證書的序列號��,每個證書都有一個唯一的證書序列號�����;
證書所使用的簽名算法����;
證書的發(fā)行機構(gòu)名稱,命名規(guī)則一般采用X.500格式�����;
證書的有效期�����,現(xiàn)在通用的證書一般采用UTC時間格式��,它的計時范圍為1950-2049;
證書所有人的名稱�����,命名規(guī)則一般采用X.500格式;
證書所有人的公開密鑰���;
證書發(fā)行者對證書的簽名。
為什么要用數(shù)字證書
基于Internet網(wǎng)的電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲 得商家和企業(yè)的信息���,但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風(fēng)險���。
買方和賣方都必須對于在因特網(wǎng)上進行的一切金融交易運作都是真實可靠的,并且要使 顧客�、商家和企業(yè)等交易各方都具有絕對的信心,因而因特網(wǎng)(Internet)電子商務(wù) 系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)����,也就是說,必須保證網(wǎng)絡(luò)安全的四大要 素��,即信息傳輸?shù)谋C苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認性���、交易者身份 的確定性���。
1、信息的保密性
交易中的商務(wù)信息均有保密的要求。如信用卡的帳號和用戶名被人知悉�����,就可能 被盜用����,訂貨和付款的信息被競爭對手獲悉,就可能喪失商機��。因此在電子商務(wù)的信 息傳播中一般均有加密的要求�����。
2�����、交易者身份的確定性
網(wǎng)上交易的雙方很可能素昧平生�,相隔千里。要使交易成功首先要能確認對方的 身份��,對商家要考慮客戶端不能是騙子���,而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺 詐的黑店����。因此能方便而可靠地確認對方身份是交易的前提。對于為顧客或用戶開展 服務(wù)的銀行��、信用卡公司和銷售商店�,為了做到安全��、保密�����、可靠地開展服務(wù)活動���, 都要進行身份認證的工作���。
對有關(guān)的銷售商店來說,他們對顧客所用的信用卡的號碼 是不知道的���,商店只能把信用卡的確認工作完全交給銀行來完成����。銀行和信用卡公司 可以采用各種保密與識別方法���,確認顧客的身份是否合法����,同時還要防止發(fā)生拒付款 問題以及確認訂貨和訂貨收據(jù)信息等。
3�、不可否認性
由于商情的千變?nèi)f化,交易一旦達成是不能被否認的��。否則必然會損害一方的利 益�。例如訂購黃金,訂貨時金價較低��,但收到訂單后�,金價上漲了,如收單方能否認 受到訂單的實際時間���,甚至否認收到訂單的事實��,則訂貨方就會蒙受損失��。因此電子 交易通信過程的各個環(huán)節(jié)都必須是不可否認的���。
4、不可修改性
交易的文件是不可被修改的�,如上例所舉的訂購黃金���。供貨單位在收到訂單后, 發(fā)現(xiàn)金價大幅上漲了�����,如其能改動文件內(nèi)容��,將訂購數(shù)1噸改為1克�,則可大幅受益����, 那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改���,以 保障交易的嚴肅和公正��。
人們在感嘆電子商務(wù)的巨大潛力的同時����,不得不冷靜地思考��,在人與人互不見面 的計算機互聯(lián)網(wǎng)上進行交易和作業(yè)時���,怎么才能保證交易的公正性和安全性��,保證交 易雙方身份的真實性�����。國際上已經(jīng)有比較成熟的安全解決方案�, 那就是建立安全證書體系結(jié)構(gòu)。數(shù)字安全證書提供了一種在網(wǎng)上驗證身份的方式�。安全證書體制主要采 用了公開密鑰體制,其它還包括對稱密鑰加密��、數(shù)字簽名����、數(shù)字信封等技術(shù)。
我們可以使用數(shù)字證書�,通過運用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴密的身份認證系統(tǒng),從而保證:信息除發(fā)送方和接收方外不被其它人竊?��?��;信息在傳輸過程中不被篡改;發(fā)送方能夠通過數(shù)字證書來確認接收方的身份���;發(fā)送方對于自己的信息不能抵賴����。
數(shù)字證書原理介紹
數(shù)字證書采用公鑰體制,即利用一對互相匹配的密鑰進行加密����、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰(私鑰)����,用它進行解密和簽名;同時設(shè)定一把公共密鑰(公鑰)并由本人公開���,為一組用戶所共享,用于加密和驗證簽名����。當(dāng)發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密�����,而接收方則使用 自己的私鑰解密�����,這樣信息就可以安全無誤地到達目的地了。
通過數(shù)字的手段保證加 密過程是一個不可逆過程�����,即只有用私有密鑰才能解密��。在公開密鑰密碼體制中��,常用的一種是RSA體制�。其數(shù)學(xué)原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積,加密和解密用的是兩個不同的密鑰�����。即使已知明文�、密文和加密密鑰(公開密鑰),想要推導(dǎo)出解密密鑰(私密密鑰)����,在計算上是不可能的。
按現(xiàn)在的計算機技術(shù)水平���,要破解目前采用的1024位RSA密鑰�,需要上千年的計算時間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題��,商戶可以公開其公開密鑰����,而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密����,安全地傳送給商戶,然后由商戶用自己的私有密鑰 進行解密���。
用戶也可以采用自己的私鑰對信息加以處理��,由于密鑰僅為本人所有����,這樣就產(chǎn)生了別人無法生成的文件��,也就形成了數(shù)字簽名����。采用數(shù)字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發(fā)送的�,簽名者不能否認或難以否認;
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改�,簽發(fā)的文件是真實文件。
數(shù)字簽名具體做法是:
(1)將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要����。在數(shù)學(xué)上保證:只要改動報文中任何一位,重新計算出的報文摘要值就會與原先的值不相符����。這樣就保證了報文的不可更改性。
(2)將該報文摘要值用發(fā)送者的私人密鑰加密�����,然后連同原報文一起發(fā)送給接收者�����,而產(chǎn)生的報文即稱數(shù)字簽名��。
(3)接收方收到數(shù)字簽名后��,用同樣的HASH算法對報文計算摘要值����,然后與用發(fā)送者的公開密鑰進行解密解開的報文摘要值相比較�。如相等則說明報文確實來自所稱的發(fā)送者�。
證書與證書授權(quán)中心
CA機構(gòu),又稱為證書授證(Certificate Authority)中心���,作為電子商務(wù)交易中受信任的第三方�,承擔(dān)公鑰體系中公鑰的合法性檢驗的責(zé)任����。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書,數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰��。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書���。它負責(zé)產(chǎn)生�����、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書�����,因此是安全電子交易的核心環(huán)節(jié)�����。
由此可見��,建設(shè)證書授權(quán)(CA)中心�,是山西省開拓和規(guī)范電子商務(wù)市場必不可少的一步����。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實性����、可靠性、完整性和不可抵賴性�,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權(quán)威性����、公正性、唯一性的機構(gòu)����,負責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子 交易協(xié)議標準的電子商務(wù)安全證書�。
數(shù)字證書的應(yīng)用
數(shù)字證書可以應(yīng)用于互聯(lián)網(wǎng)上的電子商務(wù)活動和電子政務(wù)活動��,其應(yīng)用范圍涉及需要身份認證及數(shù)據(jù)安全的各個行業(yè)����,包括傳統(tǒng)的商業(yè)���、制造業(yè)�、流通業(yè)的網(wǎng)上交易�,以及公共事業(yè)、金融服務(wù)業(yè)��、工商稅務(wù)�����、海關(guān)��、政府行政辦公���、教育科研單位�、保險��、醫(yī)療等網(wǎng)上作業(yè)系統(tǒng)�。
