ca認證效率
⑴ 什麼是網上CA認證
什麼是CA?CA是英文Certificate Authority的簡稱,通俗地講,就是電子身份認證的意思。數字證書就是用電子形式來唯一標識企業或者個人在國際互聯網上或專用網上的身份,當您用您的數字證書對電子化信息進行簽名以後,您對這份電子信息的內容就具有不可抵賴性或篡改性,如同您在工作或生活中用公章或私章對某份文件蓋章以後產生的效果一樣。這種不可抵賴性或篡改性是由一種國際標準的公鑰密碼體制(PKI)來實現的。每個數字證書持有者都有一對互相匹配的密鑰:公開密鑰(Public Key 公鑰)和私有密鑰(Private Key 私鑰)。公鑰可以對外公開,用於加密和驗證簽名;私鑰僅為證書擁有者本人所掌握,用於解密和數字簽名。 以數字證書為核心的加密傳輸、數字簽名、數字信封等安全技術,可以在網路上實現身份的真實性、信息傳輸的機密性、完整性以及交易的不可抵賴性,從而保障網路應用的安全性。 數字證書是在實施電子商務、電子政務等網路應用中不可或缺的安全工具,是所有現實實體在網上的身份證明,是保證網上業務安全的基礎設施。北京市地方稅務局與北京數字證書認證中心(Beijing Certificate Authority ,簡稱BJCA)合作,在北京市地方稅務局網上納稅及其他網上業務系統中使用BJCA數字證書,北京數字證書認證中心授權北京市地方稅務局市局及各分局向納稅人代理發放BJCA數字證書。 在北京市地方稅務局網上納稅業務系統中,納稅人通過使用標識其身份的數字證書就可以輕松實現網上納稅。系統通過驗證數字證書來識別納稅人的身份,同時,以數字證書為核心的加密、數字簽名等安全技術可以保障數據在傳輸中的機密性和完整性,以及數字簽名的不可否認性,可以說,數字證書的應用有力地保障了北京市地方稅務局網上納稅業務系統的安全性。 納稅人從北京市地方稅務局或北京數字證書認證中心網站上下載數字證書申請表,或到隸屬稅務分局的證書受理點櫃台領取證書申請表,一式兩份; 納稅人按申請表中的要求一式兩份填寫,並經單位負責人簽字、蓋章; 納稅人攜帶填寫好的兩份申請表和表中規定的相關證明材料(企業營業執照原件及復印件、組織機構代碼證副本的原件和復印件、經辦人的身份證原件及復印件)到隸屬稅務分局的證書受理點櫃台辦理證書申請手續; 分局證書受理點的證書操作員將按照操作流程受理證書申請業務,將納稅人信息錄入並審核,審核通過後,向BJCA提交證書申請請求; BJCA實時響應證書申請請求,為納稅人簽發證書; 分局證書受理點的證書操作員將簽發好的納稅人證書下載到證書介質(軟盤、IC卡)中,連同密碼信封以及一份申請表原件,交給納稅人; 納稅人使用自己的數字證書進行相關網上業務。
⑵ ca認證和第三方認證有什麼區別
第三方認證是指與交易雙方沒有切實的利益關系並被國家認可授權的有資歷審核認證的單位,包括很多如,CA認證、CE認證、QA/QC認證等等。拿CE認證來說,產品要想在歐盟市場上自由流通,就必須經國CE認證,加貼「 CE 」標志,以表明產品符合歐盟《技術協調與標准化新方法》指令的基本要求,這是歐盟法律對產品提出的一種強制性要求。
CA認證是CA中心進行的認證。CA(Certificate Authority),稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。CA認證是第三方認證的一種,應用於電子商務方面。
二者的區別,明白了吧
⑶ 怎樣比較通俗的理解CA認證
就是證明 存在 正確 合法 唯一。比如說你的身份證,誰能證明是真的呢?公安局呀,ca認證就相當於公安局檢驗你的合法身份及其他相關東西。
⑷ ca數字認證證書中的簽章信息辦理要多久
