我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網路傳輸,只有接收方的持有者才可能打開該郵件。

個人證書

客戶端證書主要被用來進行身份驗證和電子簽名。
安全的客戶端證書被存儲在專用的usbkey中。存儲於key中的證書不能被導出或複製,且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey,且需要知道key的保護密碼,這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。
客戶端證書分:超真單位證書超真箇人證書超快個人證書PDF文件簽名證書。