基于PKI_CA的电子商务安全技术
pki网络安全认证技术
pki网络安全认证技术PKI(公钥基础设施)是一种网络安全认证技术,通过构建一个可信的实体、数字证书和相关的管理系统,来确保网络通信的安全性和可靠性。
PKI技术采用了公钥密码学和数字证书来完成身份认证、数据加密和数据完整性校验等功能,是当今广泛应用于各类网络应用的基础设施。
PKI技术的核心是公钥密码学。
公钥密码学是一种使用非对称密钥对进行加解密的密码学技术,其中包含了公钥和私钥两个密钥。
公钥可以自由传播,而私钥只有密钥的拥有者可以使用。
PKI利用公钥密码学的非对称特性,将公钥存储在数字证书中,通过这些证书来实现身份认证和数据加密。
在PKI网络安全认证技术中,数字证书是重要的组成部分。
数字证书是一种由认证机构(CA)签发的包含了公钥和一些相关信息的电子文档,用于证明一个实体的身份。
数字证书可以用来验证通信双方的身份,确保没有中间人攻击和伪造身份的风险。
CA是PKI系统中的核心机构,负责签发证书、验证身份和管理证书的吊销列表。
PKI技术的应用领域非常广泛。
在企业内部,PKI可以用于实现内部通信的安全性,比如虚拟专用网络(VPN)的建立,远程访问和身份认证等功能。
在电子商务中,PKI可以用于保护网上支付和数据传输的安全,防止用户信息被泄漏和篡改。
在政府和公共服务中,PKI可以用于实现电子邮件签名、电子票据、电子投票等功能。
PKI技术能够提供充分的安全性和可靠性,但也存在一些潜在的问题。
首先,PKI技术的实施和管理比较复杂,需要建立一个完善的证书管理机构和合适的密钥管理策略。
其次,PKI的安全性依赖于私钥的保护,如果私钥被泄漏或者私钥的持有者不安全地使用私钥,将会导致安全风险。
此外,PKI的实施还需要考虑到兼容性和互操作性等问题,因为不同的系统可能使用不同的PKI实现。
总之,PKI网络安全认证技术是一种基于公钥密码学和数字证书的安全机制,能够提供身份认证、数据加密和数据完整性校验等功能。
它在各类网络应用中得到了广泛的应用,但也面临一些挑战和风险。
信息安全中的PKI体系设计与实现
信息安全中的PKI体系设计与实现PKI体系是公钥基础设施的缩写,在数字证书领域中应用十分广泛。
PKI体系作为一种保护数字证书及其相关信息的聚合机制,对于信息安全起到了至关重要的作用。
本文将探讨在信息安全领域中PKI体系的设计和实现方法,以期让读者更深入了解PKI体系的原理和应用,从而更好地保护电子商务、电子政务等活动中所涉及的各种信息,确保网络安全。
一、PKI体系简介PKI体系是一种复杂的技术体系,包括了数字证书的认证、签名、验证等多种功能。
它主要由证书管理中心(CA)、数字证书、协议等因素组成。
CA是PKI体系中最重要的组成部分,它可以负责数字证书的颁发、失效、更新等多个方面的信息。
由于CA有其自身的证书机构,因此可以保证数字证书的真实、有效性。
数字证书和协议方面是PKI体系的重要支柱,后续章节将会详细展开。
二、PKI体系的设计与实现PKI体系的设计与实现是一个复杂的过程,需要考虑到安全性、高效性、可扩展性等多个方面的因素。
下面将从数字证书、密钥管理、证书颁发、协议等方面逐一探讨。
1. 数字证书数字证书是PKI体系的核心,它用于验证用户、设备的身份信息和保障通讯的安全。
数字证书一般包含证书序列号、证书颁发者信息、证书持有人信息等,有时还会包含证书有效期等信息。
设计数字证书时需要考虑以下因素:(1)证书的安全性:数字证书需要通过多级加密算法进行保护,以免遭受黑客的攻击。
(2)证书的可扩展性:数字证书需要具有可扩展性,以便对新的需求进行快速适应。
(3)证书的规范性:数字证书需要满足标准,以确保其在各种领域均可以得到广泛的应用。
2. 密钥管理密钥管理是PKI体系中最为关键的环节之一,其保证了数字证书的安全性和合法性。
需要设计对密钥进行分层管理,以确保密钥的安全。
在设计时需要考虑以下因素:(1)密钥的生成:需要保证密钥的随机性和唯一性,以确保攻击的难度。
(2)密钥的保管:需要将密钥安全地储存和传输,以确保密钥的不泄露。
PKI和CA技术
PKI(Public Key Infrastructure )即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI综述PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。
这个定义涵盖的内容比较宽,是一个被很多人接受的概念。
这个定义说明,任何以公钥技术为基础的安全基础设施都是PKI。
当然,没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务,也就不能叫做PKI。
也就是说,该定义中已经隐含了必须具有的密钥管理功能。
X.509标准中,为了区别于权限管理基础设施(Privilege Management Infrastructure,简称PMI),将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施]。
这个概念与第一个概念相比,不仅仅叙述PKI能提供的安全服务,更强调PKI必须支持公开密钥的管理。
也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。
因为PMI仅仅使用公钥技术但并不管理公开密钥,所以,PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。
X.509中从概念上分清PKI和PMI有利于标准的叙述。
然而,由于PMI使用了公钥技术,PMI的使用和建立必须先有PKI的密钥管理支持。
也就是说,PMI不得不把自己与PKI绑定在一起。
当我们把两者合二为一时,PMI+PKI 就完全落在X.509标准定义的PKI范畴内。
根据X.509的定义,PMI+PKI仍旧可以叫做PKI,而PMI完全可以看成PKI的一个部分。
公钥基础设施(PKI)的作用
公钥基础设施(PKI)的作用公钥基础设施(PKI)是一种加密技术体系,用于确保网络通信的安全性和可信性。
其作用包括建立和管理密钥、数字证书和数字签名等,为信息安全提供了重要的基础支持。
本文将介绍PKI的概念、功能以及在现代社会中的广泛应用。