通俗地理解,數字證書就是個人或單位在網路上的身份證。數字證書以密碼學為版基礎,採用權數字簽名、時間戳等技術,在網路環境中建立有效的信任機制。它主要包含證書所有者的信息、證書所有者的公開密鑰和證書頒發機構的簽名等內容。它是由權威機構——CA機構,又稱為證書認證(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。
數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字,提供了一種在Internet上驗證通信實體身份的方式,數字證書不是數字身份證,而是身份認證機構蓋在數字身份證上的一個章或印(或者說加在數字身份證上的一個簽名)。
基於以上數字證書基本概念與運用原理,個人或單位可通過有CA授權的第三方電子簽名平台申請與使用數字證書簽字或蓋章,像契約鎖,個人或單位可通過在線的方式完成證書的申請和獲取,無需直接前往CA認證機構申請。當用戶需要調用簽章簽字或簽名時,由契約鎖自動申請及獲取相應數字證書,簽署及時性與有效性能得到最大限度保障。
⑸ 什麼是CA認證機構
CA即證書管理機構,受委託發放數字證書的第三方組織或公司。數字證書是用來建回立答數字簽名和公-私(public-private)密鑰對的。
CA在這個過程中所起的作用就是保證獲得這一獨特證書的人就是被授權者本人。在數據安全和電子商務中,CA是一個非常重要的組成部分,因為它們確保信息交換各方的身份。
⑹ FDA和CA認證是什麼
FDA是美國食品葯品監督管理局的簡稱,即美國食品葯品監督管理局,美國FDA是國際醫療審核權威機構。
CA正常的是指網路的身份認證,有USB也有各種插件的認證。
希望回答對您有所幫助,如有需要進一步咨詢請網路我們即可~
⑺ ca證書審批制度有哪些
公鑰基礎設施PKI 簡介
中科院計算機網路信息中心 在讀研究生 孔 寧
摘要:本文簡介了當前廣泛用於解決電子商務中安全問題的PKI 技術。PKI(Pubic Key Infrastructure)是一
種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規范。PKI 的核心組成
部分CA( Certification Authority),即認證中心,它是數字證書的簽發機構。數字證書,有時被稱為數字身
份證,是一個符合一定格式的電子文件,用來識別電子證書持有者的真實身份。
關鍵詞:公鑰基礎設施PKI 認證中心CA 數字證書
一 PKI 簡介
隨著Internet 的普及,人們通過網際網路進行溝通越來越多,相應的通過網路進行商務活
動即電子商務也得到了廣泛的發展。電子商務為我國企業開拓國際國內市場、利用好國內
外各種資源提供了一個千載難逢的良機。電子商務對企業來說真正體現了平等 競爭、高效
率、低成本、高質量的優勢,能讓企業在激烈的市場競爭中把握商機、脫穎而出。發達國
家已經把電子商務作為21 世紀國家經濟的增長重點,我國的有關部門也正在大力推進我國
企業發展電子商務。然而隨著電子商務的飛速發展也相應的引發出一些Internet 安全問題。
概括起來,進行電子交易的互聯網用戶所面臨的安全問題有: 一,保密性 :如何保證電
子商務中涉及的大量保密信息在公開網路的傳輸過程中不被竊取;二,完整性 :如何保證
電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易;三,身份認證
與授權 :在電子商務的交易過程中,如何對雙方進行認證,以保證交易雙方身份的正確性;
四,抗抵賴 :在電子商務的交易完成後,如何保證交易的任何一方無法否認已發生的交易。
這些安全問題將在很大程度上限制電子商務的進一步發展,因此如何保證Internet 網上信息
傳輸的安全,已成為發展電子商務的重要環節。
為解決這些Internet 的安全問題,世界各國對其進行了多年的研究,初步形成了一套完
