資訊時代的身份證明
公鑰技術基礎
大部分商業應用中的數字證書系統都是基於pki(公鑰基礎設施)技術的,pki已經很好的植入到瀏覽器等常見的客戶端程式中,所以非常適用於internet環境。為了清楚的了解pki,我們先來溫習一下公鑰系統的內容。公共金鑰系統與最為常見的私鑰加密系統不同,私鑰系統是通過乙個私有金鑰(例如一串字元)經由某種加密演算法對資料進行加密運算,而解密方同樣需要知道該私有金鑰才能對資料進行解密。當我們為自己使用的資料進行加密時,私鑰系統是簡便而強健壯壯的技術,但是當我們需要與其它人交換資料的時候,問題就出現了,因為你必須將金鑰告訴所有需要使用該資料的人,這就使得金鑰面臨了和資料同樣的安全風險。而公鑰系統的最主要特點在於它使用兩個金鑰來處理資料,乙個金鑰專門用於加密,另乙個用以解密。想使用公共金鑰系統進行加密,必須先利用公鑰軟體系統產生公鑰和私鑰,而不能象私鑰系統那樣隨意的選擇金鑰。公鑰和私鑰是緊密聯絡的一對兒,公鑰用於對資料進行加密操作,而解密必須用私鑰來完成,兩者各司其職。我們把公鑰發給所有我們需要與之交換資料的人,由於公鑰是不能進行解密操作的,所以這樣做不會產生造成安全問題,而我們的手裡也應該存有對方的公鑰;同時我們每個人妥善的保管我們各自的私鑰用於解密發給我們的資料。舉例來說,現在我擁有我的合作夥伴sun的公鑰,當我想發給她乙份我們軟體產品的****時,我用sun的公鑰對文件進行加密並將資料發給她,這時我知道,應該只有sun擁有她自己的私鑰,所以只有sun才能閱讀到這份文件;另外,通常我的公鑰會被我附加在我的各種文件中傳送給其它人,這樣所有和我有來往的人都可以獲得我的公鑰,並用它加密那些只想讓我看到的資料並傳送給我。這個過程很聰明吧,但或許你會覺得做起來有點麻煩。其實不用擔心,我們可以很方便的將金鑰通過匯入和匯出操作整合在我們的客戶端軟體裡(比如網頁瀏覽器以及電子郵件客戶端等等),之後的所有加密和解密操作就都由軟體自動替我們完成了。
數字證書體系結構
為了有效的對網上身份進行確認,數字證書通常由權威的、受到公認的第三方數字證書認證中心發放和管理,這個認證中心即我們通常所說的ca(權威認證機構)。ca執行數字證書的生成、保管、發放、驗證、撤銷等管理工作,並負責建立相關的應用程式介面。最早的ca產生於由visa和mastercard所共同倡導的安全電子交易(set)標準,主要服務於b to c模式的電子商務,之後又融入了對b to b模式的支援,產生了以pki技術為基礎的2.0版本的ca體系。 ca是數字證書認證的核心設施,除了ca之外,set標準中還定義了安全電子商務操作中的其它三個主要的參與角色。做為消費者的持卡人(card holder)必須從發卡行領取一張信用卡或銀行卡,並獲取相應的數字證書,通過符合set標準的應用程式(通常被稱做電子錢包)與商家進行互動。商家(merchant)使用的軟體系統同樣必須符合set標準,並且商家需要在銀行有相應的收款帳戶和數字證書。另外,由於有很多家銀行都提供這種業務服務,所以還有一類稱為支付閘道器(payment gateway)的角色,完成類似銀行與商家中介的工作,負責處理持卡人的付款和商家的收款等操作,該角色的職能可以由銀行自身完成,也可以由第三方機構執行。以國內的情況來說,消費者要進行網上支付等電子商務操作一般需要以一張銀行卡為基礎,比如我們去招商銀行申請一張一**並開通網上支付功能,招商銀行會在辦理該業務時提供的乙份數字證書,這個數字證書通常是由銀行向ca申請的。而通過internet購物的消費者可能持有不同的銀行卡和數字證書,商家當然希望所有消費者利用自己習慣的消費工具就能進行購買,而在所有的銀行開戶及辦理相關手續成本很高也非常繁瑣,所以運營規模較大的商家通常會申請類似首都電子**這樣的第三方支付平台,即我們前面講到的支付閘道器。在掛接了支付閘道器提供的介面之後,不論消費者通過何種銀行卡及渠道進行支付,商家只要通過支付閘道器提供給自己的帳戶就可以完成所有的相關管理了。
