CFCA數(shù)字證書
數(shù)字證書簡介
數(shù)字證書是各類實體(持卡人/個人�、商戶/企業(yè)�����、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務(wù)活動的身份證明�����,在電子交易的各個環(huán)節(jié)�,交易的各方都需驗證對方證書的有效性,從而解決相互間的信任問題�����。
數(shù)字證書是由權(quán)威CA機構(gòu)頒發(fā)給用戶�,用以在數(shù)字領(lǐng)域中證實用戶身份的一種數(shù)字憑證。從數(shù)字證書的用途來看���,可分為簽名證書和加密證書:簽名證書主要用于對用戶信息進行簽名����,以保證信息的不可否認性����;加密證書主要用于對用戶傳送的信息進行加密��,以保證信息的真實性和完整性。
數(shù)字證書的內(nèi)容和格式
數(shù)字證書是一段包含用戶公開密鑰�����、用戶信息���、頒發(fā)機構(gòu)信息�、證書的序列號���、有效時間���、發(fā)證機關(guān)(CA中心)的名稱及CA中心數(shù)字簽名的數(shù)據(jù)。數(shù)字證書的格式遵循X.509 V3國際標準��。
數(shù)字證書結(jié)構(gòu)如下圖所示:
數(shù)字證書功能簡介
· 身份認證
利用數(shù)字證書序列號和簽名驗證技術(shù)�����,確定證書持有人在網(wǎng)上活動的身份的唯一性和網(wǎng)上行為的不可抵賴性�。
· 網(wǎng)上信息的安全傳輸
通過個人或企業(yè)身份證書與需交互連接的服務(wù)器間建立SSL安全傳輸通道�,完成網(wǎng)上信息的安全傳輸���??捎糜诰W(wǎng)上個人、企業(yè)信息資料的提交����,防止信息被竊取和非法篡改。
· 權(quán)限控制
在基于數(shù)字證書的身份認證基礎(chǔ)上�����,根據(jù)身份認證結(jié)果和權(quán)限控制理論技術(shù)���,通過建立權(quán)限控制服務(wù)器,在使用證書登錄安全站點的同時���,控制服務(wù)器讀取證書DN項中可唯一標識個人或企業(yè)身份的控制項(如:個人身份證號碼��、企業(yè)稅務(wù)登記號等)來識別證書持有者可實現(xiàn)的網(wǎng)絡(luò)功能����。
· 數(shù)字簽名
網(wǎng)上行為的抗抵賴性是通過證書的數(shù)字簽名來保障完成����,通過證書簽名的交易或信息傳輸行為保證了其行為的不可抵賴性,為以后的責任認定提供有力的證據(jù)。
數(shù)字證書類型
CFCA發(fā)放的數(shù)字證書包括下面5類:
· 個人證書:
符合X.509標準的數(shù)字證書����,證書中包含個人身份信息和個人的公鑰,用于標識證書持有人的個人身份��,可以簽名�����,也可以加密����。用于個人在網(wǎng)上進行網(wǎng)銀交易���、個人安全電子郵件����、合同簽定�、支付等活動中標明身份。
· 企業(yè)證書:
符合X.509標準的數(shù)字證書����,證書中包含企業(yè)(單位)信息和企業(yè)(單位)的公鑰����,用于標識證書持有企業(yè)(單位)的身份���。可以用于企業(yè)(單位)在網(wǎng)上銀行系統(tǒng)���、電子政務(wù)�����、電子商務(wù)等業(yè)務(wù)中��。
· 服務(wù)器證書:
服務(wù)器證書是安裝在服務(wù)器端用以標明站點唯一身份的數(shù)字證書,可存放于服務(wù)器硬盤或加密硬件設(shè)備上��,為用戶端和Web服務(wù)器端之間建立一條加密傳輸安全通道�����,保證用戶和服務(wù)器之間信息交換的保密性���、安全性�。
服務(wù)器證書主要用于網(wǎng)上銀行系統(tǒng)、電子商務(wù)網(wǎng)站��、電子政務(wù)網(wǎng)站等各行業(yè)應(yīng)用服務(wù)器��。使用服務(wù)器證書可有效地識別釣魚網(wǎng)站�����、防止信息泄露�,保護網(wǎng)民的信息安全。
· 設(shè)備證書:
設(shè)備證書是提供給某些硬件設(shè)備的證書���,按照硬件設(shè)備的特殊需求簽發(fā)不同的數(shù)字證書��。例如:VPN證書等。
· 代碼簽名證書:
代碼簽名證書是針對網(wǎng)上發(fā)布的控件�、應(yīng)用程序、驅(qū)動程序���、硬件固化程序等代碼創(chuàng)建數(shù)字簽名��,以便在軟件發(fā)行者和用戶通過 Internet 與移動網(wǎng)絡(luò)下載代碼時對它們加以保護���。數(shù)字簽名可驗證內(nèi)容的來源及完整性�。
數(shù)字證書技術(shù)指標
· 符合標準:X.509v3�����、CRLv2����、PKCS1~12��、ASN.1���、MIME����、SSL�����、SMIME等�;
· 支持的非對稱算法:RSA(1024位��、2048位)���、SM2(256位)��;
· 支持的散列算法:MD5��、SHA1�����、SM3�;
· 支持Outlook、Outlook Express����、Foxmail等遵循安全電子郵件擴展協(xié)議的客戶端郵件軟件;
· 證書應(yīng)用支持WINDOWS����、UNIX、LINUX等通用操作平臺�。
數(shù)字證書適用場景
· 網(wǎng)上金融服務(wù):如網(wǎng)上銀行、網(wǎng)上證券�、網(wǎng)上保險等;
· B2B/B2C/C2C等電子商務(wù)應(yīng)用:如網(wǎng)上支付��、網(wǎng)上購物�、網(wǎng)絡(luò)游戲等;
· 企業(yè)的業(yè)務(wù)系統(tǒng)應(yīng)用:如供應(yīng)鏈管理系統(tǒng)�����、OA系統(tǒng)����、財務(wù)系統(tǒng)等;
· 電子政務(wù)應(yīng)用:如網(wǎng)上報稅��、網(wǎng)上工商�����、政府采購招投標系統(tǒng)�、各類行政審批系統(tǒng)等�。
案例
中國工商銀行、中國民生銀行�����、中國光大銀行�、中信銀行、興業(yè)銀行�����、中國郵政儲蓄銀行等250余家銀行,以及中國人民銀行��、中國銀聯(lián)���、國家電網(wǎng)��、蘇寧集團���、北京國稅等近100家機構(gòu)或企業(yè)?!?/span>