一、概述PKI是一种安全基础设施,用于确保通信数据的机密性、完整性和认证性。
它包含了加密算法、数字证书、证书颁发机构(CA)和注册机构(RA)等组件,通过这些组件协同工作,实现了保护网络通信的目标。
二、功能1. 机密性保护:PKI通过使用公钥和私钥配对来实现信息的机密性保护。
发送方使用接收方的公钥将信息加密,只有接收方拥有与其对应的私钥,才能解密信息。
2. 完整性保护:PKI使用数字签名技术来保护数据的完整性。
发送方使用私钥对信息进行签名,接收方使用发送方的公钥来验证数字签名,以确保数据在传输过程中没有被篡改。
3. 身份认证:PKI通过数字证书来验证用户的身份。
数字证书中包含用户的公钥和一些身份信息,由可信的证书颁发机构进行签名和发布。
使用者可以通过验证数字证书的合法性,来确认通信双方的身份。
4. 密钥交换:PKI可以实现安全的密钥交换,确保通信双方的密钥不被窃取或篡改。
通过使用公钥加密算法,通信双方可以在不安全的网络中安全地交换密钥。
三、应用1. 电子商务:PKI在电子商务领域的应用非常广泛。
用户可以通过数字证书进行身份验证,并使用数字签名保护交易的机密性和完整性。
此外,PKI还可以提供交易双方之间的安全通信渠道。
2. 电子政务:PKI可用于政府机构与公民之间的安全通信和身份认证。
通过数字证书的应用,政府机构可以确保公民身份的准确性,并保证与公民之间的信息交互的安全性。
3. 敏感数据保护:PKI对于保护敏感数据的安全性至关重要。
银行、金融机构等行业可以使用PKI来保护客户的个人账户信息和交易数据,从而防止黑客攻击和数据泄露。
4. 远程访问和虚拟专用网络(VPN):PKI可用于远程访问和VPN连接的安全性保障。
数字证书的原理
数字证书的原理数字证书是一种用于证明网络通信安全性的数字凭证,它采用了非对称加密技术和数字签名技术,能够确保通信的机密性、完整性和真实性。
数字证书的原理是基于公钥基础设施(PKI)的,通过证书颁发机构(CA)来验证和签发数字证书,从而保障通信的安全性。
首先,数字证书的原理是建立在非对称加密技术上的。
非对称加密技术使用一对密钥,分别是公钥和私钥。
公钥可以公开给任何人使用,而私钥则只有持有者知晓。
在数字证书中,公钥用于加密和验证数字签名,私钥用于解密和生成数字签名。
这种非对称加密技术能够保障通信的机密性,即使公钥被截获,也无法破解加密信息。
其次,数字证书的原理还涉及到数字签名技术。
数字签名是使用私钥对通信内容进行签名,接收方可以使用对应的公钥来验证签名的真实性。
数字签名能够确保通信内容的完整性和真实性,防止信息被篡改或冒充。
数字证书中包含了证书持有者的公钥和数字签名,接收方可以通过验证数字签名来确认证书的真实性。
最后,数字证书的原理还需要依赖于证书颁发机构(CA)来验证和签发数字证书。
证书颁发机构是一个可信的第三方机构,它会对申请数字证书的主体进行身份验证,并签发相应的数字证书。
证书颁发机构会将证书持有者的公钥和身份信息进行绑定,并用自己的私钥对此进行签名,形成数字证书。
接收方可以通过验证证书颁发机构的数字签名来确认证书的真实性和可信度。
综上所述,数字证书的原理是基于非对称加密技术和数字签名技术的,通过证书颁发机构来验证和签发数字证书,从而保障通信的安全性。
数字证书能够确保通信的机密性、完整性和真实性,是网络通信安全的重要保障。
通过对数字证书的原理的深入理解,我们能更好地应用数字证书技术来保障网络通信的安全性。
PKI在电子商务中的应用
PKI在电子商务中的应用引言随着互联网的迅猛发展,电子商务已成为全球经济发展的重要组成部分。
然而,电子商务的发展也带来了安全和信任的问题。
为了确保电子商务的安全性和可信度,公钥基础设施(PKI)被广泛应用于电子商务领域。
本文将介绍PKI的概念、原理以及其在电子商务中的应用。
PKI的概念公钥基础设施(Public Key Infrastructure,PKI)是一种密钥管理体系,用于确保在不安全的网络环境下进行安全通信。
PKI通过使用非对称加密算法和数字证书来确保数据的机密性、完整性和可靠性。
PKI的四个基本组成部分包括公钥证书机构(Certificate Authority,CA)、注册机构(Registration Authority,RA)、验证机构(Validation Authority,VA)和验证框架(Validation Framework)。
CA是负责颁发和管理数字证书的机构,RA是CA的辅助机构,负责验证申请者身份,VA负责验证数字证书的有效性,验证框架用于验证数字证书的合法性。
PKI的原理PKI的核心原理是基于非对称加密算法。
非对称加密算法使用两个密钥,即公钥和私钥。
公钥用于加密数据,私钥用于解密数据。
公钥可以公开分享,而私钥必须保密。
使用公钥加密的数据只能使用相应的私钥进行解密,保证了数据的机密性。
在PKI中,数字证书被用于证明实体的身份。
数字证书包含实体的公钥和身份信息等,由CA机构颁发并数字签名。
使用者可以通过验证证书的数字签名和CA的信任关系来验证数字证书的有效性和真实性。
PKI在电子商务中的应用数据加密和机密性保护在电子商务中,数据的机密性至关重要。
通过PKI的非对称加密算法,可以使用公钥加密敏感数据,只有具有相应私钥的实体才能解密数据。
这确保了发送的数据在传输过程中不会被窃取或篡改。
身份验证和数字证书的应用PKI在电子商务中的另一个重要应用是身份验证。
通过使用数字证书,电子商务平台可以验证用户的身份。
基于PKI的CA认证系统的研究
个 完 整 的 P I 统 主要 由认 证机 构 C K系 A、注册 机 构 RA、 证
体方法进行明确定义 ; 管理事物则负责服务的通知及消息交
换 的描 述 , 以 支持 P I 关 的事 务 及 操作 处 理 。 用 K相
书管 理 系 统 、K 策 略管 理 以 及 P I 用 接 口所 构成 , PI K应 其体 系
T c n g n t d ・技 术探 讨 e h o y a d S u y l o
基于 P I C K 的 A认证系统的研究
赵 琛
( 利 部 水 利 信 息 中心 北 京  ̄ o o ) 水 o oo
【摘要 】 随着网络应用的不断发展 ,K 技术逐渐成为解决 网络安全 问题的核心技术之一。本文首先阐述了 P I PI K 及相关技术 其
