电子证书
电子证书是一个或一组电脑档案,内载拥有人的身份资料及一组公开密码匙。凭著电子证书档案,拥有人可向电脑系统认证自己的身份,从而存取或使用某一特定的电脑服务。数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
1、定义
电子证书(DigitalCertificate)又称为数码证书或数字证书,是一种用于电脑的身份识别机制,尤以用于因特网上为主。。它是由一个由权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
电子证书是一个或一组电脑档案,内载拥有人的身份资料及一组公开密码匙。凭著电子证书档案,拥有人可向电脑系统认证自己的身份,从而存取或使用某一特定的电脑服务。
数字证书认证系统
2、原理
数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。
数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。
中网威信数字证书认证中心
3、特点
安全性
(1)为了避免传统数字证书方案中,由于使用不当造成的证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:支付宝会员在申请数字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员当前所使用的计算机。
(2)第二张证书不能备份,会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。
(3)支付盾是一个类似于U盘的实体安全工具,它内置的微型智能卡处理器能阻挡各种的风险,让您的账户始终处于安全的环境下。目前,为保证电子邮件安全性所使用的方式是数字证书。
唯一性
(1)支付宝数字证书根据用户身份给予相应的网络资源访问权限。
(2)申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有了类似“钥匙”一样的数字凭证,增强账户使用安全。
方便性
(1)即时申请、即时开通、即时使用。
(2)量身定制多种途径维护数字证书,例如通过短信,安全问题等。
(3)不需要使用者掌握任何数字证书相关知识,也能轻松掌握。
4、类型
个人数字证书
第一级提供个人电子邮件的认证,仅与电子邮件地址有关。
第二级提供个人姓名、个人身份等信息的认证。
服务器证书
服务器证书简称SSL证书,证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道确保数据在传送中不被随意查看、窃取、修改。经过身份验证的SSL证书包含企业身份信息,网民可以查看该证书判断网站身份。如果你的客户来自国外,如果由于客户不信任你的SSL证书,造成对网站的不信任,最终白白流失交易量就得不偿失了。所以最好选择大品牌的、知名度较高的SSL证书产品,如VeriSign。SSL证书签发一般由当地服务机构负责签发证书,在中国境内,VeriSign证书超过95%的证书由天威诚信代为签发。据统计全球,仅VeriSignSSL证书签发量就超过400万张。
开发者证书
也称代码签名证书,证明软件是安全可信的正版软件。
5、格式
目前数字证书的格式普遍采用的是X.509V3国际标准,内容包括证书序列号、证书持有者名称、证书颁发者名称、证书有效期、公钥、证书颁发者的数字签名等.应包含内容:
证书的版本信息
证书序列号
证书使用的签名算法
证书的发行机构名称
证书的有效期
证书所有人的名称
证书所有人的公开密钥
证书发行者对证书的签名
6、功能
信息的保密性
网络业务处理中的各类信息均有不同程度的保密要求。如政务系统的用户名和密码被人知悉,身份就可能被冒用,网络交易的订货和付款的信息被竞争对手获悉,就可能丧失商机。而CA中心颁发的数字证书保证了电子政务、电子商务的信息传播中信息的保密。
网络通讯双方身份的确定性
网络通讯的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对于服务提供方,要考虑“客户端不能是骗子”;而对于客户一方,也会担心自己登录的服务是否是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的*行政服务中心、银行、和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。而CA中心颁发的数字证书可保证网上通讯双方的身份,行政服务中心、银行和电子商务公司可以通过CA认证确认身份,放心的开展网上业务。
