1703483560
1703483561
(2)数据完整性服务
1703483562
1703483563
向一个实体确保数据没有被有意或无意地修改。PKI的数据完整性服务可以采用两种技术。第一种技术是数字签名。第二种技术是消息认证码或MAC。这项技术通常采用对称分组密码或密码杂凑函数。
1703483564
1703483565
(3)数据保密性服务
1703483566
1703483567
PKI的保密性服务采用了“数字信封”机制,即发送方先产生一个对称密钥,并用该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,就像把它装入一个“数字信封”。然后,把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,并得到对称密钥,再用对称密钥解开被加密的敏感数据。
1703483568
1703483569
(4)不可否认性服务
1703483570
1703483571
不可否认性服务是指从技术上保证实体对其行为的认可。在这中间,人们更关注的是数据来源的不可否认性、接收的不可否认性以及接收后的不可否认性。此外还有传输的不可否认性、创建的不可否认性和同意的不可否认性。
1703483572
1703483573
(5)公证服务
1703483574
1703483575
PKI中的公证服务与一般社会公证人提供的服务有所不同,PKI中支持的公证服务是指“数据认证”,也就是说,公证人要证明的是数据的有效性和正确性,这种公证取决于数据验证的方式。
1703483576
1703483577
(四)CA
1703483578
1703483579
在上一节中,我们介绍了目前安全解决方案中占据了重要位置的PKI技术,它可以保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。一个完整的PKI系统中,认证机构居于核心地位。
1703483580
1703483581
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
1703483582
1703483583
1.CA的含义
1703483584
1703483585
认证中心(CA)是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
1703483586
1703483587
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
1703483588
1703483589
2.CA的基本功能
1703483590
1703483591
作为CA,必须具有如下基本功能:
1703483592
1703483593
(1)签发数字证书;
1703483594
1703483595
(2)CA密钥的管理;
1703483596
1703483597
(3)接受证书申请,审核申请者身份;
1703483598
1703483599
(4)证书管理;
1703483600
1703483601
(5)提供证书和证书状态的查询。
1703483602
1703483603
以上功能中,最为重要的是签发证书。CA对其签发的数字证书全部内容(包括证书用户姓名标识、公钥信息、颁发者标识、证书有效期、签名算法标识等信息)进行数字签名。从而权威地证明了证书持有者和公钥的唯一匹配关系。
1703483604
1703483605
CA的另一项重要功能是证书查询。CA的证书库可以作为公钥的来源地。此外,证书有效性的查询对于安全认证也是至关重要的。由于证书遗失或其他原因,证书可能需要在失效期未到时就予以撤销。CA提供证书撤销列表(Certificate Revocation List,简称CRL)或其他方法供证书依赖方实时查询。
1703483606
1703483607
3.CA的组成部分
1703483608
1703483609
CA主要由以下部分组成:
[
上一页 ]
[ :1.70348356e+09 ]
[
下一页 ]