fr e s u s d h tr ru m n ai f A c r i t ns s m. ut r i s e ei e- o p h dc t n g o c mu i t no t c i t c o C ei o y e f a
【Ky od at nctnyt ;ulKynatc r i rao cn ew r s】u et i s m pbc e fsute n m tneu ̄ h i os e a i i r u ;f i s r o
系统主要负责证书的发布、 撤销等 , 是借助于 L A D P目录服务
完 成 证 书 库 的管 理 ;策 略管 理 也 是 P I 统 中 核心 的 部 分 , K系 主 要 是 定 义 安全 的 指 导 方针 , 对 密 码 系 统 的处 理 原 则 及 具 并
施 ” K 是通过公钥及密码技术 的结合来提供安全服务的。 。P I
电子商务安全技术
第一章:一.电子商务的安全需求电子商务的安全需求包括两方面:1.电子交易的安全需求(1)身份的可认证性在双方进行交易前,首先要能确认对方的身份,要求交易双方的身份不能被假冒或伪装。
(2)信息的保密性要对敏感重要的商业信息进行加密,即使别人截获或窃取了数据,也无法识别信息的真实内容,这样就可以使商业机密信息难以被泄露。
(3)信息的完整性交易各方能够验证收到的信息是否完整,即信息是否被人篡改过,或者在数据传输过程中是否出现信息丢失、信息重复等差错。
(4)不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的,即交易一旦达成,发送方不能否认他发送的信息,接收方则不能否认他所收到的信息。
(5)不可伪造性电子交易文件也要能做到不可修改2.计算机网络系统的安全(1)物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听(2)自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。
(3)黑客的恶意攻击所谓黑客,现在一般泛指计算机信息系统的非法入侵者。
黑客的攻击手段和方法多种多样,一般可以粗略的分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。
(4)软件的漏洞和“后门”(5)网络协议的安全漏洞(6)计算机病毒的攻击二.电子商务安全技术电子商务安全从整体上可分为两大部分,1.计算机网络安全常用的网络安全技术:安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等①安全评估技术通过扫描器发现远程或本地主机所存在的安全问题。
②防火墙防火墙是保护企业保密数据和保护网络设施免遭破坏的主要手段之一,可用于防止未授权的用户访问企业内部网,也可用于防止企业内部的保密数据未经授权而发出。
③虚拟专用网虚拟专用网VPN(Virtual Private Networks)是企业内部网在Internet上的延伸,通过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。
PKI/CA技术在电子政务中的应用
图 4 基 于 P 的安 全 电子 政 务 结 构 模 型 K1
网 络 拓 扑 结 构 应 安令 、合 理 ,划 分 网 络 安 全 区 域 , 置 异 构 防 火墙 系统 、 全 路 由及 I S等 入 设 安 D 侵 柃 测 装 置 ,以 防 范 来 自 Itme 的攻 击 并 加 ne t 强 对 内 部 的 安 全 管理 ( ) tre 主 要 的 安 全 协 议 。 s 安 全 套 接 iI en t n sl ( 层 ) 议 : 于 T PC 协 基 C /P的 客 户, 务 器 应 用 程 序 服 提 供 f客 ,端 和 服务 器 的鉴 别 、数 据 完 整 性 及 -
信【 ; 学 息 科}
姜 岚 王宏 滨 江——
息
P I K/A技术在 电子 政 务 中的应 用 C
( 黑龙 江 省政 务 信 息化 管理 服 务 中心 , 黑龙 江 哈 尔滨 10 0 ) 5 0 1
摘 要: 基于 密码学 P I A技 术是 电子政 务 系统 中重要 的组成部分 ,K 技 术是信息技 术的核心 , K/ C PI 密码 算法是信 息系统安全 的之源。现主要探
讨 加 密算 法 及 基 于 P I 电子 政 务 安 全 系统 。 K的 关 键 词 : 码 技 术 : 钥 体 制 ;KI A; 密 算 法 密 公 P / 加 C 我 们 通 常 采 用 P I ( u l e nrsrc K P bi K y It t — c a u 稼 言 岱 丹 tr,公钥基础设施 )技术解决 Itre 安全问 ue ne' t n 题。 即采用证书管理公钥 , 通过第三方的可信任 机构 C C rf ae A toi , 证 中心 )把用 A( et ct uhr y任 i i t , 图 2 双钥 保 证 和认 证 体 制 户的公钥和用户 的其 他标 识信息 ( 如名称 、— E Ma 、 份 证 号 等 ) 绑 在 一 起 , Itre 上 验 i身 l 捆 在 nent 2P I K 是一种遵循既定标 准的密钥管理平 证 用 户 的 身份 。采 用 建 立在 P I 础 之 上 的 数 台 ,K 是 利用公钥 理论 和技术建 立 的提供安 K基 PI 字证书 ,通过对要传输 的数据信息进 行加密和 全 服务 的基础设施 ,K 技 术是 信息安 全技术 PI 签名 , 保证信 息传输 的机 密性 、 实性 、 整性 的核 心 真 完 和不可否认性 , 而保证 信息的安全传 输。 从 P I 基础技术包括加 密 、 字签名 、 据 K的 数 数 完整性机制 、 数字信封 、 双重数字签名等 。 1 K 的 理 论 基 础 是 基 于 密 码 学 P I 密 码 学 包 括 密码 编 码 学 和 密码 分 析 学 。密 公钥 基础设施 体系 ( K ) P I主要 由密钥管理 码 体 制 的 设计 是 密码 编码 学 的 主要 内 容 ,密 码 中 心 ( KMC) 认 证 中 心 ( A) 注 册 审 核 机 构 、 C 、 体 制 的 破 译 是 密 码分 析 学 的 主要 内 容 。 