什么是公钥基础设施(PKI)?
|
PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。例如,某企业可以建立公钥基础设施(PKI)体系来控制对其计算机网络的访问。在将来,企业还可以通过公钥基础设施(PKI)系统来完成对进入企业大门和建筑物的提货系统的访问控制。
|
PKI让个人或企业安全地从事其商业行为。企业员工可以在互联网上安全地发送电子邮件而不必担心其发送的信息被非法的第三方(竞争对手等)截获。企业可以建立其内部Web站点,只对其信任的客户发送信息。
|
PKI采用各参与方都信任一个同一CA(认证中心),由该CA来核对和验证各参与方身份的身份这种信任机制。例如,许多个人和企业都信任合法的驾驶证或护照。这是因为他们都信任颁发这些证件的同一机构--政府,因而他们也就信任这些证件。然而,一个学生的学生证只能被核发此证的学校来进行验证。数字证书也一样。
|
通过公钥基础设施(PKI),交易双方(可能是在线银行与其客户或者是雇主与其雇员)共同信任签发其数字证书的认证中心(CA)。典型的是采用数字证书的应用软件和CA信任有相同的机制。例如,客户端浏览器中根证书列表中包含了它所信任CA的根证书,当浏览器需要验证一个数字证书的合法性(假如说要进行在线安全交易)的时候,此浏览器首先从其根证书列表中查找签发该数字证书的认证中心根证书,如果该认证中心根证书存在于浏览器的根证书列表中并验证通过后,浏览器承认此站点的具有合法身份并显示此站点的网页。如果该认证中心根证书不存在信任CA根证书列表中,浏览器会显示警告信息并询问是否要信任这个新的认证中心。通常地,浏览器会弹出提供永久的信任、临时的信任或或不相信该认证中心的选项对话框给客户选择,因为作为客户来说,他们有权选择信任哪些认证中心,而信任的处理工作通过应用软件来完成(在这个例子中是通过浏览器完成的)。
|
如何实现加密?
|
加密技术是使数据不可读的处理过程。有许多不同的(和复杂的)打乱和恢复信息的方法。
|
在互联网上,加密技术主要有两种用途。一种是访问使用了服务器证书的安全Web站点(例如在线购物),故称之为服务器端加密技术。另一种用于接收和发送加密电子邮件。这两种用途中的加密处理方法都包含了交换公钥过程。
|
在加密过程中,使用公钥或私钥来加密信息,反之使用与之匹配的私钥或公钥来解密信息。这看起来像是用一把钥匙上锁而用另一把钥匙开锁。例如,当访问一个安全Web站点时,客户端计算机接收到这个Web站点的公钥(公钥存储在证书里),客户端计算机对WEB站点发送的信息使用WEB站点的公钥加密,解密这些信息的唯一方法是Web站点使用他们的私钥。
|
同样的处理方法也适用于安全电子邮件。在向其他人发送加密信息之前,你需要得到包含其公钥的数字证书,电子邮件应用软件使用其公钥对信息进行加密处理,发送后,接收者使用他们的私钥对信息进行解密,不掌握接收者私钥的其他方都无法完成该信息的解密工作。由此,你可以向希望给你发送邮件的人发送你的数字证书。值得注意的是,你务必请保护好自己的私钥,因为它用于解密发送给你的信息。
|
怎样实现数字签名?
|
当使用一个程序对信息进行数字签名时,至少要将数字证书的公共部分和其它信息加在一起,才能确认邮件信息的完整性。
|
在邮件信息和数字证书发送之前,信息要经过散列算法的加密,就是将所要发送的信息经过算术处理产生一个特征序列,这个序列是唯一的,只能由原文产生。产生的序列叫做信息摘要。
|
必须知道散列算法只能单向快速的运行,但很难逆向运算恢复原文。这就是说,电子邮件程序可以将邮件信息经过散列算法快速产生唯一的信息摘要。然而,如果只有信息摘要,要数年的时间才能解密得到原文。
|
程序产生信息摘要之后,就用发送者的私钥对信息摘要加密,这是特别重要的。如果只发送邮件和信息摘要,别人可以很容易的修改信息原文,重新产生一个信息摘要,并以你的身份发送出去。
|
如果只对邮件进行数字签名而不进行加密,电子邮件应用会将数字证书和签名后的信息摘要作为附件随邮件明文一起发送,因此,别人仍然能阅读信息的内容(有效的解决方法是在签名后加上加密选项)。
|
当接受方收到邮件时,用发送方的数字证书(公钥)解密信息摘要进行验证。然后程序用相同的散列算法计算邮件的信息摘要,并比较结果。如果产生了的信息摘要和邮件所含的信息摘要是相同的,那么说明邮件在传输过程中没有被篡改,由此保证了信息确实是由验证该信息对应的公钥持有着(证书持有着)发送的。
|
什么是数字证书密钥对?
|
当与其他个人或企业通过网络环境进行通信时,需要建立一个安全的交换信息信道来保证不会有第三方非法用户截获和读取信息,现在最先进的加密数据的方法是通过使用密钥对方式。密钥对包含一个公钥和一个私钥。我们可把开锁的钥匙比作密钥,不同的是密钥是一对钥匙,一把用于锁门来保证安全,即加密;而另一把用语开门,即解密。
|
应用软件使用密钥对中的一个密钥来加密文档。必须用用与之匹配的另一个密钥来解密信息。但怎样才能保证信息被安全地发到信息接受方而途中不被他人截获?
