文章横幅PC版
文章横幅iPad版
文章横幅手机版

PKI应用

TIME:2019-03-15 09:01  click: 325 次 来源: 未知

 

1.基于数字证书可实现四种基本安全功能

(1)身份认证

网上交易要成功,先要能辨识对方身份,商家要想客户不是骗子,而客户也会考虑网上商店是不是黑店,因此方便、可靠地辨识对方身份是交易成功的首要。为顾客或用户开展服务的银行、信用卡公司和销售商店,为做到安全、保密、可靠都要实施身份认证。对销售商店来说,他们不清楚顾客刷卡消费用的信用卡的真伪,只能把信用卡的身份确认交给银行进行。

数字证书可当做网络身份证,在网络世界中交互时,证书持有人只需出示,对方判断该证书是否伪造、持证人是否有对应的私钥、该证书是否被作废或冻结等内容就能验证该持证人身份是否合法。

(2)保密性

交易中的商务信息都须保密。如信用卡的账号和用户名被人知悉,就可能被盗用;订货和付款的信息被竞争对手获悉,就可能丧失商机。

用数字证书中的公钥对静态或动态数据加密,只有持证人才能用对应的私钥解密,从而保密各种敏感数据。

(3)完整性

为保障交易的严肃、公正,交易文件不应被修改,如合同或订单。卖方收到订单后,若发现商品大幅涨价,如果能私自改动合同,修改商品价格或订购数量,就能大幅受益,那么买方就会蒙受损失。

用私钥对静态或动态数据签名,用对应的数字证书中的公钥就能验证该数据是否被篡改,从而实现各种敏感数据和交易记录的完整性。

(4)抗抵赖性(不可否认性)

交易一旦达成是不能被否认的,否则一定会损害一方利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,若销售方能否认收到订单的实际时间,甚至否认收到订单,则订货方就会蒙受损失。

在交易过程中,可让对方用其私钥签名交易数据,完成后可存储数据及对方签名,一旦发生交易纠纷,就可调出存储的交易数据和对方签名,用对方数字证书中的公钥就能证明该交易是对方进行的,从而达到交易过程的抗抵赖性。

2.数字证书如何与应用系统结合

基于证书接口中间件,应用系统可很方便地用数字证书技术,提高应用系统的身份认证强度、保证应用系统中各种敏感数据的保密性和交易记录的完整性、用户各种操作或交易的不可否认性。

PKI技术经过30多年的发展,已形成较完善的标准规范体系,几乎覆盖应用系统的各个方面,如今很多软件都已支持数字证书技术,如操作系统、数据库系统、Web服务器、应用服务器等。因受应用环境多样性和应用技术复杂性的影响,数字证书技术应用的方式可能差异很大。

当前主流的数字证书应用技术主要有Windows域登录、操作系统登录、电子文件加密、安全电子邮件、电子印章、代码签名、时间戳、WTLS应用、SSL/TLS应用(如Web网站安全、SSL VPN)、IPSec应用(如IPSec VPN)等。

3.数字证书典型应用

(1)网上报税

随着IT技术的迅速发展及在税收领域的广泛应用,网上税收已是不可逆转的趋势,它主要有两类安全隐患是网络安全问题。重点是身份认证,目前用的用户名/口令机制易被他人假冒身份;二是纸质报表的事后报表问题。只有加盖企业公章的纸质报表才能作为法律凭证。

电子签名法给数字签名法律效力后,数字证书技术就可有效解决以上两个问题,使企业网上报税成为现实,同时提高了企业和税务部门的工作效率。

事实上,国内多数省份上千万家企业已通过数字证书网上报税。

(2)网上银行

网上银行是商业银行基于互联网为客户给出安全、实时服务。作为全新的客户服务渠道,客户不必亲自去银行办理业务,只需在家里、办公室或在旅途中上网,就能24小时安全便捷地管理资产,或办理查询、转账、缴费等银行业务。

网上银行以Internet等开放式网络环境传输交易数据,且涉及用户资金转移等敏感信息,所以在用户的身份认证、资金的秘密传输及数据的完整性方面有许多安全问题。网上银行服务提供者首先需确定自己的系统不会被黑客入侵,造成秘密信息泄露、业务损失或服务中断。对用户而言,必须确认在网络上输入的秘密信息不会被盗用、输入的交易资料不会被篡改且能迅速地传送到接收端系统。

基于数字证书技术,网上银行能有效解决用户身份认证、敏感数据保密性、交易数据完整性和交易操作不可抵赖性问题,对银行企业客户和个人客户来说特别方便。

数字证书(俗称U盾)已成为国内网上银行的标准配置。若无数字证书,企业用户是不能用网上银行。上亿个人用户已通过数字证书访问网上银行进行转账或汇款等资金操作。

上一篇:PKI运营 下一篇:PKI体系框架