密 码 编 ( RA) 、证 i/RL发 布系统和应用 接 口 5部分 iC KI 码技术和密码 分析技术 是相 互依存 、 相互支持 、 组成 。应用接 口系统为外界提供使用 P 安全 密不可分的两个 方面。密码体 制有 对称密钥密 服 务的人 口,一 般采用 AP 、 vB a 、 O IJ a en C M等 a 码 技 术 和 非 对 称 密 钥 密码 技 术 。 P 技 术 主 要 多种 形 式 。 KI 是 基 于 非 对 称 密 钥 密码 技 术 ,同 时 也 交 叉 使 用 C 是 P I 全 体 系 的核 心 。 A K安 对 称 密 钥 密码 技 术 。 码 技 术 是 集 数 学 、 算 机 密 计 C 安全体 系主要包括 : 全策 略 、 品技 A 安 产 科 学 、电 子 与 通 信 等 诸 多科 学 于一 身 的 交 叉 学 术 安 全 、 主机 安 全 、 作 安 全 、 员 操 作 管 理 安 操 人 网络 安全 和 物理 环 境 安 全 等 。C A作 为一 个 科。 它具有信息加密 、 数字签名 、 身份验证 、 密钥 全 、 分存 、 系统安全等功能。 使用密码技术可 以保证 安 全认证 中心 ,密钥安全 管理 足 C A系统安全 信息的机密性 、 整性和止确性。 完 的核心部分 。 A密钥产生方法必须采用 硬件加 C 采用密码方法可以隐蔽和保护需要保密的 密 模 块 ( 于 国 家 安 全 保 密 产 品 ) 硬 件 加 密 模 属 , 具有密钥存贮 、 备份和恢 消息 , 使未授权者不能提取信息。 被隐蔽的消息 块必须是私钥不 出机 , 称 做 明 文 ( 息 )Panet。 码 可 将 明 文 变 换 复 功 能 。加 密算 法 必 须 采 用 国家 标 准 。 消 ( litx)密 3P I A系 统 是 电子 政 务 安 全 基 础设 施 K/ C 成 另 一 种 隐 蔽 的形 式 , 为 密 文 ( ih r x) 称 Cp et t或 e 密 报 ( rporm) 这 种 变 换 过 程 称 做 加 密 Cy tga 。 3 采用电子政 务专用 密码算法 和设备构 . 1 K/ C ( nrpi )其 逆 过 程 , 密 文 恢 复 出 原 明 文 成 的 安 全 加 密 基 础 平 台 ,政 府 P I A 系 统 是 E cyt n , o 即 电 子 政 务 安 全 系统 的基 础 。利 用 密 码 技 术 构 建 的过程称为解密( erpi ) D cy t n 。 o 密码 体制 可分为 两大 类 : 钥 体制 ( e 三层防护体 系 , 单 On — 实现 主机 安全 、 网络 安全 、 数据 安全、 应用安 全 , 网络安全得到保障 。C P和 使 S k yS s m) 双 钥 体 制 ( w — e yt 。 e yt 和 e T o ky S s m) e KI 泛 11 . 单钥体制 :加密密钥和解密密钥相 同。 P C #是 目前 P 系 统 中 应 用 最 , 的 两 种 KS 基于硬件加密设 备的接 E标准 , l 如图 3所示 。 如 图 1 。
浅谈PKI/CA认证与信息化的电子商务
篡改和删除。
证数字证书持有者身份 的一种体 系。即在网上身份认证过程 中, 各个用
户通过公钥来传递数据 , 并使用掌握在 自己手中的私钥来 对信息 和数据
予 以解 密 , 而 解 决 C 认证 问题 。 从 A
任何想发放 自己公钥 的用户 , 以去认证 中心 申请 自己的证 书。认 可 证 中心是公钥基础设施的核心 , 了大家信任 的认证 中心 , 有 用户才能 放
心 方 便 的使 用 公 钥 技 术 带来 的安 全 服 务 。 概 括 起 来 , 行 电子 交 易 的互 联 网用 户 所 面 临 的 安 全 问 题 有 :1保 进 、 密 性 。2 完 整 性 。3、 认 证 与 授 权 。4、 、 身份 抗抵 赖 。
利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系 , 它 从 技术上解决 了网上身份认证 、 信息 完整性 和抗 抵赖等安全 问题, 为网
络 应 用提 供 可 靠 的 安 全 保 障 。 而 C C rf ai uh ry 认 证 中 心 ) A( eict nA to t, ti o i
电子商务 P I A 认证 K/ C
论述 了 P IC K/ A认 证技 术在信 息化 中的应 用。
【 关键词 】 息化 信
中图分类号 :P 1 文献标识码 : 文章 编号:0 9— 0 7 2 1 0 0 7 0 T 31 B 10 4 6 (0 0)4— 0 3— 1 随着互联 网应 用的不断 深入 和信息化 电子 商务 日益迫切 的需 要 ,
浅谈 P IC K/ A认证与信 息化 的电子商务
郭 红 中国航 空工业集团公 司金城 南京机 电液压工程研 究中心 2 10 1 10
电子商务中的安全基础设施PKI技术
二 P I K 技术的信任服务
公钥基础设施P I 以公开密钥技术为基础 以数据的机密性、 K是 完整性和不可抵赖性为安全 目的而构建的认证. 授权. 加密等硬件
软件的综合设施 K技术体系能够提供智能化的信任与有效授权服 书库支持分布式存放 .即可 以采用数据库镜像技术 .将 C PI A签发 的 以提高证 务。 中. 其 信任服务主要是解决身份识别的问题 , K 是在网络上建 证书中与本组织有关的证书和证书撤消列表存放到本地 . PI 立信任体系最行之有效的技术。 授权服务主要是解决在网络中个体 书的查询效率 减少向总 目录查询的瓶颈。 的权限问题 。在虚拟的网络中要想把现实模拟上去 必须建立这样
[ 要】本文探 讨 了公钥 基础设施 P I 术体 系的信任服 务, 个 密钥。在大规模 的网络 中,密钥恢复也是密钥管理的一个重要方 摘 K技 PI 提供可信的、 可管理的密钥 标 准和体 系结构 以及 P I K的应用前号。 K技 术体 系广泛 用于 c 认 面 。 K 能够通过 良好 的密钥恢复能力 . PI A
方 证 明 .通 信 双 方可 以安 全 地进 行 互 相认 证 。 2 支持 密 钥管 理
安垒基础设施 PKl 技术
证 、数 字 签名 和 密钥 交换 等领 域 ,它是 电子 商 务赖 以开 展 的安 全
通过加密证书 , 通信双方可 以协商一个 密钥,而这个密钥可以