|
通过使用密钥对就可解决上述问题。当申请一个数字证书时,浏览器生成一个私钥和一个公钥。私钥只被证书申请者使用,而公钥会成为数字证书的一部分。浏览器会要求你提供一个在你访问私钥时的口令,该口令只有自己知道,这点是非常重要的(口令不要是自己的生日或别人容易猜到的数字或字母)。
|
收到并安装数字证书后,把数字证书发给任何需要发送信息给你的人。在数字证书中包含了用于加密信息的公钥。别人给你发送信息时会使用你的公钥对信息进行加密。因为只有你有与之匹配的私钥,所以只有你才能够解密用你的公钥加密的信息。
|
同样的,当你想要向别人发送加密的信息,你必须首先获得他们的公钥。你可以在目录中服务器中(一般,CA系统在签发证书的同时会将该证书发布到公开的目录服务器中供其他客户查询、下载用)查找他们的数字证书。如果你只有经过签名处理的电子邮件,你的电子邮件应用软件一般会自动的保存发送方的数字证书。
|
什么是数字证书?
|
数字证书,有时被称为数字身份证,是一个符合一定格式的电子文件,用来识别电子证书持有者的真实身份。一些软件程序 用数字证书来向其他人或企业证明证书持有者的身份。这里是两个普通的例子:
|
使用在线银行系统时,银行必须确认客户的真实身份,通过身份核实后的客户才能进入在线银行的相关页面进行相应的帐户管理操作,如:转帐、查询帐务。这就象驾驶执照或是护照一样,数字证书向在线银行证实了你的真实身份。
|
当要给别人发送重要的电子邮件时,电子邮件程序会用你的数字证书对邮件信息进行签名。数字签名有两个作用:很容易证明邮件是由你发送的,还能证明电子邮件在传送的时候没有受到篡改。 |
一个数字证书一般包括下列内容:
|
- 你的公钥
- 你的名字和电子邮件地址
- 公钥的有效期限
- 发证机构的名称
- 数字证书的序列号
- 发证机构的数字签名
|
什么是SSL?
|
Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能了。
|
什么是服务器证书?
|
服务器证书是安装在你的WEB服务器上,你可将服务器证书视为一种可以让访问者利用网页浏览器来验证网站真实身份的数字证明,且可以通过服务器证书进行具有SSL加密的通讯过程。
|
什么是鉴别与加密?
|
SSL服务器鉴别
|
让使用者确认WEB服务器的身份。具有SSL功能的软件(如WEB网页浏览器程序)会依照列在这类程序中受信任的认证中心根证书列表,来自动检验服务器的数字证书是否有效,且是通过适当的认证中心(如EasySSL)所发行。鉴别服务器身份在安全电子交易环境中,对于使用者而言是非常重要的一环。例如,当使用者欲传送自己的信用卡信息给网站服务器之前一定会想先确认该服务器的真实身份如何。
|
加密的SSL联机
|
要求所有在客户端及服务器之间所传递的信息由传送端软件加密,以及由接受端软件解密。如此可以保护信息不会在网络上截获。另外,所有在SSL联机中所传递的信息亦需要对信息完整性进行验证,SSL会自动检测信息在传递途中是否有遭到修改的危险。如此以来,使用者可以安心地将个人资料(如信用卡信息)传递到网站上,并信任SSL机制会保护这些信息的隐私及安全性。
|
服务器证书如何操作?
|
用户连接到你的Web站点,该Web站点受服务器证书所保护。(可由查看 URL的开头是否为"https:"来进行辩识,或浏览器会提供你相关的信息)。
|
你的服务器进行响应,并自动传送你网站的数字证书给用户,用于鉴别你的网站。
|
用户的网页浏览器程序产生一把唯一的"会话钥匙码",用以跟网站之间所有的通讯过程进行加密。
|
使用者的浏览器以网站的公钥对交谈钥匙码进行加密,以便只有让你的网站得以阅读此交谈钥匙码。
|
现在,具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示目前的工作阶段具有安全性。
|
公用数字证书与私用数字证书有哪些区别?
|
私用数字证书都是由企业内的私用认证中心发行,而所有的私用数字证书都与其根CA公钥连结在一起,以辨识是机构在管理证书的层级。当您购买了证书服务器并开始运作之后,您就可以建立起自己的根CA公钥。然而,您必须将根CA公钥发送给所有能接收并辨识私用数字证书的软件才行。这对于使用S/MIME格式的安全电子邮件会产生一个极大问题,因为几乎企业中的每一个人都有对外界发送电子邮件的机会,而这些企业外部电子邮件收信人的应用程序并没有您企业的根CA公钥。所以,私用数字证书比较适合注重企业内部联系的企业使用。
|
相较下,EasySSL代理的Geotrust公用数字证书的根CA公钥早就嵌入到能支持证书的主要应用程序中了,包括网景公司和微软公司的网页浏览器及电子邮件程序,以及将近四十家的网页服务器厂商。公用数字证书比较适合供常需与外界联系的企业的应用环境使用。由签发中心签发的数字证书在国内范围内的所有客户都有相同的根证书,因此都可以很容易互相认证,比较适合供常需与外界联系的企业的应用环境使用。例如安全电子邮件就是一个例子,因为使用者除了在企业内发送讯息之外,也常须对外界发送电子邮件。
|
|