编者按:CA中心是国家认可的权威、可信、公正的第三方机构,专门负责发放并管理所有参与网上业务的实体所需的数字证书。数字证书是网络世界中的身份证。可以在网络世界中为互不见面的用户建立安全可靠的信任关系,这种信任关系的建立则源于PKI/CA认证中心,构建安全的PKI/CA认证中心是至关重要的。CA拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。本文节选汪德嘉博士《身份危机》中的CA证书介绍章节。带大家了解什么是CA证书?CA证书有哪些作用及应用场景、领域?

ca数字证书全国是否通用(CA证书何以成为网络世界中的)(1)

CA证书概述

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构—CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。

  • 应用场景

    • 数字证书在广义上可分为:个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。

    1、个人证书

    (1)客户端证书主要被用来进行身份认证和电子签名。

    基于硬件身份认证:安全的客户端证书被存储于专用的usbkey中。存储于key中的证书不能被导出或复制,且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey,且需要知道key的保护密码,这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种,指纹识别、第三键确认,语音报读,以及带显示屏的专用usbkey和普通usbkey等。

    (2)基于软件身份认证:安全的客户端证书被存储于手机磁盘中。存储于手机磁盘中的证书不难被导出和复制,并结合PKI体系实现对信息的保护,利用CA证书的权威性及不可抵赖性,有效防止交易抵赖,基于移动设备的安全身份认证已广泛被市场所认可,如银行、金融、电商平台、物流等。

    2、服务器证书

    服务器证书被安装于服务器设备上,用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。在服务器上安装服务器证书后,客户端浏览器可以与服务器证书建立SSL连接,在SSL连接上传输的任何数据都会被加密。同时,浏览器会自动验证服务器证书是否有效,验证所访问的站点是否是假冒站点,服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。

    全球知名的服务器证书品牌有GlobalSign,Verisign,Thawte,Geotrust等。

    SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证,绑定网站域名,不同的产品对于不同价值的数据和要求不同的身份认证。最新的高端SSL证书产品是扩展验证(EV)SSL证书。在IE7.0、FireFox3.0、Opera9.5等新一代高安全浏览器下,使用扩展验证VeriSign(EV)SSL证书的网站的浏览器地址栏会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。SSL证书还有企业型SSL证书(OVSSL)及域名型证书(DVSSL)。

    3、电子邮件证书

    电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性,它只证明邮件地址的真实性。收到具有有效电子签名的电子邮件,我们除了能相信邮件确实由指定邮箱发出外,还可以确信该邮件从被发出后没有被篡改过。另外,使用接收的邮件证书,我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输,只有接收方的持有者才可能打开该邮件。

    CA中心所发放的(CA证书)数字安全证书可以应用于公众网络上的商务活动和行政作业活动,包括支付型和非支付型电子商务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要应用于网上购物、企业与企业的电子贸易、安全电子邮件、网上证券交易、网上银行等方面。CA中心还可以与企业代码证中心合作,将企业代码证和企业数字安全证书一体化,为企业网上交易、网上报税、网上报关、网上作业奠定基础,免去企业面对众多的窗口服务的苦累。

    (1)网上交易

    利用数字安全证书的认证技术,对交易双方进行身份确认以及资质的审核,确保交易者信息的唯一性和不可抵赖性,保护了交易各方的利益,实现安全交易。

    (2)网上报税

    为了配合税务机关和企业信息化工作,加强网上报税系统的安全性,CA将向税务机关和纳税人提供权威的数字认证服务,利用基于数字安全证书的用户身份认证技术对网上报税系统中的申报数据进行数字签名,确保申报数据的完整性,确认系统用户的真实身份和申报数据的真实来源,防止出现抵赖行为和他人伪造篡改数据;利用基于数字安全证书的安全通讯协议技术,对网络上传输的机密信息进行加密,防止纳税人商业机密或其他敏感信息泄露。

    (3)工商管理

    建设工商行政管理综合业务处理系统,该工程是以数字安全证书认证技术为核心,以工商行政管理计算机信息网络为基础,面向全国、全省各类型企业的一项信息化工程基础项目。它可以使工商局更加有效的管理企业,并且保证企业能够在更加安全的网络环境中从事经济活动。

    (4)网上办公

    网上办公系统综合国内政府、企事业单位的办公特点,提供了一个虚拟的办公环境,并在该系统中嵌入数字认证技术,展开网上政文的上传下达,通过网络联结各个岗位的工作人员,通过数字安全证书进行数字加密和数字签名,实行跨部门运作,实现安全便捷的网上办公。

