您所在的位置:首页 > 客户服务 > 白皮书 > 正文

EKEY在数字认证技术中的应用

更新时间:2014-04-11 09:59:08点击次数:145字号:T|T

EKEY与数字认证技术的结合点——证书和密钥的存储介质。

一、为什么要有数字认证
无论商家、银行还是个人,人们都想知道在网上与之通信的人是谁(即所谓的身份认证),担心信息在传输过程中被篡改(即信息的完整性),还担心信息在传送途中被外人看到(即隐私性)。

在互联网上,您将信息从一台计算机发送到另一台计算机,在信息到达目的地之前,要经过许多您事先无法预料到的中间计算机转发。在正常情况下,那些"中间计算机"的用户是不会去窥视您的信息的。请注意,这里强调的是在"正常"情况下,但一些非正常情况常常不可避免。例如,总有人想窃取别人的私人信息,如信用卡号,甚至还将您的信息修改后继续转发。由于因特网和企业内部网的构架在安全上的缺憾,一些心怀不轨的人总能找到一些办法,侵入正在传输途中的信息,进入并置换这些信息。所以在网上发送信息时,不得不考虑安全问题。

安全方面的一个主要问题就是身份的伪装,即一些人伪装成信息的发送者或接受者。如果在通讯之前,强制验证对方的身份,那么别人伪装的机会就大为减少。在互联网和企业内部网上,可以用数字证书确认通讯者的身份。这样,证书就好比一个数字化的身份证或护照。

在传统密码体制(又称"对称密钥密码体制")中,用于加密的密钥和用于解密的密钥完全相同。这种体制所使用的加密算法比较简单,而且高效快速、密钥简短、破译困难,但是存在着密钥传送和保管的问题。

二、证书里面有什么
在和CA进行一些接触时,我们常常会听到一个名词: X.509。它是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息"指纹")。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息"指纹"进行比较,以确定其真实性。

此问题的解决方案即X.509标准与公共密钥证书。本质上,证书由公共密钥加密钥拥有者的用户标识组成,整个字块有可信赖的第三方签名。典型的第三方即大型用户群体(如政府机关或金融机构)所信赖的CA。

此外,X.509标准还提供了一种标准格式CRL,下面我们就来看一看 X.509标准下的证书格式极其扩展。

目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,但是都在原有版本(X.509 V1)的基础上进行功能的扩充,其中每一版本必须包含下列信息:

  (1) 版本号
  (2) 序列号;
  (3) 签名算法标识符
  (4) 认证机构
  (5) 有效期限
  (6) 主题信息
  (7) 认证机构的数字签名
  (8) 公钥信息
1、版本号:
用来区分X.509的不同版本号
2、序列号;
由CA给予每一个证书的分配唯一的数字型编号,当证书被取消时,实际上是将此证书的序列号放入由CA签发的CRL中;这也是序列号唯一的原因。
3、签名算法标识符:
用来指定用CA签发证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法,须向国际指明标准组织(如ISO)注册。
4、认证机构:
即发出该证书的机构唯一的CA的x.500名字;
5、有效期限:
证书有效的时间包括两个日期:证书开始生效期和证书失效的日期和时间。在所指定的这两个时间之间有效;现在通用的证书一般采用UTC时间格式,它的计时范围为1950-2049;
6、主题信息:
证书持有人的姓名、服务处所等信息;
7、认证机构的数字签名:
以确保这个证书在发放之后没有被撰改过;
8、公钥信息:
包括被证明有效的公钥值和加上使用这个公钥的方法名称;

三、电子证书的优点
具有安全和认证功能,消除了传统的口令机制中内在的安全脆弱性
降低维护和支持成本
数字证书正在成为Internet的客户识

四、证书的来源——CA
CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。CA机构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。

为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。

CA为电子商务服务的证书中心,是PKI(Public Key Infrastructure)体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其他属性关联起来,为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。认证中心在密码管理方面的作用如下:

1.自身密钥的产生、存储、备份/恢复、归档和销毁
2.为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务
3.确定客户密钥生存周期,实施密钥吊销和更新管理
4.提供密钥生成和分发服务
5.提供密钥托管和密钥恢复服务
6.其他密钥生成和管理、密码运算功能

四、国内几家有影响力的CA
目前国内角逐数字认证市场的几大势力,基本上可按地区类和行业类来划分,前者是由各地方政府支持成立的数字认证中心联合体,目前已成气候的有上海、北京、天津等协作成立的"中国协卡认证体系"以及广东、海南、湖北等省联手的"网证通"CA 联盟;后者由特定行业机构纵向组织而成,典型代表是中国金融认证中心(CFCA)。