不可否认性
由于系统业务的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此CA中心颁发的所有数字证书类型都确保了电子交易通信过程的各个环节的不可否认性,使交易双方的利益不受到损害。
不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。因此CA中心颁发的数字证书也确保了电子交易文件的不可修改性,以保障交易的严肃和公正。
7、颁发过程
用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。
证书签发与应用流程
8、优点
相对于纸介质证书而言,电子证书有如下优点:
(1)可以使用计算机密码学中先进的加密方法对许可证的部分或全部信息进行加密防伪。例如,RSA公钥密码系统,对200位十进制的因数进行分解,在亿次计算机要运行55年,也就最亿次计算机需要进行55年运算,才可能攻破密码系统。
(2)电子证书在技术上容易实现防复制,如通过在存储介质上激光打孔或使用特殊的读写程序读写信息,将能使一般操作不能被复制。
(3)电子证书可以存储大量的信息,不仅可以包含“一书两证”的基本信息如证书编号、建设单位、项目名称、工程地点、建筑面积、层数、建筑性质、用地性质等,还可以存储关于立项文件的扫描文件、土地使用证、城市总体规划、近期建设规划、分区规划、详细规划(控规、详规)、项目的控制条件文本和空间定位(总平面图、竖向图)、效果图、视频文件、电子地形图、施工图纸等,从而构成一个微型的档案库。随着电子存储技术的进步,电子证书的存储容量很容易就可达到1G以上。
(4)电子证书易干制作,只要将规划信息管理系统稍作改进点击几下鼠标就可以完成电子证书的制作。
(5)电子证书不仅节约纸张、利于孤保、而且体积小,易于保存且保存时间长。
(6)电子证书最大的优点就是可以通过计算机网络进行传输。如果建立国家规划信息专网、电子证书存储标准及*、省级、市镇级三级电子证书存储体系,那么从特大城市到边陲小镇的每一个建设项目都可以从国家规划信息专网中进行浏览、查询和统计。同时还可以根据电子证书的信息自动检验建设项目是否符合城市规划要求,从国家层面提高城市规划管理的现代化水平。
7电子证书的实施门槛较低,最简单的电子证书发放方案主要涉及到软件设计费用。在硬件投资方面、电子证书的载体如采用光盘的话,仅需投入不足千元购刻录机;如采用U盘则无需硬件投资,只需在计算机上安装标准的USB接口。
9、电子证书的存储介质
对电子证书存储介质的选择决定电子证书发放系统的体系结构,而对存储介质的选择则依赖于城市职能部门计算机网络的实际情况。
光存储介质
光存储介质具有存储量大、存储时间长、不受磁场干扰、保密性强、不易磨损、成本低等优点,主要有光卡、CD—R光盘和DVD±R光盘等。
(1)光卡。光卡由能透过激光的透明基板,对激光极为敏感、在激光的照射下能写入信息的记录层,以及硬质保护层三部分组成。光卡记录层刻有2500条极细的轨纹,供数字资料定位用。光卡采用凹凸式记录方式,信息以记录层表面出现记录坑的形式存储在光卡内。光卡有只读型光卡和读写型光卡两种。光卡需要专用的读写设备,因而其普及I、生不高。
(2)光盘。光盘的存储原理和光卡一样。CD-R光盘的存储容量为650M,而直径为120mm的DVD光盘单面的存储容量为4.7GB,双面的存储容量为9.4GB,如果改成双面双层,则存储容量可达到18GB。目前,有标称容量为5GB、9GB、10GB、18GB的DVD-5、DVD一9、DVD-10、DVD-18的光盘系列。采用光盘作为存储介质的电子证书系统可以使用通用的刻录机制作电子证书,普及性较高,由于光盘的成本较低,一般只需几元,刻录机一般不过几百元,因此可作为中小城市的电子证书存储方案。
磁存储介质
磁存储介质的应用较为广泛,如银行卡、磁盘、磁带等,但是磁存储介质存储密度低长期保存对温度、湿度要求高且容易掉磁、霉变。—般有磁卡、磁盘、ZIP盘、磁带等。
(1)磁卡。存储信息量少,只能存储基本的许可证信息,应用时必须依托于计算机网络。读写磁卡需要有专用的读写器。
(2)磁盘。计算朝通用的外存储器,存储容量—般为1.44M(3.5寸磁盘)。随着U盘的普及和价格的降低,磁盘驱动器已淡出计算机的标准配置。
(3)ZIP盘。ZIP盘的容量可达.100MB,采用非接触式磁头,速度较快且携带方便,其外型和1.44M软盘很相似,价格尤其是盘片的价格不算低,用于大容量数据交换和备份。
