| 网上银行安全证书工作原理 |
随着网络的发展,网上交易、网上银行等商务应用越来越广泛,对于交易双方而言,我们靠什么确认对方的身份呢?当我们发送电子邮件、文件时,怎样才能知道数据在网络传输过程中没有被篡改呢?这些问题,我们都可以通过数字证书来解决。 何谓数字证书?数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的数据文件。认证中心的数字签名可以确保证书信息的真实性,用户公钥信息可以保证数字信息传输的完整性,用户的数字签名可以保证数字信息的不可否认性。 数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。 认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全,其中包括IPSec(IP安全)、SSL、SET、S/MIME。 数字证书的功能主要包括:身份验证、信息传输安全、信息保密性(存储与交易)、信息完整性、交易的不可否认性。 数字证书内容及格式数字证书包括证书申请者的信息和发放证书CA的信息,认证中心所颁发的数字证书均遵循X.509 V3标准。数字证书的格式在ITU标准和X.509 V3里定义。根据这项标准,数字证书包括证书申请者的信息和发放证书CA的信息。X.509数字证书内容:
证书各域的含义:
证书内容由以下两部分组成: (1)申请者的信息 第一部分申请者的信息,数字证书里的数据包括以下信息:
(2)发放证书CA的信息 第二部分CA的信息,数字证书包含发行证书CA的签名和用来生成数字签名的签名算法。任何人收到证书后都能使用签名算法来验证证书是否是由CA的签名密钥签发的。 数字证书的工作流程以银行为例,如果客户A想和银行B通信,他首先必须从数据库中取得银行B的证书,然后对它进行验证。如果他们使用相同的CA(证书认证中心),事情就很简单,客户A只需验证银行B证书上CA的签名。如果他们使用不同的CA,问题就较为复杂。客户A必须从CA的树形结构底部开始,从底层CA往上层CA查询,一直追踪到同一个CA为止,找出共同的信任CA。目前个人获取网上银行安全证书的途径都是通过银行申请,所以双方肯定采用同一证书认证中心颁发的证书。 现在假设客户A向银行B传送数字信息,为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:
证书存放方式数字证书可以存放在计算机的硬盘、随身软盘、IC卡或CUP卡中。 用户数字证书在计算机硬盘中存放时,使用方便,但存放证书的PC机必须受到安全保护,否则一旦被攻击,证书就有可能被盗用。 使用软盘保存证书,被窃取的可能性有所降低,但软盘容易损坏。一旦损坏,证书将无法使用。 IC卡中存放证书是一种较为广泛的使用方式。因为IC卡的成本较低,本身不易被损坏。但使用IC卡加密时,用户的密钥会出卡,造成安全隐患。 使用CUP卡存放证书时,用户的证书等安全信息被加密存放在CUP卡中,无法被盗用。在进行加密的过程中,密钥可以不出卡,安全级别最高,但相对来说,成本较高。 
冷月冰秋 yc_zch@live.cn
|
|
|