"中国协卡认证体系(SHECA)"由上海CA中心发起成立,目前包括上海、北京、天津三地CA中心。上海CA中心1998年经国家密码委员会批准,成为全国第一个CA中心试点单位;于1998年12月31日在市政府揭牌成立,由上海市信息投资股份有限公司、上海邮电、上海市银行卡网络服务中心联合出资组建,经上海市政府批准,从事数字证书制作、颁发和管理业务。上海市CA中心目前已经颁发系列完整的数字证书,包括与信用卡绑定的SET证书,以及不与业务挂钩的通用证书,发证对象包括个人、企事业单位、网站服务器、软件代码等。

"网证通"CA联盟囊括湖北、广东、海南、广西等省市,并在"网证通"这个统一的技术体制和品牌下共筑全国CA体系。广东省电子商务认证中心是经广东省政府批准成立的广东省惟一一家政府认可的安全认证权威机构,前身是南方电子商务中心;湖北CA中心(简称HBECA)是经湖北省政府批准成立,由湖北省信息中心控股,在广东南方通信集团支持下组建的一家高科技有限责任公司,是代表湖北省政府惟一从事电子商务和电子政务安全证书管理的权威性机构;海南省电子商务认证中心,是经海南省政府批准,由海南省商贸信息服务中心和广东南方通信集团公司南方电子商务中心联合出资组建,从事电子商务数字证书制作、颁发、管理和相关网络加密的权威机构。

中国金融认证中心(CFCA)中国人民银行牵头,中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行等十二家商业银行联合共建而成。

五、证书的申请过程(图示说明)
数字证书是由认证中心颁发的。根证书是认证中心与用户建立信任关系的基础。在用户使用数字证书之前必须首先下载和安装。

认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的伪造,认证中心的公共密钥必须是可靠的,认证中心必须公布其公共密钥或由更高级别的认证中心提供一个电子凭证来证明其公共密钥的有效性,后一种方法导致了多级别认证中心的出现。

数字证书颁发过程如下:用户产生了自己的密钥对,并将公共密钥及部分个人身份信息传送给一家认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内附了用户和他的密钥等信息,同时还附有对认证中心公共密钥加以确认的数字证书。当用户想证明其公开密钥的合法性时,就可以提供这一数字证书。

六、非对称加密技术的两种应用——数字信封和数字签名

七、证书存储方法的比较
数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CPU(EKEY)卡中。

用户数字证书在计算机硬盘中存放时,使用方便,但存放证书的PC机必须受到安全保护,否则一旦被攻击,证书就有可能被盗用。

使用软盘保存证书,被窃取的可能性有所降低,但软盘容易损坏。一旦损坏,证书将无法使用。

IC卡中存放证书是一种较为广泛的使用方式。因为IC卡的成本较低,本身不易被损坏。但使用IC卡加密时,用户的密钥会出卡,造成安全隐患。

使用CPU卡/ EKEY存放证书时,用户的证书等安全信息被加密存放在CPU卡中,无法被盗用。在进行加密的过程中,密钥可以不出卡,安全级别最高,但相对来说,成本较高。

八、EKEY在数字认证中的应用
电子商务(重点介绍)
站点证书
帐号认证

九、数字证书应用前景
据估计,几年后每个人所拥有的数字证书将超过10 个,分别用在商务、娱乐、个人财务管理等多个方面。在电子商务的交易过程中,商品的购买者、购买者的银行、商品的出售者以及出售者的银行都必须至少拥有一个数字证书。根据IDG 的估计,数字认证市场在2001 年将会达到2200亿美元,而这一市场在1996 年就已经达到了26 亿美元。目前在这一市场中参与竞争的主要有VeriSign、Microsoft、Netscape(现已被AOL 收购)和IBM,甚至还有U.S.Postal Service。Microsoft、Netscape 和IBM 主要依靠在软件与系统上的集成优势,能够为用户提供最大的使用便利。特别值得一提的是VeriSign,这是一个目前最强大的第三方CA。它已经与Visa 和MasterCard 签订了合作协议,负责为发放上述信用卡的银行提供用户认证服务。它的客户还包括一些小型的信用卡公司,如Diners Club 和Novus。



合作伙伴 | Major customers & Partners

香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码   香港免费资料最准一码