整的Internet 安全解決方案,即目前被廣泛採用的PKI 技術(Public Key Infrastructure-公鑰基
礎設施),PKI(公鑰基礎設施)技術採用證書管理公鑰,通過第三方的可信任機構--認證中
心CA(Certificate Authority),把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份
證號等)捆綁在一起,在Internet 網上驗證用戶的身份。目前,通用的辦法是採用基於PKI
結構結合數字證書,通過把要傳輸的數字信息進行加密,保證信息傳輸的保密性、完整性,
簽名保證身份的真實性和抗抵賴。
二 PKI 的基本定義與組成
PKI 的基本定義十分簡單,所謂PKI 就是一個用公鑰概念和技術實施和提供安全服務
的具有普適性的安全基礎設施。
PKI 是一種新的安全技術,它由公開密鑰密碼技術、數字證書、證書發放機構(CA)
和關於公開密鑰的安全策略等基本成分共同組成的。PKI 是利用公鑰技術實現電子商務安全
的一種體系,是一種基礎設施,網路通訊、網上交易是利用它來保證安全的。從某種意義上
講,PKI 包含了安全認證系統,即安全認證系統-CA 系統是PKI 不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或
平台,目的是為了管理密鑰和證書。一個機構通過採用PKI 框架管理密鑰和證書可以建立
一個安全的網路環境。PKI 主要包括四個部分:X.509 格式的證書(X.509 V3)和證書廢止
列表CRL(X.509 V2);CA 操作協議;CA 管理協議;CA 政策制定。一個典型、完整、
有效的PKI 應用系統至少應具有以下五個部分;
1) 認證中心CA CA 是PKI 的核心,CA 負責管理PKI 結構下的所有用戶(包括
各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上
驗證用戶的身份,CA 還要負責用戶證書的黑名單登記和黑名單發布,後面有
CA 的詳細描述。
2) X.500 目錄伺服器 X.500 目錄伺服器用於發布用戶的證書和黑名單信息,用戶
可通過標準的LDAP 協議查詢自己或其他人的證書和下載黑名單信息。
3) 具有高強度密碼演算法(SSL)的安全WWW伺服器 Secure socket layer(SSL)協議
最初由Netscape 企業發展,現已成為網路用來鑒別網站和網頁瀏覽者身份,以
及在瀏覽器使用者及網頁伺服器之間進行加密通訊的全球化標准。
4) Web(安全通信平台) Web 有Web Client 端和Web Server 端兩部分,分別安裝
在客戶端和伺服器端,通過具有高強度密碼演算法的SSL 協議保證客戶端和服務
器端數據的機密性、完整性、身份驗證。
5) 自開發安全應用系統 自開發安全應用系統是指各行業自開發的各種具體應用
系統,例如銀行、證券的應用系統等。
完整的PKI 包括認證政策的制定(包括遵循的技術標准、各CA 之間的上下級或同級
關系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規則、運作制度的制定、
所涉及的各方法律關系內容以及技術的實現等。
三 PKI 的原理
公鑰基礎設施PKI 的原理,顧名思義PKI 是基於公鑰密碼技術的。要想深刻理解PKI
的原理,就一定要對PKI 涉及到的密碼學知識有比較透徹的理解。下面簡單介紹一下密碼
學知識。對於普通的對稱密碼學,加密運算與解密運算使用同樣的密鑰。通常,使用的加密
演算法比較簡便高效,密鑰簡短,破譯極其困難,由於系統的保密性主要取決於密鑰的安全
性,所以,在公開的計算機網路上安全地傳送和保管密鑰是一個嚴峻的問題。正是由於對
稱密碼學中雙方都使用相同的密鑰,因此無法實現數據簽名和不可否認性等功能。而與此