作 为通信加密的密钥。在需要通信时 . 以在认证的基础上协商一 可
C A是 P I K 的核 心 执行 机 构 ,是 P I 主要 组成 部分 .业 界人 士 K的
通 常称它为认证 中心 。从广义上讲 . 认证中心还应该包括证书申请
是一种普遍适用的网络安全基础设施。授权管理基础设施、可信时 注册机构R (eirt nA t ry . A R g t i u oi ) 它是数字证书的申请注册 、 sao h t 证 间戳服务系统 、安全保密管理系统 .统~的安全 电子政务平 台等的 书签 发 和管 理 机 构 。 构筑都离不开P I K 技术的支持 数字证书认证中心 C A.审核注册中
pki网络安全认证技术与编程实现
pki网络安全认证技术与编程实现PKI(Public Key Infrastructure,公钥基础设施)是一种网络安全认证技术,用于确保信息传输的机密性、完整性和可信性。
它基于非对称加密算法,使用公钥和私钥配对来实现安全通信。
在PKI中,存在一个受信任的实体,被称为证书颁发机构(Certificate Authority,CA),负责颁发和管理数字证书。
PKI的编程实现通常涉及以下步骤:1. 生成密钥对:使用加密算法(如RSA、DSA或ECC)生成公钥和私钥。
公钥用于加密数据,私钥用于解密数据和签名。
2. 创建证书请求:将公钥和其他身份信息(如组织名称、所属部门等)打包成证书请求。
证书请求需要发送给CA进行认证。
3. 证书颁发:CA收到证书请求后,验证请求者的身份信息,并生成数字证书。
数字证书包含公钥、颁发者信息、颁发时间等。
CA使用自己的私钥对数字证书进行签名,以确保证书的真实性。
4. 证书验证:在通信过程中,接收方需要验证发送方的数字证书是否有效。
验证包括检查证书的签名是否可信、证书是否过期、是否存在吊销信息等。
5. 加密和解密:发送方使用接收方的公钥对数据进行加密,接收方使用自己的私钥进行解密。
这样可以确保数据在传输过程中不被篡改。
6. 数字签名:发送方使用自己的私钥对消息进行签名,接收方使用发送方的公钥进行验证。
这样可以确保消息的完整性和来源可信。
编程实现PKI需要使用相应的加密算法库(如OpenSSL或Bouncy Castle)来生成密钥对、加密解密数据和进行数字签名验证。
另外,还需要实现证书请求的生成和发送,以及证书的解析和验证过程。
总结而言,PKI网络安全认证技术是一种基于非对称加密算法的通信安全机制,编程实现需涉及密钥对生成、证书请求的创建和发送、数字证书的颁发和验证,以及加密解密和数字签名验证等功能。
基于PKI体系的CA系统的研究与实现
基于PKI体系的CA系统的研究与实现随着互联网的快速发展,网络安全问题日益突出,传统的身份验证方式已不能满足现代的需求。
为了解决这一问题,基于公钥基础设施(Public Key Infrastructure,PKI)的证书颁发机构(Certificate Authority,CA)系统应运而生。
本文将探讨PKI体系下CA系统的研究与实现。
首先,我们需要了解PKI体系的基本原理。
PKI体系是一种以密钥为基础的安全体系,其核心概念是公钥和私钥。
公钥用于加密和验证信息,私钥则用于解密和签名。
在PKI体系中,CA 充当着信任的第三方,负责颁发和管理数字证书,以验证用户身份和保证信息的安全性。
CA系统的研究与实现主要分为以下几个方面。
首先是证书申请与验证的流程设计。
用户在申请数字证书时,需要填写个人信息并提供相关证明材料,CA系统通过验证这些信息的真实性来确保用户身份的可信度。
其次是证书颁发与管理的机制设计。
CA系统需要建立一套高效的证书颁发与管理机制,包括证书的生成、签发、撤销和更新等,以确保证书的有效性和及时性。
同时,还需要考虑证书的存储和备份,以应对可能的系统故障和数据丢失。
最后是证书的验证与撤销的实现方法。
CA系统需要提供验证证书的接口和机制,确保用户能够及时准确地验证证书的有效性。
同时,也需要提供证书的撤销机制,及时撤销已被篡改或失效的证书。
在实现CA系统时,还需要考虑到安全性和性能的平衡。
安全性是CA系统的核心要求,需要采用安全的通信协议和加密算法,保护用户的私钥和敏感信息。
同时,还需要建立健全的访问控制机制,确保只有授权的用户才能访问和使用CA系统。
而性能则是保证CA系统高效运行的关键,需要考虑到系统的并发性和扩展性,以满足大量用户的需求。
综上所述,基于PKI体系的CA系统的研究与实现是保障网络安全的重要一环。
通过合理设计CA系统的流程和机制,确保证书的有效性和安全性,可以有效防止身份伪造和信息泄露等安全问题的发生。
基于PKI/CA的中间件系统的设计与实现
1概述
公钥 基础 没施(ul e If sut eP I PbiK y n a r u ,K) c r tc r 技术就足利
用公钥理 论和技术建立 的提供信息 安全服 务的基础 设施 。公
废除的证书序列号和证书废 除时间/ 签名算法/ 签名值 。
为了提高身份认证 的效率 ,本系统采用 了一种全新的分
De i n a d I lm e t to f sg n mp e n a i n o PKICA- a e i d e r y tm / b s d M d lwa eS se
XI AO a we, Ti n i ZHANG h y n , S i o g ZHONG p n Yi i g
布式认证服务技 术。
钥基础设施涉及 2 个主要算法:数字签名,数字信封。数字
签名算法包括签名过程和识 别过程 两部分 。签名过程是签名 者使用 自己的私钥对 消息 的摘 要进行加密 的过程 ,被加密 的 摘要就是签名。镁名和原 消息一起组成签 名消息 ,然后签过 名的消息被传送到接 收者那里。接 收者把签 名消息分离成 消 息和加过密的摘 要两部分 ,然后通 过消息产生消息摘要 ,另
[ e o d ]D gt rf a ; u l y n at c r (K )C r f a t ryC )Tm s mp D s i t gatet a o ri ;2 E K y r s i a c t ct P bik f s ut e P 1 e i t a h i (A ; i et ; ir u n h n ct n e c JE w ile i e i ce ir r u ; ti e u o t c a tb i u i i sv e