(4)磁带。磁带一般用作计算机系统和网络备份的存储设备,磁带需要用专用的磁带机进行读写,容量1G到160G不等,但磁带和磁带机的价格昂贵。
芯片存储技术
存储芯片主要有EEPROM芯片和FLASH芯片。基于EEPROM芯片存储的有接触式和非接触式IC卡,基于FLASH芯片存储的有U盘、SD卡、CF卡、MMC卡等。芯片体积小,便于携带,但成本较高。
(1)IC卡。IC卡有接触式和非接触式两种,存储芯片是EEPROM,容量较小,一般只有几十K,最多有几M,价格较高。和磁卡一样,应用时要依赖于计算机网络。
(2)U盘及SD卡、CF卡、MMC卡等存储卡。随着FLASH芯片价格的降低,作为其存储介质的U盘及SD卡、CF卡、MMC卡等存储卡的成本也相应降低,1G的U盘、存储卡的价格一般低于200元。U盘使用计算机标准的USB接口进行读写。存储卡需要读卡器,读卡器价格也不高,一般只需几十元。
综上所述,实施电子证书发放方案时要根据本地的计算机网络应用情况和使用的便利程度,选择适当的电子证书存储方案。同时,应考虑地方建设单位的经济承受能力,不能因为电子证书的发放而给建设单位带来经济负担。
10、电子证书加密技术
采用公开密钥密码*的电子证书
电子证书的加密可以采用公开密钥密码*。公开密钥密码*使用不同的加密密钥与解密密钥,是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码*。在公开密钥密码*中,加密密钥(即公开密钥)PK是公开信息,而解密密钥(即秘密密钥)SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然秘密密钥SK是由公开密钥PK决定的,但是不能由PK计算出SK,计算机可以很容易地产生一对PK和SK。RSA公开密钥密码*的原理是:根据数论,寻求两个大的素数比较简单,而将它们的乘积分解开却极其困难。每个用户都有一对加密密钥PK={e,n)和解密密钥SK={d,n),其中,n为两个大素数p和a的乘积,密钥中e和d满足下面的式子:e*d=lmod(p-1)*(q-1)。对于电子政务网络中的规划局网络子系统,要建立密钥分配中心KDC(KeyDistributionCenter)对密钥进行自动分配,并加入时间戳,以防止政务网内部的攻击。必要时要建立认证中心,将公开密钥和对应的用户进行绑定。规划局服务程序验证查验人员身份和传输电子证书内容,需要使用数字签名技术和报文鉴别的方法。例如,房产部门查验电子证书时,可以用如下的方法实现秘密通信和数字签名、电子证书的制作和验证。设规划部门的秘密密钥为SKA、公开密钥为PKA,房产部门的秘密密钥为SKB、公开密钥为PKB。规划部门的服务程序将电子证书的内容X用自己的SKA进行签名,用房产部门的PKB进行加密,产生密文EPKB(DSKA(X)),然后将密文通过计算机网络传输到房产部门,房产部门的验证程序用自己的SKB进行解密,并用规划部门的PKA核实签名后得到电子证书的内容X。在建设单位持有的电子证书上加密文件,也可以采用电子邮件的加密方法—PGP(PrettyGoodPrivacy)和PEM(PrivacyEnhancedMail)电子邮件系统。PGP是Zimmermann于1995年开发的,它把一些加密算法(如MDS,RSA及IDEA等综合在一起,采用加密、鉴别、电子签名、压缩和编码等技术,把电子证书上的内容加密,形成加密文件存放在存储介质上(如光盘),而查验许可证的程序则可通过逆向的解密过程将电子证书上的内容解密后显示出来。包含PGP源程序的整个软件一包可以在因特网上免费下载,因此应用比较广泛。PGP是很难被攻破的,如果要对RSA部分(密钥为1024bit长)进行破译、使用1000MIP计算机需要3亿年。PEM是因特网的邮件加密建议标准,其功能与PGP差不多,即先对电子证书的内容进行规范形式的处理,使用MD5,DES加密算法,再使用base64编码形成加密文件PEM比PGP有更加完善的密钥管理机制。
采用常规密钥*的电子证书
电子证书也可采用常规密钥*。所谓常规密钥*,又称对称密钥系统,即加密密钥与解密密钥是相同的密码*、如替代密码和置换密码,虽使系统编程较为简易,但很容易被破译,而采用数据加密标准DES和国际数据加密算法IDEA,破译的难度则大大增加。对于IDEA而言,当密钥长度为128bit时,每微秒可搜索一百万次。而破译IDEA密码则需要5.4*1080年。显然这是一种比较安全的方案。
根据计算机网络建设情况,选择适当的加密技术,可有效防止伪造电子证书的事件发生。
推荐阅读