返回目录:财经要闻
编者按:CA中心是国家认可的权威、可信、公正的第三方机构,专门负责发放并管理所有参与网上业务的实体所需的数字证书。数字证书是网络世界中的身份证。可以在网络世界中为互不见面的用户建立安全可靠的信任关系,这种信任关系的建立则源于PKI/CA认证中心,构建安全的PKI/CA认证中心是至关重要的。CA拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。本文节选汪德嘉博士《身份危机》中的CA证书介绍章节。带大家了解什么是CA证书?CA证书有哪些作用及应用场景、领域?
CA证书概述
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构—CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。
数字证书是一种权威性的电子文档,可以由权威公正的第三方机构,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发。它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。
它是能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心(CA)作为权威的、公正的、可信赖的第三方,其作用是至关重要的。如何判断数字认证中心公正第三方的地位是权威可信的?截至2014年3月11日,国家工业和信息化部以资质合规的方式,陆续向30多家相关机构颁发了从业资质。
由于Internet电子商务系统技术使得顾客在网上购物时能够极其方便地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。为了保证互联网上电子交易及支付的安全性,保密性等,防范交易及支付过程中的欺诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份,并且在网上能够有效无误的被进行验证。
CA证书作用
基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。
1、信息的保密性
交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。
2、交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
3、不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。
4、不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
为建立安全证书体系结构,数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
CA证书优势
(1)权威性:CA证书设备由CA中心颁发,使用其作为身份识别设备具有很高的权威性;
(2)不可伪造:数字证书设备经过国家相关部门审核批准,设备中保存的用户私钥无法被读出,不可被伪造;
(3)不容易被冒用:使用证书需要同时持有数字证书设备和设备启动口令,缺一不可,因此只要保护好证书设备,他人无法冒用用户身份;
(4)不可破解:数字证书设备具有口令保护机制,在连续输入错误一定次数后,设备将被锁定,防止暴力破解;
(5)容易保管:数字证书可采用硬件(Usbkey)以及软件(移动APP)为载体,方便携带保管,不易遗失;
(6)遗失容易发现:万一数字证书设备遗失,能够及时发现,并采取相应措施。
CA证书应用
应用场景
数字证书在广义上可分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
1、个人证书
(1)客户端证书主要被用来进行身份认证和电子签名。
基于硬件身份认证:安全的客户端证书被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种,指纹识别、第三键确认,语音报读,以及带显示屏的专用usbkey和普通usbkey等。
(2)基于软件身份认证:安全的客户端证书被存储于手机磁盘中。存储于手机磁盘中的证书不难被导出和复制,并结合PKI体系实现对信息的保护,利用CA证书的权威性及不可抵赖性,有效防止交易抵赖,基于移动设备的安全身份认证已广泛被市场所认可,如银行、金融、电商平台、物流等。
2、服务器证书
服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。
全球知名的服务器证书品牌有GlobalSign,Verisign,Thawte,Geotrust等。
SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证,绑定网站域名,不同的产品对于不同价值的数据和要求不同的身份认证。最新的高端SSL证书产品是扩展验证(EV)SSL证书。在IE7.0、FireFox3.0、Opera9.5等新一代高安全浏览器下,使用扩展验证VeriSign(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。SSL证书还有企业型SSL证书(OVSSL)及域名型证书(DVSSL)。
3、电子邮件证书
电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输,只有接收方的持有者才可能打开该邮件。
应用领域
CA中心所发放的(CA证书)数字安全证书可以应用于公众网络上的商务活动和行政作业活动,包括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。CA中心还可以与企业代码证中心合作,将企业代码证和企业数字安全证书一体化,为企业网上交易、网上报税、网上报关、网上作业奠定基础,免去企业面对众多的窗口服务的苦累。
(1)网上交易