关于PKI,CA
关于PKI,CAPKI(Public Key Infrastructure )即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
PKI的基本组成:完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
一个典型、完整、有效的PKI应用系统至少应具有以下部分:· 公钥密码证书管理。
· 黑名单的发布和管理。
· 密钥的备份和恢复。
· 自动更新密钥。
· 自动管理历史密钥。
· 支持交叉认证。
认证机构(CA):即数字证书的申请及签发机关,CA 必须具备权威性的特征;数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。
为避免这种情况,PKI提供备份与恢复密钥的机制。
但须注意,密钥的备份与恢复必须由可信的机构来完成。
并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
基于PKI的CA认证研究
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
浅议PKI/CA技术在网络银行安全保障方面的应用
护一个可信的网络计算环境 , 从而使得人们在这个
无 法 直接 相 互 面对 的环境 里 , 够 确认 彼 此 的身 份 能 和所 交 换 的信 息 , 够安 全 地 开展 网络 银 行 等 电子 能
在 P I 系 中 ,A( e ict A to t, 证 K 体 C C rfae uhry认 ti i 中心 )和 数字 证 书 是密 不可 分 的两个 部 分 。C A是 PI K 安全 体 系 的核 心环 节 , 因此 又 称作 P I A。 A K/ C C 主要 负责 生 成 、 配并 管 理所 有 参 与 网上交 易 的个 分
李 晖
( 湖南大学 金融学 院 , 湖南 长沙 4 0 7 ) 10 9
摘 要 : 章 首 先 简要 介 绍 了 网络 银 行 和 P Ic 的概 念 , 后 介 绍 了 P I A、 字证 书等 安 全 技 术 及 P I 术 文 K 、A 然 K/ 数 C K技
在 网络 银 行 安 全 保 障 方 面 的 实 际应 用 。 关键 词 : 网络 银 行 ;K ; A; 字证 书 ; 全保 障 P IC 数 安
过 网络 为客 户提 供 各 种 金融 服 务 的虚 拟 电子 银 行 。 数 字 签名 等 密码 服 务所 必 需 的密 钥 和证 书 管理 , 从
真实 、 完整和不 它借助于互联 网技术 向客 户提供金融信 息服务 和 而达到保证 网上传 递信息 的安全 、Байду номын сангаас利 K技 交易 服 务 ,是 金融 创 新 与科 技 创 新相 结合 的产 物 , 可 抵 赖 的 目的 。 用 P I 术 可 以方便 地 建立 和 维
基于PKI的电子商务安全研究
基于PKI的电子商务安全研究李永先辽宁师范大学信息管理系大连116029摘要:在开放的Internet环境下安全、完整、有效地传输数据是电子商务发展的关键。
本文介绍了PKI在电子商务中保证数据传输的机密性、进行身份验证和建立信任关系等方面的应用,并进一步分析了PKI的安全性及其在应用中所存在的一些问题。
关键词:PKI,电子商务安全,公共密钥,身份验证Research and Evaluation of the e-Commerce Security BasedPKILi Y ongxianInformation Management Department, Liaoning Normal University,Dalian 116029 Abstracts: How to transmit data through the opening Internet safely, integrallty and effectively is the key of e-commerce development. In this paper, the application of PKI in providing confidentiality of the data transmission, authenticating the users and providing trust in e-commerce is introduced. The security of PKI and the problems in its application are further analyzed.Keywords: PKI, e-Commerce Security, Public Key, Authentication1引言随着电子商务的发展,如何保证在开放的Internet网络环境下安全、完整、有效地传输敏感数据,让高度机密的数据只能到达明确的有权知道该数据的个体手中,不被非法用户截取、破译和修改,是制约电子商务发展的关键问题。
浅谈PKI技术与电子商务安全
浅谈PKI技术与电子商务安全[摘要] 随着Internet和电子商务的迅速发展,电子商务安全问题也变得越来越重要,如何保障电子交易的真实性、完整性、机密性和不可否认性,已成为电子商务安全的研究热点问题, PKI技术作为安全的基础设施,是电子商务安全的关键和基础技术。
本文对电子商务安全以及PKI安全体系进行了探讨,说明了PKI在电子商务安全中的重要作用。
[关键词] 电子商务安全 PKI 公钥一、引言随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。
网络的开放性,互连性,共享性程度的扩大,特别是Internet的出现,使网络的重要性和对社会的影响也越来越大。
随着网络上电子商务,电子现金,数字货币,网络移动通信等新业务的兴起,信息安全问题变得越来越重要。
在各种网络信息技术的应用中,保障用户的合法访问、保证数据在传输过程中的保密性,以及确认发送者的合法身份是最基本的安全要求。
越来越多的组织利用公钥基础设施(PKI)技术为用户提供信息安全服务。
在我国,基于PKI技术的安全方案也从金融、电信等少数行业扩展到更多领域,出现在电子政务、电子商务等各类信息化应用中。