不同的非對稱密碼學,具有兩個密鑰,一個是公鑰一個是私鑰,它們具有這種性質:用公
鑰加密的文件只能用私鑰解密,而私鑰加密的文件只能用公鑰解密。公鑰顧名思義是公開
的,所有的人都可以得到它;私鑰也顧名思義是私有的,不應被其他人得到,具有唯一性。
這樣就可以滿足電子商務中需要的一些安全要求。比如說要證明某個文件是特定人的,該
人就可以用他的私鑰對文件加密,別人如果能用他的公鑰解密此文件,說明此文件就是這
個人的,這就可以說是一種認證的實現。還有如果只想讓某個人看到一個文件,就可以用
此人的公鑰加密文件然後傳給他,這時只有他自己可以用私鑰解密,這可以說是保密性的
實現。基於這種原理還可以實現完整性。這就是PKI 所依賴的核心思想,這部分對於深刻
把握PKI 是很重要的,而恰恰這部分是最有意思的。
比如在現實生活中,我們想給某個人在網上傳送一個機密文件,該文件我們只想讓那
個人看到,我們設想了很多方法,首先我們想到了用對稱密碼將文件加密,而在我們把加
密後的文件傳送給他後,我們又必須得讓他知道解密用的密鑰,這樣就又出現了一個新的
問題,就是我們如何保密的傳輸該密鑰,此時我們發現傳輸對稱密鑰也不可靠。後來我們
可以改用非對稱密碼的技術加密,此時發現問題逐漸解決了。然而又有了一個新的問題產
生,那就是如何才能確定這個公鑰就是某個人的,假如我們得到了一個虛假的公鑰,比如
說我們想傳給A 一個文件,於是開始查找A 的公鑰,但是這時B 從中搗亂,他把自己的公鑰
替換了A 的公鑰,讓我們錯誤的認為B 的公鑰就是A 的公鑰,導致我們最終使用B 的公鑰
加密文件,結果A 無法打開文件,而B 可以打開文件,這樣B 實現了對保密信息的竊取行
為。因此就算是採用非對稱密碼技術,我們仍舊無法保證保密性的實現,那我們如何才能
確切的得到我們想要的人的公鑰呢?這時我們很自然的想到需要一個仲裁機構,或者說是
一個權威的機構,它能為我准確無誤的提供我們需要的人的公鑰,這就是CA。
這實際上也是應用公鑰技術的關鍵,即如何確認某個人真正擁有公鑰(及對應的私鑰)。
在PKI 中,為了確保用戶的身份及他所持有密鑰的正確匹配,公開密鑰系統需要一個值得
信賴而且獨立的第三方機構充當認證中心(Certification Authority,CA),來確認公鑰擁有人
的真正身份。就象公安局發放的身份證一樣,認證中心發放一個叫"數字證書"的身份證明。
這個數字證書包含了用戶身份的部分信息及用戶所持有的公鑰。象公安局對身份證蓋章一
樣,認證中心利用本身的私鑰為數字證書加上數字簽名。任何想發放自己公鑰的用戶,可以
去認證中心申請自己的證書。認證中心在鑒定該人的真實身份後,頒發包含用戶公鑰的數字
證書。其他用戶只要能驗證證書是真實的,並且信任頒發證書的認證中心,就可以確認用戶
的公鑰。認證中心是公鑰基礎設施的核心,有了大家信任的認證中心,用戶才能放心方便的
使用公鑰技術帶來的安全服務。
四PKI 的核心部分CA
認證中心CA 作為PKI 的核心部分,CA 實現了PKI 中一些很重要的功能,概括地說,
認證中心(CA)的功能有:證書發放、證書更新、證書撤銷和證書驗證。CA 的核心功能就
是發放和管理數字證書,具體描述如下:
(1)接收驗證最終用戶數字證書的申請。
(2)確定是否接受最終用戶數字證書的申請-證書的審批。
(3)向申請者頒發、拒絕頒發數字證書-證書的發放。
(4)接收、處理最終用戶的數字證書更新請求-證書的更新。
(5)接收最終用戶數字證書的查詢、撤銷。
(6)產生和發布證書廢止列表(CRL)。
(7)數字證書的歸檔。
(8)密鑰歸檔。
(9)歷史數據歸檔。
認證中心CA 為了實現其功能,主要由以下三部分組成:
注冊伺服器:通過 Web Server 建立的站點,可為客戶提供24×7 不間斷的服務。客戶
在網上提出證書申請和填寫相應的證書申請表。