利用数字安全证书的认证技术,对交易双方进行身份确认以及资质的审核,确保交易者信息的唯一性和不可抵赖性,保护了交易各方的利益,实现安全交易。
(2)网上报税
为了配合税务机关和企业信息化工作,加强网上报税系统的安全性,CA将向税务机关和纳税人提供权威的数字认证服务,利用基于数字安全证书的用户身份认证技术对网上报税系统中的申报数据进行数字签名,确保申报数据的完整性,确认系统用户的真实身份和申报数据的真实来源,防止出现抵赖行为和他人伪造篡改数据;利用基于数字安全证书的安全通讯协议技术,对网络上传输的机密信息进行加密,防止纳税人商业机密或其他敏感信息泄露。
(3)工商管理
建设工商行政管理综合业务处理系统,该工程是以数字安全证书认证技术为核心,以工商行政管理计算机信息网络为基础,面向全国、全省各类型企业的一项信息化工程基础项目。它可以使工商局更加有效的管理企业,并且保证企业能够在更加安全的网络环境中从事经济活动。
(4)网上办公
网上办公系统综合国内政府、企事业单位的办公特点,提供了一个虚拟的办公环境,并在该系统中嵌入数字认证技术,展开网上政文的上传下达,通过网络联结各个岗位的工作人员,通过数字安全证书进行数字加密和数字签名,实行跨部门运作,实现安全便捷的网上办公。
(5)网上招标
以往的招投标受时间、地域、人文的影响,存在着许多弊病,例如外地投标者的不便、招投标各方的资质,以及招标单位和投标单位之间存在的猫腻关系。而实行网上的公开招投标,经贸委利用数字安全证书对企业进行身份确认,招投标企业只有在通过经贸委的身份和资质审核后,才可在网上展开招投标活动,从而确保了招投标企业的安全性和合法性,双方企业通过安全网络通道了解和确认对方的信息,选择符合自己条件的合作伙伴,确保网上的招投标在一种安全、透明、信任、合法、高效的环境下进行。通过该网上招投标系统,使企业能够制定正确的投资取向,根据自身的实际情况,选择合适的合作者。
(6)安全电子邮件
邮件的发送方利用接收方的公开密钥对邮件进行加密,邮件接受方用自己的私有密钥解密,确保了邮件在传输过程中信息的安全性、完整性和唯一性。
CA证书颁发
颁发机构
CA机构,又称为证书授证(CertificateAuthority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。
证书颁发机构的类型
CA的类型包括以下三种:
(1)自签名CA:在自签名CA中,证书中的公钥和用于验证证书的密钥是相同的。其中,一些自签名CA是根CA。
(2)从属CA:在从属CA中,证书中的公钥和用于核实证书的密钥是不同的。一个CA向另一个CA颁发证书的过程叫做交叉认证。
(3)根CA:根CA是一种特殊的CA,它受到客户无条件地信任,位于证书层次结构的最高层。所有证书链均终止于根CA。根颁发机构必须对它自己的证书签名,因为在证书层次结构中再也没有更高的认证机构了。
颁发过程
CA证书颁发过程(见图6-6)一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
CA证书吊销
CA证书具有一个指定的寿命,但CA可通过称为证书吊销的过程来缩短这一寿命。CA发布一个证书吊销列表(CRL),列出被认为不能再使用的证书的序列号。CRL是一个数据库,其中包含了原定到期日期之前已被撤消的证书列表。CRL数据库用于确定请求的客户机证书是否已撤消。CRL指定的寿命通常比证书指定的寿命短得多。CA也可以在CRL中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。可将下列情况指定为吊销证书的理由:泄露密钥、泄露CA、从属关系改变、被取代、业务终止、证书持有(这是唯一让您能够改变被吊销证书状态的理由码,在证书状态有问题的情况下非常有用)。
由CA吊销证书意味着,CA在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后,CRL中的有关条目被删除,以缩短CRL列表的大小。
在验证签名期间,应用程序可以检查CRL,以确定给定证书和密钥对是否仍然可信(有些应用程序使用CryptoAPI中的Microsoft证书链验证API来完成此任务)。如果不可信,应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名,且签名的日期早于CA吊销该证书的日期,那么该签名仍被认为是有效的。
应用程序获得CRL之后,由客户机缓存CRL,在它到期之前客户机将一直使用它。如果CA发布了新的CRL,拥有有效CRL的应用程序并不使用新的CRL,直到应用程序拥有的CRL到期为止。
CA证书的通讯
CA认证系统通信由客户端和服务器端两部分组成。在CA认证系统服务器端添加部分组件,总体基于C/S(client/server,客户/服务器)结构模式。
客户端的实现形式可以是ActiveX或applet控件,或者是专用硬件或软件;服务器端的实现形式可以是服务程序,或者是专用硬件或软件,加上安全套接层协议完善的数据保护机制,共同组建通道以实现安全通信。
CA证书工作原理
数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。
采用数字签名,能够确认以下两点:保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
结束:在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。在当前环境下,为了让用户切实感到CA中心所提供的服务是安全可信的,保证认证中心各项业务正常运行,规避潜在的安全隐患,从而推动电子政务、电子商务等对信任机制要求较高的网上业务的发展,CA中心必须加强信息安全管理以切实获得用户的信任,消除用户残余的安全忧虑。
网络世界中除了CA数字证书可以对网络身份进行验证以外,FIDO协议以及电子签名技术也可以很好地提高身份认证安全性、保护隐私及改善用户体验。那么FIDO协议、电子签名技术是怎么做到身份认证?又如何做到保护用户账户和隐私呢?在下篇中文章将会进行详细解读,敬请期待!