二、电子商务安全电子商务是指各种具有商业活动能力的主体(如企业、个人、政府、银行等)利用网络和先进的数字化传媒技术开展的各项商业贸易活动。
电子商务作为一种全新的商务运作模式,在不断发展的同时,也带来种种安全问题。
电子商务安全分为两大部分:计算机网络安全和商务交易安全。
计算机网络安全的内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施强大的网络安全监控方案,以保证计算机网络自身的安全性。
常用的网络安全技术有防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。
商务交易安全则紧紧围绕传统商务在互联网上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。
联想安全电子订单系统应用(1)
希望通过电子化管理手段,实现无纸化订单处理 – 通过建设电子订单系统将联想和各分销商有机联系在一起 – 各分销商通过互联网,访问电子订单系统向联想下产品分销订单, 并以收到联想的确认回执为准 – 联想根据电子订单组织生产并进行产品配货
联想各大区证书,安装在服 务器上
数据库
分销商使用USB key 中的证书进行登录 服务器验证分销商证书,完成身份认证和访问控制,建立SSL安全通道 分销商提交电子订单,使用USB Key上保存的证书(私钥)对电子订单进行签名,将电子订单表
单及其签名一起提交给服务器 服务器完成电子订单签名的验证,将订单及其签名保存到数据库中 电子订单系统完成后续业务处理后,产生确认回执,使用联想相应大区的证书,对确认回执进行
及信息传输的机密性、完整性和抗抵赖性,保障应用、通信或事 务处理的安全。
采用PKI/CA技术可以有效的解决联想电子订单的信息安 全问题
8
第三方认证是最佳的方案
PKI本身的信任原理是基于第三方信任 法律效力方面的问题:
– 联想本身需要参与电子订单过程; – 《电子签名法》保证第三方认证具有法律效力;
19
每 一 次 的 加 油,每 一次的 努力都 是为了 下一次 更好的 自己。 20.12.1020.12.10Thursday, December 10, 2020
天 生 我 材 必 有用, 千金散 尽还复 来。14:22:3214:22:3214:2212/10/2020 2:22:32 PM
1.天威诚信为联想和联想分销商发放数 字证书
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文章编号:1009-3842(2003)03-0086-04基于PKI/CA的电子商务安全技术东南大学王志华张金望摘要电子商务最基本的要求就是安全,而交易安全也成为制约其发展的关键。
本文从电子商务系统对安全性的需求出发,探讨了电子商务安全技术体系结构,着重介绍了基于P KI/CA体系的电子商务安全技术。
关键词电子商务安全PK I CA中图分类号:TP393.08文献标识码:C引言随着计算机技术和通信技术的发展以及Inter-net网络的普及和成熟,电子商务正以不可逆转之势席卷全球的各行各业。
在当今的电子商务中,Inter-net是重要平台,由于Internet的全球性、开放性、无缝连通性、共享性、动态性发展,使得任何人都可以自由地接入Internet,特别是/黑客0们可能会采用各种攻击手段进行破坏等犯罪活动,因此,以Inter-net为基础的电子商务所带来的安全问题远比传统商务的安全问题复杂得多。
在这种形势下,与信息安全和身份认证等有关的加密技术就成为解决安全电子商务的关键问题,必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。
随着CA(Certificate Authority,证书授权)中心的出现,使得开放网络的安全问题得以迎刃而解。
CA认证建立了一套严密的身份认证系统,它提供的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案,可以确保电子商务的安全性。
1PKI系统1.1什么是PKI系统PKI(Public Key Infrastructure)即/公开密钥体系0,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。
PKI的密码体制所采用的加密算法称为非对称加密算法。
非对称加密算法需要两个密钥:公开密钥(public key)和私有密钥(private key)。
公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。
甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。
1.2PKI系统的体系结构完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
(1)认证机构(CA):即数字证书的申请及签发机关,可以说是PKI体系的中枢,CA必须具备权威性的特征。
在多数情况下,CA是与一套用户注册管理系统(Registration Authority,RA)配套使用的。
X收稿日期:2003-04-06作者简介:王志华(1979)),男,江苏盐城人,硕士,研究方向电工理论与新技术。
RA注册机构是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。
用户通过向RA注册登录,提供自己的个人信息资料,获得RA 认可后由RA生成此用户的标识符,提供给CA生成唯一标识此用户的数字证书;(2)数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;(3)密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。
为避免这种情况,PKI提供备份与恢复密钥的机制。
但须注意,密钥的备份与恢复必须由可信的构来完成。
并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份;(4)证书作废系统:证书作废处理系统是PKI 的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
