PKI应用中的常用术语

        1. 数字摘要(Digital Digest):对需要加密的信息原文通过特定的变换后,将其“摘要”成一串128比特的密文,这串密文又称为数字指纹(Finger Print)。于是,利用这段摘要,就可以验证通过网络传输收到的文件是否是未被非法篡改的文件原文了。

        2. 数字信封(Digital Envelop):信息发送方使用密码对信息进行加密,从而保证只有规定的收信人才能阅读信的内容。采用数字信封技术后,即使加密文件被他人非法截获,因为截获者无法得到发送方的通信密钥,故不可能对文件进行解密。

        3. 数字签名(Digital Signature):即是只有信息发送者才能产生的、别人无法伪造的一段数字串。这段数字串同时也是对发送者发送的信息的真实性的一个证明。

        4. 数字时间戳(Digital Time Stamp-DTS):文件签署日期与签名一样都是防止合同文件等被伪造和篡改的关键性标记,在电子商务中,数字时间戳是一个经加密后形成的凭证文档。包括需盖戳的文件摘要,DTS机构收到文件的时间以及DTS机构的数字签名三项内容。

        5. 数字证书(Digital Certificate,Digital ID):数字证书又称为数字凭证,用以证实一个用户的身份和对网络资源的访问权限。它包括:(1)由金融机构通过数字签名发放的、且不能被他人更改的;(2)由收单银行批准、金融机构颁发的,证明商家是否具有信用卡支付交易资格的;(3)由收单银行或其他负责进行认证收款的机构持有、提供客户对帐号等信息加密密码的;(4)各级、各类CA机构所持有的CA等。

证书

        在一个电子商务系统中,所有参与活动的实体都必须用证书来表明自己的身份。证书一方面可以用来向系统中的其它实体证明自己的身份(每份证书都是经“相对权威的机构”签名的),另一方面由于每份证书都携带着证书持有者的公钥(签名证书携带的是签名公钥,密钥加密证书携带的是密钥加密公钥),所以,证书也可以向接收者证实某人或某个机构对公开密钥的拥有,同时也起着公钥分发的作用。

        CA

        CA是Certificate Authority的缩写,是证书授权的意思。在电子商务系统中,所有实体的证书都是由证书授权中心既CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA体系由证书审批部门和证书操作部门组成。

        RA

        RA即证书发放审核部门,它是CA系统的一个功能组件。它负责对证书申请者进行资格审查,并决定是否同意给该申请者发放证书,并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果,因此它应由能够承担这些责任的机构担任。

        CP

        CP即证书发放的操作部门,它是CA系统的一个功能组件,负责为已授权的申请者制作、发放和管理证书,并承担因操作运营错误所产生的一切后果,包括失密和为没有获得授权者发放证书等,它可以由审核授权部门自己担任,也可委托给第三方担任。

        RS

        RS即证书授理者,它是CA系统的一个功能组件,接收用户的证书申请请求,转发给CP和RA进行相应的处理。

        CRL

        CRL是证书作废表的缩写。CRL中记录尚未过期但已声明作废的用户证书序列号,供证书使用者在认证对方证书时查询使用。CRL通常被称为证书黑名单。

        OCSP

        OCSP即在线证书状态协议(Online Certificate Status Protocol),使用户可以实时查询证书的作废状态。

        附:

        CA中心的主要职责

        主要职责是颁发和管理WEB服务器、交易会员的数字证书。数字证书的基本目的是将客户的一些基本信息与该客户的公钥绑定。 CA中心实现了类似于现实生活中的身份认证过程,是发放证书的权威机构,是被信任的对象。系统的CA中心可自行建设,也可选择可信任的第三方CA,并添加扩展信息标明交易会员详细信息。

        证书的登记、审批、发放、废止、查询、管理等,由安全要求非常高的CA系统承担。最小的CA系统通常应有3个模块:

        (1)存放公钥的数字库模块;

        (2)数字证书生成模块(加密设备);

        (3)数字证书作废模块。

        在受理审批证书时,要正确了解CA服务对象、面对的用户,必须仔细检查交易会员证书申请者的身份及一些必要的信息,以保证物理认证的正确无误。CA机构应包括两大部门。一是审核授权部门(Registry Authority,RA),它负责对证书申请客户进行资格审查。另一个是证书操作部门(Certificate Processor,CP),负责为已授权的申请客户制作、发放和管理证书。