第一章 基础知识
1.1 数字证书
定义
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
数字证书的原理
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。 数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
1.2CA
相关定义
CA(Certificate Authority)认证中心,采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心。
根证书
根证书,是指CA认证中心与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA中心对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA中心对该证书信息的签名是否有效),需要用CA中心的公钥验证,而CA中心的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。
所以说用户在使用自己的数字证书之前必须先下载根证书。
第二章 CA认证中心
2.1中心简介
中国金融认证中心
中国金融认证中心(China Financial Certification Authority),简称CFCA,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一。
上海认证中心
SHECA成立于1998年,是中国第一家专业的第三方网络安全和信任服务提供商,专门从事信息安全技术认证和安全信任服务以及相关产品的研发和整合,以其领先的技术和精湛的服务为客户提供信息安全整体解决方案与第三方服务。
2.2相关比较
2.2.1 数字证书的种类
中国金融认证中心
| 证书种类 | 面向对象 | 包含内容 | 功能 |
| 个人证书 | 个人用户 | 用户身份信息(如身份证号码)、公钥信息、证书有效期等 | 在网上信息传递过程中提供身份验证、信息加密和数字签名等功能 |
| 企业证书 | 企业用户 | 企业身份信息(如企业营业执照号)、公钥信息、证书有效期 | 相对于个人证书而言,CFCA 企业证书提供更高的安全性和更完善的支持服务。 |
| web Server证书 | Web服务器,如:IIS、Apache、IBM Weblogic、Tomcat | 服务器域名、公钥信息、证书有效期 | 用户能够通过该证书对网站的真实性进行检查。同时将用户浏览器和服务器之间传输的信息进行加密。加密后的信息只有对应的服务器才能解密。 |
| 手机证书 | 手机支付用户 | 手机信息、持有人信息等 | 手机证书为手机支付等业务提供强有力的加密和身份认证服务。 |
| 安全电子邮件证书 | 邮件用户 | 发件人信息、公钥信息、证书有效期、证书发布时间等 | 邮件用户使用数字证书对电子邮件进行数字签名并加密传输,以证明邮件发送者身份真实性,保障邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。 |
| Vpn证书 | 虚拟专用网 | 总部机构的相关信息 | VPN设备证书可以为VPN机制提供更强的身份认证机制和数据加密能力。 |
上海认证中心提供的数字证书主要有三类:个人证书、企业证书和其他证书。
| 个人证书 | 企业证书 | 其他证书 |
| 个人身份证书、个人Email证书 | 单位身份证书、单位Email证书、单位部门证书、单位职位证书、单位代码签名证书 | Web服务器证书、应用服务器证书、VPN网关证书、VPN客户端证书 |
中国金融认证中心
上海认证中心
个人证书:证书申请者根据申请的证书种类,需提交内容完整的带个人手写签名或者加盖公章的申请表格。同时,需要递交个人身份证明,如果是委托办理,需要同时递交申请人以及被委托人的上述材料。
单位/企业证书:申请者需要递交签字盖章的书面申请表、企事业单位组织机构代码证的原件以及复印件、申请者的营业执照原件、申请人的身份证明。
设备证书:包括安全站点证书以及设备身份证书,安全站点证书需要递交签字盖章的书面申请表、申请者的身份证明材料原件以及复印件、域名或者ip地址的书面承诺书;设备身份证书则应递交签字盖章的书面申请表、申请者的身份证明材料原件以及复印件、应用服务器的归属性声明文件。
代码签名证书:分为个人代码签名证书以及企业代码签名证书,申请条件与个人证书以及单位企业证书申请条件一致。
2.2.3 CA的体系结构或主要功能比较
中国金融认证中心
CFCA认证系统采用国际领先的PKI技术,总体为三层CA结构,第一层为根CA;第二层为CA,可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成。
上海认证中心
SHECA是依法设立的电子认证服务机构(CA),建设和运营协卡认证体系。作为被信任的第三方,协卡认证体系内有多个可以签发证书的尸体,包括不同的跟CA和子CA,这些签发实体作为CA,均可发放证书。通常,根CA只签发子CA证书,子CA可签发最终用户证书或其他CA的证书。协卡认证体系的CA为电子政务、电子商务和其他网络作业的各类参与方发放数字证书,保证公钥能与确定的柱体身份唯一相对应。
SHEA建立了完善的CA运行机制和严密的安全控制机制,生成密钥对,自主签发根CA证书(ROOT CA)。SHECA更新根CA密钥对时,必须按照国家主管机构、法律和规定的程序,经过SHECA安全认证委员会的同意。SHECA安全认证委员会作为SHEA数字证书的制定机构,将决定SHEA根CA和操作子CA密钥对的更新和切换的策略和行动。
2.2. 4采用的技术或方案比较
中国金融认证中心:
中国金融认证中心采用了PKI技术,数字证书,以及SSL(安全套套接层协议)。
网络拓扑结构:
上海认证中心
第三章我国CA认证系统发展中的问题
总体来说我国的CA发展主要面临以下的问题:
1.我国的CA认证业比较分散,群雄并起,缺乏主心骨,不利于我国CA认证行业的发展。
2.CA认证中心的技术基础差,CA的建立与运作需要强大的技术支撑。目前我国国内的额CA认证技术主要靠自己研发,技术实现本身不够成熟。另外一方面,用在CA相关产品购买上的开销仅仅是整个运营成本的一部分,配置、运行和维护一个认证系统所需的持续成本是巨大的。
3.信息安全领域的标准化、法律化不完善国内尚未出台统一的PKI标准或相关的管理规范,也没有一个明确的CA管理机构。
4.CA认证中心责任、义务不清 当前有的公司在网上发放CA证书。
第四章 证书选择
如过要我自己选择的话,我比较倾向于选择中国金融认证中心,因为中国金融认证中心是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构值得信赖
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