數字證書的分類
數字證書如果按照用途分類的話,通常可分為加密證書和簽名證書兩種。簽名證書主要對資訊進行數字簽名,以維持資訊的不可否認性,而加密證書主要對資訊進行加密處理,以維護資訊的安全性和完整性。同時,因為ca本身是階層式的,所以在實際操作的過程中我們更多是按照層級和範圍來對ca和其發放的數字證書進行劃分。在最頂層的根ca(rca)負責頒發根ca證書;接下來的第二個層級中,符合set標準的證書被稱為品牌ca證書(bca),而非set標準的證書稱為政策ca證書(pca);而在第三層,根據所應用物件的不同,符合set標準的數字證書包括了持卡人ca證書(cca)、商家ca證書(mca)及支付閘道器ca證書(pca),對於非set標準的情況則統稱為運營ca證書。目前我國已經建成了大量區域性和行業性的ca,比如影響力較大的區域性ca包括上海ca認證中心、廣東ca認證中心以及行業性ca中國金融認證中心(cfca)、中國電信認證中心(ctca)等等。在申請數字證書的過程中,應該注意考察發放者所採用的技術是否符合標準以及提供的服務是否全面,因為ca必須具有足夠的綜合實力才能有效的保證數字證書的安全性和可用性;另外也要注意其所能提供的證書期限,目前國內的ca發放的證書通常是一年期限,也有很多認證中心可以發放兩年期限的數字證書。到期之後需要對數字證書進行「換發」,而服務好的認證中心通常會提前提醒申請者並幫助申請者處理好各種手續。
寄語
在數字證書紅火的發展態勢背後,也存在著一些隱憂。大量ca的存在,難免會造成互通方面的障礙,而各個行業、各個區域的業務行為是否能夠無縫整合無疑是衡量電子商務環境成熟程度的乙個重要準則。另外,當電子商務業務大量膨脹的時候,數字證書技術的安全係數無疑成為最讓人擔憂的事情之一。能否解決好這些問題,建立符合標準並具有良好互操作性的數字證書服務體系,是關係到電子商務未來的大事,也是對相關機構的一次重大考驗。
網路時代的貼身保鏢
資訊時代的身份證明 公鑰技術基礎 大部分商業應用中的數字證書系統都是基於pki 公鑰基礎設施 技術的,pki已經很好的植入到瀏覽器等常見的客戶端程式中,所以非常適用於internet環境。為了清楚的了解pki,我們先來溫習一下公鑰系統的內容。公共金鑰系統與最為常見的私鑰加密系統不同,私鑰系統是通過乙...
網路時代的阿Q
文 手足無措 阿q突然做了個夢 來了一群白盔白甲的少年黨,都拿著電腦 線,走過土 穀祠,叫道 阿q,同去同去!阿q便一同去建 於是阿q便醒了,忽然有點 煩躁,不知是否天氣熱了的緣故。聽說王胡 小d都跟了假洋鬼子,開了個叫做什麼網 站。假洋鬼子現在叫做ceo,連王胡 小d的名片上也都印著副總裁,最近見...
網路時代的廣告01
進入網路時代,網路廣告鋪天蓋地,玩個手機遊戲,看看某度搜尋新聞文章,附帶有廣告,結果一看,10個廣告裡面有5個是詐騙廣告。只要給錢,網路 包括其他報紙電視台 就敢登出廣告,明眼人一看就是詐騙廣告,網路 一樣播出廣告。反正對方給錢,是不是詐騙廣告就不管了。某度搜尋引擎新聞文章,靠廣告大賺特賺,李某巨集...