    (5)网上招标

    以往的招投标受时间、地域、人文的影响,存在着许多弊病,例如外地投标者的不便、招投标各方的资质,以及招标单位和投标单位之间存在的猫腻关系。而实行网上的公开招投标,经贸委利用数字安全证书对企业进行身份确认,招投标企业只有在通过经贸委的身份和资质审核后,才可在网上展开招投标活动,从而确保了招投标企业的安全性和合法性,双方企业通过安全网络通道了解和确认对方的信息,选择符合自己条件的合作伙伴,确保网上的招投标在一种安全、透明、信任、合法、高效的环境下进行。通过该网上招投标系统,使企业能够制定正确的投资取向,根据自身的实际情况,选择合适的合作者。

    (6)安全电子邮件

    邮件的发送方利用接收方的公开密钥对邮件进行加密,邮件接受方用自己的私有密钥解密,确保了邮件在传输过程中信息的安全性、完整性和唯一性。

    CA证书颁发

    CA机构,又称为证书授证(CertificateAuthority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。由此可见,建设证书授权(CA)中心,是开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的电子商务安全证书。

    CA的类型包括以下三种:

    (1)自签名CA:在自签名CA中,证书中的公钥和用于验证证书的密钥是相同的。其中,一些自签名CA是根CA。

    (2)从属CA:在从属CA中,证书中的公钥和用于核实证书的密钥是不同的。一个CA向另一个CA颁发证书的过程叫做交叉认证。

    (3)根CA:根CA是一种特殊的CA,它受到客户无条件地信任,位于证书层次结构的最高层。所有证书链均终止于根CA。根颁发机构必须对它自己的证书签名,因为在证书层次结构中再也没有更高的认证机构了。

    CA证书颁发过程(见图6-6)一般为:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

    ca数字证书全国是否通用(CA证书何以成为网络世界中的)(2)

    图6-6 CA证书签发过程

    CA证书具有一个指定的寿命,但CA可通过称为证书吊销的过程来缩短这一寿命。CA发布一个证书吊销列表(CRL),列出被认为不能再使用的证书的序列号。CRL是一个数据库,其中包含了原定到期日期之前已被撤消的证书列表。CRL数据库用于确定请求的客户机证书是否已撤消。CRL指定的寿命通常比证书指定的寿命短得多。CA也可以在CRL中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。可将下列情况指定为吊销证书的理由:泄露密钥、泄露CA、从属关系改变、被取代、业务终止、证书持有(这是唯一让您能够改变被吊销证书状态的理由码,在证书状态有问题的情况下非常有用)。

    由CA吊销证书意味着,CA在证书正常到期之前撤销其允许使用该密钥对的有关声明。在吊销的证书到期之后,CRL中的有关条目被删除,以缩短CRL列表的大小。

    在验证签名期间,应用程序可以检查CRL,以确定给定证书和密钥对是否仍然可信(有些应用程序使用CryptoAPI中的Microsoft证书链验证API来完成此任务)。如果不可信,应用程序可以判断吊销的理由或日期对使用有疑问证书是否有影响。如果该证书被用来验证签名,且签名的日期早于CA吊销该证书的日期,那么该签名仍被认为是有效的。

    应用程序获得CRL之后,由客户机缓存CRL,在它到期之前客户机将一直使用它。如果CA发布了新的CRL,拥有有效CRL的应用程序并不使用新的CRL,直到应用程序拥有的CRL到期为止。

    CA认证系统通信由客户端和服务器端两部分组成。在CA认证系统服务器端添加部分组件,总体基于C/S(client/server,客户/服务器)结构模式。

    客户端的实现形式可以是ActiveX或applet控件,或者是专用硬件或软件;服务器端的实现形式可以是服务程序,或者是专用硬件或软件,加上安全套接层协议完善的数据保护机制,共同组建通道以实现安全通信。

    CA证书工作原理

    数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。

    通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。

    采用数字签名,能够确认以下两点:保证信息是由签名者自己签名发送的,签名者不能否认或难以否认。保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。

    结束:在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。在当前环境下,为了让用户切实感到CA中心所提供的服务是安全可信的,保证认证中心各项业务正常运行,规避潜在的安全隐患,从而推动电子政务、电子商务等对信任机制要求较高的网上业务的发展,CA中心必须加强信息安全管理以切实获得用户的信任,消除用户残余的安全忧虑。

    网络世界中除了CA数字证书可以对网络身份进行验证以外,FIDO协议以及电子签名技术也可以很好地提高身份认证安全性、保护隐私及改善用户体验。那么FIDO协议、电子签名技术是怎么做到身份认证?又如何做到保护用户账户和隐私呢?在下篇中文章将会进行详细解读,敬请期待!

    ,