CA 应用指南

●  数字证书

      数字证书是经证书授权电子认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件，其中也包含互联网通讯中标志通讯各方身份信息的一系列数据，人们可以在网上通过它来识别对方的身份，保证人们相关网络活动的安全。

●   数字证书原理简介

数字证书采用公钥密码体制，绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证。当使用数字证书进行身份认证时，它将随机生成128位的身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密性。如果想要推导出解密密钥（私钥），按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。

●  特点

       机密性（ Confidentiality ）

            ◆  保证信息只为授权人使用

       完整性（ Integrity ）

            ◆  未被未授权篡改或者损坏

       可用性和可控性（Availability & Controllability）

            ◆  保证信息和信息系统随时为授权者提供服务，而不能出现非授权者滥用却对授权者拒绝服务的情况。

       不可否认性（Non-Repudiation）

            ◆  网上行为或交易不被否认，也称抗抵赖性。

●  证书应用

        数字证书的应用是广泛的，其中包括大家最为熟悉的用于网上银行的USBkey和部分使用数字证书的VIEID即网络身份证。

◆ USBkey

      USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。

      目前USBkey大多数国内银行采用的客户端解决方案，使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。在支付领域，我们可以看到支付宝与天威诚信数字认证中心推出的第三方支付工具“支付盾”

      采用USB Key方式的优点：

      代表用户身份的私钥在USB Key产生，安全强度高；

       OCL Key从硬件形态上增加了一个物理按键。应用握奇提出的OCL（即“操作控制列表”）技术，当需要使用USB Key内私钥进行签名时，就会启动按键等待操作。在有效时限内(用户可以自行设定时限长短)按下物理按键后签名才能成功，否则签名操作失败。即使USB Key的密码被人截取，木马程序发起一个非法的交易申请，由于无法进行物理上的按键操作致使整个交易不能进行下去。更重要的是这种实现方式对银行端没有任何影响，只需改变的是用户的操作习惯。

      另外，面对交易数据在用户客户端提交到USB Key过程中被篡改的危险性，OCL Key增加了显示模块或语音模块，可以把送到USB Key内的交易数据信息显示或报读出来。OCL Key的显示模块或语音模块都是直接被USB Key内安全芯片直接控制，不会被木马程序更改显示或报读的内容，因此通过USB Key显示或报读的数据内容就是真正被签名的内容。实现了“所见即所签”，用户在确认显示或报读的内容正确无误后按下物理按键即可完成整个交易。

      OCL Key不但可以确保身份认证安全性，同时还支持交易认证功能，最大程度的保证网络交易的安全，为客户提供了坚实的身份识别和密码管理方案。基于现有的理论分析和权威调查来看，这种基于OCL技术的USBKey是当前最理想便捷的安全认证终端。

◆ 网络身份证(VIEID)

      全称：(Virtual identity electronic identification)虚拟身份电子标识

      网络身份证（VIEID）是互联网络信息世界中标识用户身份的工具，用于在网络通讯中识别通讯各方的身份及表明我们的身份或某种资格。VIEID并不是全部基于数字证书的。

      网络身份证（VIEID）的出现将使互联网变的更加简便、高效、安全与可信。在不久的未来，每一位互联网的使用者都将拥有一个网络身份证。这将使你使用各种互联网服务时更加方便，不需要再填写烦琐的注册信息，只需要输入你的网络身份证号和管理密码即可轻松完成，且不需要再记住其它的各种烦琐的账号和密码。在你的网络身份证管理中心可以管理你在互联网所使用的服务亦可查看你在互联网留下的所有足迹。比如你注册使用了facebook、fasdl、QQ、人人网、开心网等，在你的网络身份证管理中心就能直接使用这些服务而不需要再输入账号密码。在你不想使用某一项服务时，直接在网络身份证管理中心注销既可。有了VIEID,互联网的每一位用户都可以相互信任彼此的身份，同时，严格且完善的隐私管理机制也使得用户的个人信息免遭泄露。

●  CRL
      CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号，供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。

● CP
      CP即证书策略（“Certificate Policy”）是可标记在数字证书中的，用于体现数字证书所能满足的安全要求。X.509标准中对于证书策略的定义是：A named set of rules that indicates the applicability of a certificate to a applications with common security requirements. 因此，证书策略就是一组安全规则要求，确切的说是适合于一类应用系统的共同的安全需求。

      从提供“数字证书”服务的电子认证服务机构的角度来看，证书策略可以体现电子认证服务机构针对特定的数字证书所提供的安全保障情况。电子认证服务机构可以通过制定和编写“证书策略文档”，描述其在证书签发和管理过程中所使用的访问控制措施、物理安全措施、技术控制措施、网络安全措施、审计和评估要求、赔偿和责任等等。

      从“数字证书”的使用者角度，通过查看证书中所标识的证书策略，可以了解某个证书的安全程度，以及该证书是否能够用于特定的应用。