一、安全认证中心（ＣＡ）、数字证书简介

　　数字证书是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式，是由一个由权威机构-----CA机构，又称为证书授权(Certificate Authority)中心发行的。数字证书是一个经证书授权中心数字签名的包含客户的公钥等与客户身份相关的信息，如：客户唯一可识别名等等。同时ＣＡ也可以提供时间戳、密钥管理及证书作废表（ＣＲＬ）等服务。作为安全网络的公证机构，为了维护网络用户间的安全通信，ＣＡ必须行使以下职能：

1、管理和维护客户的证书和ＣＲＬ
2、维护自身的安全
3、提供安全审计的依据

　　在基于证书的安全通信中，证书是证明用户合法身份和提供用户合法公钥的凭证，是建立保密通信的基础。因此，作为网络可信机构的证书管理设施，ＣＡ的主要职能就是管理和维护它所签发的证书，提供各种证书服务，包括：证书的签发、更新、回收、归档等等。在各类证书服务中，除了证书的签发过程需要人为参与控制外，其他服务都可以利用通信信道通过用户与ＣＡ交换证书服务消息进行。ＣＡ系统的主要功能是管理其辖域内的用户证书，因此，ＣＡ系统功能及ＣＡ证书的应用紧紧围绕证书的管理而展开。

　　一个标准的X.509数字证书包含以下一些内容：
1、 证书的版本信息；
2、证书的序列号，每个证书都有一个唯一的证书序列号；
3、证书所使用的签名算法；
4、证书的发行机构名称，命名规则一般采用X.500格式；
5、证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；
6、证书所有人的名称，命名规则一般采用X.500格式；
7、证书所有人的公开密钥；
8、 证书发行者对证书的签名。

二、数字证书的用途

　　数字证书可以应用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务海关、出入境检验检疫、政府行政办公、教育科研单位、保险、医疗等网上作业系统。

　　由于Internet电子商务系统技术使在网上交易各方能够极其方便轻松地获得政府、机构、商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。交易各方在网上的一切行为都必须是真实可靠的，并且要使顾客、商家、企业和机构等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须依靠数字证书保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

　　数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。

返回