證書申請受理和審核機構:負責證書的申請和審核。它的主要功能是接受客戶證書申
請並進行審核。
認證中心伺服器:是數字證書生成、發放的運行實體,同時提供發放證書的管理、證書
廢止列表(CRL)的生成和處理等服務。
在具體實施時,CA 的必須做到以下幾點:
1) 驗證並標識證書申請者的身份。
2) 確保CA 用於簽名證書的非對稱密鑰的質量。
3) 確保整個簽證過程的安全性,確保簽名私鑰的安全性。
4) 證書資料信息(包括公鑰證書序列號,CA 標識等)的管理。
5) 確定並檢查證書的有效期限。
6) 確保證書主體標識的唯一性,防止重名。
7) 發布並維護作廢證書列表。
8) 對整個證書簽發過程做日誌記錄。
9) 向申請人發出通知。
在這其中最重要的是CA 自己的一對密鑰的管理,它必須確保其高度的機密性,防止他
方偽造證書。CA 的公鑰在網上公開,因此整個網路系統必須保證完整性。CA 的數字簽名
保證了證書(實質是持有者的公鑰)的合法性和權威性。用戶的公鑰有兩種產生的方式:(1)
用戶自己生成密鑰隊,然後將公鑰以安全的方式傳送給CA,該過程必須保證用戶公鑰的驗
證性和完整性。(2)CA 替用戶生成密鑰隊,然後將其以安全的方式傳送給用戶,該過程必
須確保密鑰對的機密性,完整性和可驗證性。該方式下由於用戶的私鑰為CA 所產生,所以
對CA 的可信性有更高的要求。CA 必須在事後銷毀用戶的私鑰。
一般而言公鑰有兩大類用途,就像本文前面所述,一個是用於驗證數字簽名,一個是
用於加密信息。相應的在CA 系統中也需要配置用於數字簽名/驗證簽名的密鑰對和用於數
據加密/脫密的密鑰對,分別稱為簽名密鑰對和加密密鑰對。由於兩種密鑰對的功能不同,
管理起來也不大相同,所以在CA 中為一個用戶配置兩對密鑰,兩張證書。
CA 中比較重要的幾個概念點有:證書庫。證書庫是CA 頒發證書和撤銷證書的集中存
放地,它像網上的「白頁「一樣,是網上的一種公共信息庫,供廣大公眾進行開放式查詢。
這是非常關鍵的一點,因為我們構建CA 的最根本目的就是獲得他人的公鑰。目前通常的做
法是將證書和證書撤消信息發布到一個資料庫中,成為目錄伺服器,它採用LDAP 目錄訪
問協議,其標准格式採用X.500 系列。隨著該資料庫的增大,可以採用分布式存放,即採用
資料庫鏡像技術,將其中一部分與本組織有關的證書和證書撤消列表存放到本地,以提高證
書的查詢效率。這一點是任何一個大規模的PKI 系統成功實施的基本需求,也是創建一個
有效的認證機構CA 的關鍵技術之一。
另一個重要的概念是證書的撤消。由於現實生活中的一些原因,比如說私鑰的泄漏,
當事人的失蹤死亡等情況的發生,應當對其證書進行撤消。這種撤消應該是及時的,因為如
果撤消延遲的話,會使得不再有效的證書仍被使用,將造成一定的損失。在CA 中,證書的
撤消使用的手段是證書撤消列表或稱為CRL。即將作廢的證書放入CRL 中,並及時的公布
於眾,根據實際情況不同可以採取周期性發布機制和在線查詢機制兩種方式。
密鑰的備份和恢復也是很重要的一個環節。如果用戶由於某種原因丟失了解密數據的
密鑰,那麼被加密的密文將無法解開,這將造成數據丟失。為了避免這種情況的發生,PKI
提供了密鑰備份於解密密鑰的恢復機制。這一工作也是應該由可信的機構CA 來完成的,而
且,密鑰的備份與恢復只能針對解密密鑰,而簽名密鑰不能做備份,因為簽名密鑰匙用於不
不可否認性的證明的,如果存有備份的話,將會不利於保證不可否認性。
還有,一個證書的有效期是有限的,這樣規定既有理論上的原因,又有實際操作的因
素。在理論上諸如關於當前非對稱演算法和密鑰長度的可破譯性分析,同時在實際應用中,證
明密鑰必須有一定的更換頻度,才能得到密鑰使用的安全性。因此一個已頒發的證書需要有
過期的措施,以便更換新的證書。為了解決密鑰更新的復雜性和人工干預的麻煩,應由PKI
