數位憑證認證機構(英語:Certificate Authority,縮寫為CA),也稱為電子商務認證中心、電子商務認證授權機構,是負責發放和管理數位憑證的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。 目次
介紹[編輯]CA中心為每個使用公開金鑰的使用者發放一個數位憑證,數位憑證的作用是證明憑證中列出的使用者合法擁有憑證中列出的公開金鑰。CA機構的數位簽章使得攻擊者不能偽造和篡改憑證。它負責產生、分配並管理所有參與網上交易的個體所需的數位憑證,因此是安全電子交易的核心環節。在SET交易中,CA不僅對持卡人、商戶發放憑證,還要對獲款的銀行、閘道器發放憑證。 CA是憑證的簽發機構,它是公鑰基礎設施的核心。CA是負責簽發憑證、認證憑證、管理已頒發憑證的機關。它要制定政策和具體步驟來驗證、辨識使用者身分,並對使用者憑證進行簽章,以確保憑證持有者的身分和公鑰的擁有權。 CA也擁有使用者的憑證(內含公鑰)和私鑰。網上的公眾使用者通過驗證CA的簽章從而信任CA,任何人都可以得到CA的憑證(含公鑰),用以驗證CA所簽發的憑證。 使用者若欲取得憑證,應先向CA提出申請,CA判明申請者的身分後,為之分配一個公鑰,並將該公鑰與其身分資訊繫結,為該整體簽章,簽章後的整體即為憑證,發還給申請者。 如果一個使用者想鑑別另一個憑證的真偽,他就用CA的公鑰對那個憑證上的簽字進行驗證,一旦驗證通過,該憑證就被認為是有效的。 為保證使用者之間在網上傳遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對使用者的身分真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國際安全電子交易協定標準的電子商務安全證,並負責管理所有參與網上交易的個體所需的數位憑證,因此CA是安全電子交易的核心環節。 憑證[編輯]憑證實際是由憑證簽證機關(CA)簽發的對使用者的公鑰的認證。 憑證的內容包括:電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。目前,憑證的格式和驗證方法普遍遵循X.509國際標準。
如打算在電子文件上實現簽章的目的,可使用數位簽章。RSA公鑰體制可實現對數字資訊的數位簽章,方法如下: 資訊傳送者用其私鑰對從所傳報文中提取出的特徵資料(或稱數字指紋)進行RSA演算法操作,以保證發信人無法抵賴曾發過該資訊(即不可抵賴性),同時也確保資訊報文在傳遞過程中未被篡改(即完整性)。當資訊接收者收到報文後,就可以用傳送者的公鑰對數位簽章進行驗證。 在數位簽章中有重要作用的數字指紋是通過一類特殊的雜湊函式(HASH函式)生成的。對這些HASH函式的特殊要求是:
數位憑證[編輯]數位憑證為實現雙方安全通信提供電子認證。在網際網路、公司內部網路或外部網中,使用數位憑證實現身分辨識和電子資訊加密。數位憑證中含有金鑰對(公鑰和私鑰)所有者的辨識資訊,通過驗證辨識資訊的真偽實現對憑證持有者身分的認證。 數位身分認證原理[編輯]若註冊者認定一個人的身分,是通過註冊者信任的另外一個人來進行的。註冊者信任的那個人就是身分認證機構(可以是一個自然人)。把數位身分比喻成一個證件,那麼數位憑證就是身分認證機構蓋在數位身分證上的一個章或印(或者說加在數位身分證上的一個簽章),這一行為表示身分認證機構已認定這個人。 身分認證機構是人們註冊公鑰的機構。註冊之後,身分認證機構就向註冊者發一數位憑證,也就是說在註冊者的數位身分證上加簽。服務有免費,也有收費。身分認證機構也可以是一個自然人,就如PGP和GPG系統所倡導的。 參見[編輯]
連結[編輯]
如何申請ca憑證?1. 利用瀏覽器連結到CA 伺服器的網站︰IP 位址(或DNS 名稱)/certsrv,執行「要求憑證」申請用戶端憑證。 2. 選擇「電子郵件保護憑證」。 3. 填入相關識別資訊,包括使用者名稱、使用保護憑證的電子郵件位址等。
什麼是 數位認證?憑證以公開金鑰密碼學為基礎,公開金鑰密碼學使用數位金鑰(很長的數位) 對資訊進行加密或編碼,從而使資訊只能被指定的接收者讀取。 然後,接收者對資訊進行解密(解碼),即可讀取該資訊。 一個金鑰對包含一個公開金鑰和一個私密金鑰。 所有者對公開金鑰進行發放並使任何人都可以使用該公開金鑰。
信任憑證是什麼?「可信任」是什麼意思? 如果一個安全連線或簽章過的檔案是「可信任」的,這通常代表沒有出現警告訊息。 數位憑證被用在使用SSL/TLS的安全網站,用程式碼簽章識別和驗證可執行檔以及透過安全/多用途網際網路郵件擴展(S/MIME)的安全電子郵件。 如果瀏覽器存取的HTTPS伺服器具備不被信任的伺服器憑證就會出現警告訊息。
使用者憑證是什麼?憑證是支援認證的一種方式。 憑證由數位資料組成,這些資料用於指定個人、公司或其他實體的名稱,並證明憑證中包含的公開金鑰屬於該實體。 用戶端和伺服器都可以擁有憑證。 伺服器認證是指用戶端對伺服器所進行的信任識別,亦即識別應負責特定網路位址上伺服器的組織。
|