電子商務認證授權機構(ca, certificate authority),也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
ca是證書的簽發機構,它是pki的核心。ca是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別使用者身份,並對使用者證書進行簽名,以保證證書持有者身份。
ca中心為每個使用
公開金鑰的使用者發放乙個數字證書,數字證書的作用是證明證書中列出的使用者合法擁有證書中列出的公開金鑰。ca機構的
數字簽名使得攻擊者不能偽造和篡改證書。在set交易中,ca不僅對持卡人、商戶發放證書,還要對獲款的銀行、閘道器發放證書。
ca是證書的簽發機構,它是pki的核心。ca是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別使用者身份,並對使用者證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
ca 也擁有乙個證書(內含公鑰)和私鑰。網上的公眾使用者通過驗證 ca 的簽字從而信任 ca ,任何人都可以得到 ca 的證書(含公鑰),用以驗證它所簽發的證書。
如果使用者想得到乙份屬於自己的證書,他應先向 ca 提出申請。在 ca 判明申請者的身份後,便為他分配乙個公鑰,並且 ca 將該公鑰與申請者的身份資訊綁在一起,並為之簽字後,便形成證書發給申請者。
如果乙個使用者想鑑別另乙個證書的真偽,他就用 ca 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
為保證使用者之間在網上傳遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對使用者的身份真實性進行驗證,也需要有乙個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國內、國際
安全電子交易協議標準的
電子商務安全證,並負責管理所有參與網上交易的個體所需的數字證書,因此是安全電子交易的核心環節。
證書實際是由證書簽證機關(ca)簽發的對使用者的公鑰的認證。
證書的內容包括:
電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。證書的格式和驗證方法普遍遵循x.509 國際標準。
加密:將文字轉換成不能直接閱讀的形式(即密文)的過程稱為加密。
解密:將密文轉換成能夠直接閱讀的文字(即明文)的過程稱為解密。
資訊傳輸過程中,單純採用加密來保證資料的保密性,實際上還存在缺陷,假如傳送方在傳送某個資訊後突然反悔,宣告這個資訊不是其傳送,進行抵賴,雖然資料傳輸過程中是保密的,但無法證明這個資訊的傳送方身份,這樣不利於通訊的管理.
現實中,一般採用簽名的方式,使資訊不可抵賴,例如,合同談判,銀行取款等,都採用了使用者簽名的形式,證明這個資訊確實發生過,那麼,在網路通訊中,通常使用數字簽名實現資訊的不可否認性.
數字簽名的簽名過程,就是傳送者根據待傳送的資訊和用自身私鑰加密的數字摘要組合成數字簽名.使用者採用自己的私鑰對資訊加以處理,由於金鑰僅為本個所有,這樣就產生了別人無法生成的檔案,也就形成了數字簽名,採用數字簽名,能夠確認以下兩點.
1.保證資訊是由簽名者自己簽名傳送的,簽名者不能否認或難以否認.
2.接收方可以驗證資訊自簽發後到收到為止未曾做過任何修改,簽發的檔案是真實檔案.
rsa公鑰體制可實現對數字資訊的數字簽名,方法如下:
資訊傳送者用其私匙對從所傳報文中提取出的特徵資料(或稱
數字指紋)進行rsa演算法操作,以保證發信人無法抵賴曾發過該資訊(即不可抵賴性),同時也確保資訊報文在傳遞過程中未被篡改(即完整性)。當資訊接收者收到報文後,就可以用傳送者的公鑰對數字簽名進行驗證。
在數字簽名中有重要作用的數字指紋是通過一類特殊的雜湊函式(hash函式) 生成的。對這些hash函式的特殊要求是:
接受的輸入報文資料沒有長度限制;
對任何輸入報文資料生成固定長度的摘要(數字指紋)輸出;
從報文能方便地算出摘要;
難以對指定的摘要生成乙個報文,而由該報文可以算出該指定的摘要;
難以生成兩個不同的報文具有相同的摘要。
收方在收到資訊後用如下的步驟驗證您的簽名:
使用自己的私鑰將資訊轉為明文;
使用發信方的公鑰從數字簽名部分得到原摘要;
收方對您所傳送的源資訊進行hash運算,也產生乙個摘要;
收方比較兩個摘要,如果兩者相同,則可以證明資訊簽名者的身份。
如果兩摘要內容不符,會說明什麼原因呢?
可能對摘要進行簽名所用的私鑰不是簽名者的私鑰,這就表明資訊的簽名者不可信;也可能收到的資訊根本就不是簽名者傳送的資訊,資訊在傳輸過程中已經遭到破壞或篡改。
作用:數字證書為實現雙方安全通訊提供了電子認證。在網際網路、公司內部網或外部網中,使用數字證書實現身份識別和電子資訊加密。數字證書中含有公鑰對所有者的識別資訊,通過驗證識別資訊的真偽實現對證書持有者身份的認證。
使用數字證書能做什麼?
數字證書在使用者公鑰後附加了使用者資訊及ca的簽名。公鑰是金鑰對的一部分,另一部分是私鑰。公鑰公之於眾,誰都可以使用。私鑰只有自己知道。由公鑰加密的資訊只能由與之相對應的私鑰解密。為確保只有某個人才能閱讀自己的信件,傳送者要用收件人的公鑰加密信件;收件人便可用自己的私鑰解密信件。同樣,為證實發件人的身份,傳送者要用自己的私鑰對信件進行簽名;收件人可使用傳送者的公鑰對簽名進行驗證,以確認傳送者的身份。
數字證書的型別
個人數字證書,主要用於標識數字證書自然人所有人的身份,包含了個人的身份資訊及其公鑰,如使用者姓名、證件號碼、身份型別等,可用於個人在網上進行合同簽定、定單、錄入審核、操作許可權、支付資訊等活動。
機構數字證書,主要用於標識數字證書機構所有人的身份,包含機構的相關資訊及其公鑰,如:企業名稱、組織機構**等,可用於機構在電子商務、電子政務應用中進行合同簽定、網上支付、行政審批、網上辦公等各類活動。
此外,還有**簽名數字證書,是簽發給軟體提供者的數字證書,包含了軟體提供者的身份資訊及其公鑰,主要用於證明軟體發布者所發行的軟體****於乙個真實軟體發布者,可以有效防止軟體**被篡改。
ca認證過程
ca是證書的簽發機構,它是pki的核心。ca是負責簽發證書 認證證書 管理已頒發證書的機關。它要制定政策和具體步驟來驗證 識別使用者身份,並對使用者證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。ca 也擁有乙個證書 內含公鑰 和私鑰。網上的公眾使用者通過驗證 ca 的簽字從而信任 ca 任何人...
自簽名CA認證
用openssl命令生成自己的根證書,讓使用者安裝信任它,之後所有用這個根證書簽名的證書,就可以被信任。建立檔案並配置環境 先建立 root ca資料夾,所有ca的操作都會在這個資料夾執行。root ca ca資料夾 root ca certs 新簽署證書和根證書存放的位置 root ca crl ...
瀏覽器CA認證流程
服務方 s 向第三方機構ca提交公鑰 組織資訊 個人資訊 網域名稱 等資訊並申請認證 ca 通過線上 線下等多種手段驗證申請者提供資訊的真實性,如組織是否存在 企業是否合法,是否擁有網域名稱的所有權等 如資訊審核通過,ca 會向申請者簽發認證檔案 證書。證書包含以下資訊 申請者公鑰 申請者的組織資訊...