为实现这一点, PKI必须提供作废证书的一系列机制;(5)应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI 交互,确保安全网络环境的完整性和易用性。
通常来说,CA是证书的签发机构,它是PKI的核心。
PKI基础设施采用证书管理公钥,通过第三方的可信任机构)))CA中心,把用户的公钥和用户的其它标识信息捆绑在一起,在Internet网上验证用户的身份。
PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
2安全协议PKI仅仅提出了一种解决问题的安全框架模式,实际应用中,针对不同的网络应用,许多集成商提出了不同的商业实现标准,其中比较有名的就是由Visa、MasterCard和IBM等联合推出的安全电子交易协议(SET)和由Netscape、Verisign等推出的安全套接层协议(SSL)。
2.1SET安全协议由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Inter-net上的以银行卡为基础进行在线交易的安全标准,这就是/安全电子交易0(Secure Electronic Transac-tion,简称SET)。
它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。
由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
SET的复杂性和认证机制决定了完全采用SET实施的应用系统寥寥无几,其困难不在于技术实施,而在于建立一个为商家、银行、发卡机构和消费者普便认可的证书权威认证机构CA及其认证体系,这是一个敏感的商业问题,牵涉多方利益,很难协调。
SET的另一个弱点,是作为一种卡支付协议,对别的安全协议,如SSL、IP sec/VPN、S/M IME等不兼容,所以,SET协议不但不支持除了卡支付以外的其它支付方式,更不能支持电子商务中另一种增长较快、交易额较大的网上交易方式%%B2B电子商务。
2.2SSL安全协议SSL安全协议最初是由Netscape Communica-tion公司设计开发的,又叫0安全套接层(Secure Sockets Layer)协议0,主要用于提高应用程序之间数据的安全系数。
SSL(Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,SSL 协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有T C/IP应用程序。
目前SSL已经被众多厂家和用户使用,已经成为通信底层协议的实际标准。
与SET的庞大、复杂和完成一次交易漫长的等待时间相比,SSL实施比较简单,效率较高。
同时,它还支持没有/电子钱包0的交易,这是传统SET所不具备的。
目前SSL已成为Internet上应用最多最广的安全协议。
但是由于它不能保证信息的不可抵赖性,对涉及多方认证的卡支付应用并不合适,因此,在复杂的电子商务应用中,往往采取SET和SSL结合的做法,比如在银行与商家间采用SET协议,而在商家与客户间采用SSL。
3 CA 系统3.1 什么是CA 认证所谓CA(Certificate Authority )认证中心,就是经过国家商用密码管理委员会严格审批的发放和管理数字安全证书的专门机构。
它是采用PK I(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。
对于任何一个国家来说,要实现B2B 、B2C 交易方式,建设CA(认证中心,或称认证体系)和支付网关是必不可少的。
其中CA 尤其重要,其作用主要体现在事先验证或识别参与网上交易活动的各个主体(如持卡消费者、商家、收单银行的支付网关等)的身份,并用相应的电子(数字)证书代表他们在网上的身份,而这些电子证书就是由权威认证机构(即CA)来颁发的。
CA 中心在整个电子商务环境中处于至关重要的位置,它是整个信任链的起点。
CA 中心是开展电子商务的基础,如果CA 中心不安全或发放的证书不具权威性,那么网上电子交易就根本无从谈起。
3.2 CA 功能和组成部分目前CA 认证系统主要由以下三部分组成:在客户端面向证书用户的数字证书申请、查询和下载系统;在RA 端由RA 管理员对证书申请进行审批的证书授权系统;在CA 控制台,签发用户证书的证书签发系统。
概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA 的核心功能就是发放和管理数字证书。
3.3 CA 分级系统一般说来,CA 分为以下几种类型:(1)根CA(RootCA),属国家级认证中心,它制定政策并对下级CA 授权,并提供数字信封等服务。
此次央行组织,国内12家商业银行将联合建设的认证中心就是我国金融领域的根CA 。
(2)品牌CA (BrandCA),是经根CA 授权并核发凭证的机构,它提供私钥和公钥系统(中国银行目前的CA 从理论上其实就属于此类),并允许使用不同品牌的支付工具,如各商业银行发行的各种信用卡等。
(3)区域CA(Region CA),直接隶属于品牌CA,到这一层面才开始真正对客户的请求进行运作。
CA 的分级系统如图1所示:这里要注意一个问题,因为CA 是分级的,CA 自己的证书是它上级的CA 颁发的,证书申请实体要验证CA 的合法性,就必须要更高一级CA 的证书,所以这样层层上推,一直到RootCA,RootCA 是自签名的。
这样就形成了一个CA 信任链,最后CA 颁发给证书申请实体的不仅是那单张证书,还要加上这个CA 信任链。
图中客户端1的CA 信任链包括RootCA 、CA1和CA3的证书,客户端2的CA 信任链包括RootCA 和CA2的证书。
图1 CA 分级系统图3.4 CA 认证在电子商务中的应用由于CA 认证给电子商务带来了高度的安全性,因此成为电子商务中不可或缺的组成部分。
综合来说,CA 认证在电子商务中有如下几个方面的应用:(1)安全登录。
安全登录方式是指基于数字证书的用户身份自动识别方式,这种方式采用新型的用户登录及身份确认技术,解决密码登录方式烦琐、不安全的弊端。