目錄:
一、CA、RA、Ukey廠商和業務系統的關系
二、CA憑證的重要屬性(DN、SN、參考号、授權号、有效日期、證書狀态、頒發者)
三、CSP與密鑰容器
四、證書的作用
正文:
一、CA、RA、Ukey廠商和業務系統的關系
1、CA中心,又稱為數字證書認證中心,作為電子商務交易中受信任的第三方,專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的使用者發放一個數字證書,數字證書的作用是證明證書中列出的使用者名稱與證書中列出的公開密鑰相對應。CA中心的數字簽名使得攻擊者不能僞造和篡改數字證書。
2、RA(Registration Authority),數字證書注冊審批機構。RA系統是CA的證書發放、管理的延伸。它負責證書申請者的資訊錄入、稽核以及證書發放等工作;同時,對發放的證書完成相應的管理功能。發放的數字證書可以存放于IC卡、硬碟或軟碟等媒體中。RA系統是整個CA中心得以正常營運不可缺少的一部分。
3、Ukey廠商,Ukey又稱USBKey,是數字證書的硬體載體。目前國内的UKey廠商有大明五洲、海泰、恒寶、中鈔、華大等。
4、業務系統需要在CA登記注冊擷取根證書,然後對根證書簽發給客戶的數字證書做校驗和解密。
二、CA憑證的重要屬性(DN、SN、參考号、授權号、有效日期、證書狀态、頒發者)
1、證書DN,X.509證書使用DN(Distinct Name)來辨別一個實體,其功能類似于我們平常使用的ID,可以在制證過程中和證書屬性中檢視,如下圖所示
2、證書SN(Serial Number),證書序列号是證書的唯一辨別。和DN的差別是,當發生換證、補發情況時,DN是相同的,而SN是不同的。
3、參考号和授權碼,這兩個字段用在證書下載下傳過程中。
4、證書狀态有:未下載下傳、激活、當機和登出。
5、頒發者,是證書的簽發證書DN,在證書驗證過程中需要驗證該屬性。
三、CSP與密鑰容器
CSP,全稱Cryptographic Service Provider 是加密服務提供者。它是windows系統中提供的用于加密的軟硬體元件。
密鑰容器,就是存放證書密鑰對的容器。
每個CSP有一個密鑰庫,密鑰庫用于存儲密鑰。而每個密鑰庫包括一個或多個密鑰容器(Key Containers)。每個密鑰容器中含屬于一個特定使用者的所有密鑰對。每個密鑰容器被賦予一個唯一的名字。在銷毀密鑰容器前CSP将永久儲存每一個密鑰容器,包括儲存每個密鑰容器中的公/私鑰。
四、證書的作用
1、身份認證:本地認證采用基于硬體令牌的多因子認證技術,通過用戶端認證裝置确定使用者的身份的合法性。采用CFCA的證書體系,通過硬體裝置實作使用者網絡身份的認證。
2、使用者管理功能
3、資訊加密傳輸:利用SSL協定來保證
4、操作的不可否認性:在資料進行報送後,保證交易的任何一方無法否認已發生的報送行為。
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)