CA相关名词概念
1、什么是CA:
答:CA是英文Certificate
Authority的简称,通俗地讲,就是电子身份认证的意思。电子证书就是用电子形式来唯一标识企业或者个人在国际互联网上或专用网上的身份,当您用您的电子证书对电子化信息进行签名以后,您对这份电子信息的内容就具有不可抵赖性或篡改性,如同您在工作或生活中用公章或私章对某份文件盖章以后产生的效果一样。这种不可抵赖性或篡改性是由一种国际标准的公钥密码体制(PKI)来实现的。每个电子证书持有者都有一对互相匹配的密钥:公开密钥(Public
Key
公钥)和私有密钥(Private
Key私钥)。公钥可以对外公开,用于加密和验证签名;私钥仅为证书拥有者本人所掌握,用于解密和数字签名。以电子证书为核心的加密传输、数字签名、数字信封等安全技术,可以在网络上实现身份的真实性、信息传输的机密性、完整性以及交易的不可抵赖性,从而保障网络应用的安全性。
2、什么是PKI?
答:PKI(Public Key Infrastructure )即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
3、PKI的基本组成是什么?
答:完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。
证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。
应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。
4、CA有那些职能?
答:CA机构,又称为证书授证(Certificate
Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个电子证书,电子证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中,CA不仅对持卡人、商户发放证书 ,还要对收款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的电子证书,因此是安全电子交易的核心环节。
5、什么是电子签名认证证书?
答:电子签名认证证书简称电子证书,又称电子证书,它是网络通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是一个由权威机构--CA机构,又称为证书授权(Certificate
Authority)中心发行的,人们可以在交往中用它来识别对方的身份。
电子证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUTX.509国际标准。
6、电子证书采用什么样的工作方式?
答:在使用电子证书的过程中,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,能够保证信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过电子证书来确认接收方的身份;发送方对于自己发送的信息不能抵赖,其电子证书原理如下:电子证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥进行解密。
7、电子证书有什么样的作用?
答:由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信任,因而因特网(Internet)电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易方身份的真实性。国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
8、电子证书可应用在哪些领域?
答:电子证书广泛应用于工商、税务、财政、金融、技术监督、公安、社保、教育、文化、交通、环保、建设等行业,对保障各行业信息安全有着不可替代的重要作用。
9、我省发放电子证书的机构是那家公司?
答:依据《中华人民共和国电子签名法》和《电子认证服务管理办法》(信息产业部第35号令)等法律法规的要求和省信息安全保障工作协调小组的总体部署,依法设立的安徽省电子认证管理中心负责电子证书的制作、颁发和管理,是我省唯一的、权威的、可信赖的第三方电子认证服务机构。安徽省CA中心将遵守国家有关收费管理的规定,密切与相关部门的交流与合作,不断提高服务质量,切实维护用户利益。
10、我省CA中心发放的电子证书的种类有哪些?
答:安徽省电子认证管理中心有限责任公司按市场实际使用情况为用户提供企业身份证书、企业代码签名证书、企业电子邮件证书、个人身份证书、个人代码签名证书、个人电子邮件证书、服务器证书、网关证书、电子印章等九个证书种类。
1)、企业身份证书:企业身份安全证书中包含企业基本信息、公钥及AHCA的签名,在网络通讯中标识证书持有企业的身份,可以用于企业在电子商务方面的对外交易活动,如合同签订、网上交易、信息交、网上税务申报、网上办公系统、网上招标投标、网上拍卖、网上签约等多种应用系统。
2)、企业代码签名证书:签发给软件提供商的数字证书,包含软件提供商的身份信息、公钥及AHCA 的签名。软件提供商使用代码签名证书对软件进行签名后放到Internet上,当用户在Internet上下载该软件时,将会得到提示,从而可以确信:软件的来源;软件自签名后到下载前,没有遭到修改或破坏
,可以有效防止软件代码被篡改,使用户免遭病毒与黑客程序的侵扰,同时可以保护软件开发商的版权利益。
3)、企业电子邮件安全证书:企业电子邮件安全证书中包含证书持有者的电子邮件地址、公钥及AHCA的签名。该证书用于安全电子邮件或向需要客户验证的WEB服务器(或http服务器)表明身份。使用安全电子邮件证书的企业可以收发加密和数字签名邮件,保证企业在电子邮件传输中的机密性、完整性和不可否认性,确保电子邮件通信各方身份的真实性。
4)、个人身份证书:个人身份安全证书中包含证书持有者的个人身份信息、公钥及AHCA的签名,在网络通讯中标识证书持有者的个人身份,可以用于个人在网上进行个人安全电子邮件、合同鉴定、定单、录入审核、操作权限、支付信息等活动中标明身份。
5)、个人代码签名证书:为个人软件开发者提供的数字证书,包含个人身份信息、公钥及AHCA的签名,防止软件代码被篡改,使用户免遭病毒与黑客程序的侵扰,同时可以保护软件开发者的版权利益。
6)、个人电子邮件安全证书:个人电子邮件安全证书中包含证书持有者的电子邮件地址、公钥及AHCA的签名。使用安全电子邮件证书的用户可以收发加密和数字签名邮件,保证用户在电子邮件传输中的机密性、完整性和不可否认性,确保电子邮件通信各方身份的真实性。
7)、服务器证书:服务器证书中包含服务器信息、公钥及AHCA的签名,在网络通讯中标识和验证服务器的身份。用于电子商务应用系统中的服务器软件向其他企业和个人提供电子商务应用时使用,服务器软件作为电子商务服务提供者,利用证书机制保证与其他服务器或用户通信的安全性。主要用于网站交易服务器,目的是保证客户和服务器产生与交易支付等信息相关时确保双方身份的真实性、安全性、可信任度等。
8)、网关证书:是由AHCA签发给互联网上网关的数字证书,可用于数字签名及信息加密,有效地保证了通过网关数据的安全。
9)、电子印章:电子印章技术以先进的数字技术模拟传统实物印章,其管理、使用方式符合实物印章的习惯和体验,其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的有效性和相似的使用方式。AHCA将根据客户需要提供。