本身自動完成密鑰或證書的更新,完全不需要用戶的干預。它的指導思想是:無論用戶的證
書用於何種目的,在認證時,都會在線自動檢查有效期,當失效日期到來之前的某時間間隔
內,自動啟動更新程序,生成一個新的證書來替代舊證書。
結束語
個人感覺PKI/CA 技術很有發展前途,只是在我國的應用才剛剛起步。另外CA 作為電
子商務的特殊實體,它必須具有權威性,這種權威性來自政府或公共組織的授予;它必須使
公眾所依賴的機構,它頒發的證書可信;它必須是公正的,不參與交易雙方的。本文僅是停
留在比較簡單的理論介紹,希望此文能讓更多人了解PKI,投入到PKI 的研究中來。
參考書目:
[1] 《公鑰基礎設施(PKI)實現和管理電子安全》 [美] Andrew Nash 等著 清華大學出版社
[2] 《公鑰基礎設施PKI 與認證機構CA》 關振勝 著 電子工業出版社出版
哈韓國際服飾
⑻ ca認證的功能和作用
CA認證的作用就是PKI體系的作用.
PKI(Public Key Infrastructure),即公鑰基礎結構.PKI利用公鑰加密技術為網上電子商務的開展內提供了一套容安全基礎平台,用戶利用PKI平台提供的安全服務進行安全通信.
PKI(公開密鑰體系)一詞被解釋成為是一種框架體系,通過它,在不安全的信道上的通信的用戶可實現信息數據的安全交換,滿足商務對保密性,完整性,身份認證及不可否認性的安全需求,其構成主要包括硬體、軟體、人員、指導原則及方法.它的好處在於:第一,網上交易雙方可通過值得信賴的第三方機構完成交易,由於金融機構的特殊身份常使其充當第三方認證機構的角色,因此可將交易雙方的風險降至最低;其次,PKI的應用發展已從區域型逐步發展到全球性,如著名的Identrust 組織建立了一套支持全球數字證書發放的體系,包括不同證書機構之間合作的程序以及對爭議、索賠等問題的處理等,使具有法律約束力的電子商務得以在全球范圍內展開.
⑼ CA認證的特點是什麼
安全,准確,實用!
方便!快捷!
⑽ ca認證的功能和作用
電子商務認證授權機構(CA, Certificate Authority),也稱為電子商務認證中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。
CA中心為每個使用公開密鑰的用戶發放一個數字證書,數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。在SET交易中,CA不僅對持卡人、商戶發放證書,還要對獲款的銀行、網關發放證書。
CA是證書的簽發機構,它是PKI的核心。CA是負責簽發證書、認證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份,並對用戶證書進行簽名,以確保證書持有者的身份和公鑰的擁有權。
CA 也擁有一個證書(內含公鑰)和私鑰。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ,任何人都可以得到 CA 的證書(含公鑰),用以驗證它所簽發的證書。
如果用戶想得到一份屬於自己的證書,他應先向 CA 提出申請。在 CA 判明申請者的身份後,便為他分配一個公鑰,並且 CA 將該公鑰與申請者的身份信息綁在一起,並為之簽字後,便形成證書發給申請者。
如果一個用戶想鑒別另一個證書的真偽,他就用 CA 的公鑰對那個證書上的簽字進行驗證,一旦驗證通過,該證書就被認為是有效的。
為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性,不僅需要對用戶的身份真實性進行驗證,也需要有一個具有權威性、公正性、唯一性的機構,負責向電子商務的各個主體頒發並管理符合國內、國際安全電子交易協議標準的電子商務安全證,並負責管理所有參與網上交易的個體所需的數字證書,因此是安全電子交易的核心環節。