返回上一页
数字证书简介

 


数字证书简介

  

       数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在互联网上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或者印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。



一张数字证书中的内容一般包括:

  • 所有者的公钥
  • 所有者的名字
  • 公钥的失效期
  • 发放机构的名称(发放电子证书的 CA
  • 数字证书的序列号
  • 发放机构的数字签名

  
被广泛接受的数字证书格式由 CCITT X.509 国际标准定义;因此任何符合 X.509 的应用程序都可读写证书。在 PKCS 标准和 PEM 标准中有更进一步的明确表达。



数字证书有什么用处?


数字证书具有四大作用:身份认证、信息保密、不可否认、不可篡改。

我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术,建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己发出的信息不能抵赖。



南京CA提供什么类型的数字证书服务?


我们主要提供三类电子证书的发放、废除和状态服务 —— 普通数字证书、服务器证书和事件证书。

  • 普通数字证书中包含证书持有者的身份信息、公钥及CA的签名,在网络通讯中标识证书持有者的身份,可用于网上医疗、网上招投标、网上证券、网上金融、网上拍卖、网上保险等多种应用系统。数字证书主要以USBKEY为存储介质。

  • 服务器身份证书中包含服务器信息、公钥及CA的签名,在网络通讯中标识和验证服务器的身份。在网络应用系统中,服务器软件利用证书机制保证与其他服务器或客户端通信的安全性。主要应用于应用服务器、网关设备、VPN设备等。服务器身份证书可以存贮在USBKEY中或直接存储于服务器上。 
  • 针对某一次事件(如:开户电子单据确认、汇款电子单据确认),为客户签发带有其身份特征、时间戳以及事件信息签名值的数字证书。事件证书服务机制符合国家的相关安全技术标准,一是证书内容中包含当次事件可以取证的关键要素(如:主体、事件内容、事件时间),应用到其他事件无效;二是每个事件证书只可以完成一次签名,不用担心被窃取(证书产生时使用私钥同步对双方签署文档进行签名保护,完成后不保留私钥,只保存了公钥验证);三是第三方CA签发的事件证书的电子签名同样具有法律效力。


数字证书如何工作?


数字证书使用公钥加密技术,即使用两个相关密钥(一个公钥和一个私钥)。在公钥加密中,任何想与密钥对所有者通讯的人都可获得公钥。公钥可以用来验证使用私钥签名的信息,或加密只能用私钥加密的信息。以这种方法加密的信息的安全性依赖于私钥的安全性,必须防止私钥的未被授权的使用。

在数字证书中,密钥对被绑定到用户名和其它验证信息。当我们将数字证书安装到 web 浏览器时,它起到站点电子凭证的作用。这使得数字证书能够代替信息和服务中用于识别用户身份和限制访问的密码对话框。

数字证书是由发放数字证书的认证机构签名的。多个数字证书可以附在一个信息或交易上,建立一个认证链,在认证链中,每一张数字证书都证明前一张数字证书的真实性。最高级的认证中心必须为证书依赖方独立地了解而且信任。



什么是数字签名?


数字签名用于电子文档,就像亲笔签名用于印刷文档。数字签名是一条不能伪造的信息,表示一个具名人写了或同意该附带签名的电子文档。

与亲笔签名相比,数字签名实际上提供了更大程度的安全性。数字签名信息的接收者可以验证该信息源于签名的人以及该信息在签名后未被有意或无意的更改过。而且,安全数字签名是无法否认的;一个文档的签名者不能通过声明签名是伪造的来否认该文档。

换句话说,数字签名支持电子信息的鉴定,向电子信息的接收者保证发送者的身份和该信息的完整性。 



数字签名怎样用于认证?


数字认证使电子信息的接收者能够确认发送者的身份和信息的完整性。


      假设 Alice 要发送一条签名信息给 Bob。她使用了信息散列函数,创建了一个信息摘要。该信息摘要作为该信息的数字指纹;如果该信息任何一部分被更改,就返回一个不同的结果。然后,Alice 用她的私钥加密该信息摘要。该信息摘要就是该信息的数字签名。

      Alice 将信息和数字签名一同发送给 BobBob 收到后,使用 Alice 的公钥对签名进行解密,从而显示出信息摘要。为了验证该信息,他使用与 Alice 所使用的相同的散列函数混编该信息,并将结果与从 Alice 那里收到的信息摘要比较。如果它们完全一致,Bob 就可以确信此信息确实是来自 Alice 的而且在她签名之后没有被更改过。如果信息摘要不一致,此信息就可能来自其它地方或在签名之后被更改过。

      注意使用数字签名并没有加密信息本身。如果 Alice 要保证信息的保密性,就必须使用 Bob 的公钥对此信息加密。这样,只有 Bob 可以利用自己的私钥对信息解密,从而读到信息。

      对任何人来说,找到可以混编成一个给定值的消息或找到可以混编成相同值的两个消息都是不可行的。如果有二者有一个是可行的,那么入侵者就可以将假消息粘贴在 Alice 的签名上。特定的散列函数可以发现匹配不合法,因此非常适应于在密码术中使用。

      一个或更多的数字证书可以伴随一个数字签名。如果有数字证书,接收者(或第三方)可以检查公钥的真实性。



数字签名的有效期有多长?


      通常,密钥在一段时期(如一年)后过期,不应接受使用过期密钥签名的文档。但在很多情况下,签名文档在法律上的有效期有必要长于两年;例如,长期租约和合同。通过在合同签署时使用数字时间戳服务注册该合同,签名可以在密钥过期后仍然有效。

      如果合同各方都保存该时间标志的副本,每一方都可以证明合同是使用有效密钥签名的。实际上,即使签名者的密钥在合同签署后受损,该时间标志仍可以证明合同的有效性。任何数字签名文档都可以使用时间戳,保证可以在密钥过期后证实签名的有效性。



什么是数字时间戳服务?


      数字时间标志服务(DTS)发放时间戳,该时间戳将日期和时间与数字文档以加密的方式关联。数字时间戳可用于以后证 明电子文档在其时间戳所述的时间存在。例如,一个物理学家有一个卓越的构想,就可以使用一个字处理程序把它写下来,并对文档加盖时间戳。以后,即使这位物理学家的主要竞争对手是最先发表该构想的人,时间戳和文档证明该科学家应该获得诺贝尔奖。

      这里是这种系统工作的方式。假设 Alice 签名了一个文档并希望它有时间戳。她使用一个安全散列函数计算出文档的信息摘要,然后将此信息摘要(不是文档本身)发送至 DTSDTS 向她返回一个由信息摘要、DTS 的接收日期和 DTS 签名组成的数字时间戳。因为信息摘要并不显示任何有关文档内容的信息,DTS 无法对它时间戳的文档进行偷听。以后,Alice 可以同时拿出文档和时间戳,以证明文档撰写的时间。一个验证程序计算文档的信息摘要,确定它与时间戳中的摘要匹配,并验证时间戳上的 DTS 签名。