论坛: 系统集成 标题: 数字认证[转的和自己的心得体会] 复制本贴地址    
作者: ftpftp [ftpftp]    论坛用户   登录
年初国家发布了《数字签名法(草案)》,问问大家,你认为:
1. 数字认证有用吗?
2. 有什么用?
3. 数字认证安全吗?
4. u-key在使用时需敲入的pin码这一机制安全吗?
5. u-key和u盘有什么不同?
6. u-key不可复制吗?
7. 数字认证的技术软肋在哪里呢?

欢迎高手指教,也欢迎菜鸟跟帖


[此贴被 TecZm是笨猪(ftpftp) 在 07月07日01时27分 编辑过]

地主 发表时间: 04-07-06 21:34

回复: ftpftp [ftpftp]   论坛用户   登录
什么是数字证书认证

密码是解决网络信息安全的关键技术,其他技术只有与密码技术交流融合,互相渗透,才能提供完整的网络信息安全解决方案。因此,现代密码技术贯穿于网络信息安全的全过程,不仅在党和国家核心秘密的传输中发挥着生命线、保障线和指挥线的作用,而且在解决电子商务和公民信息安全中发挥着不可替代的作用。
  数字证书认证是以密码技术为核心、用于在网络信息交换中确认身份、控制权限、确保交换信息可信的技术手段和服务性实体。它应用密码及其相关技术在网络上实现数字加/解密、数字签名/验证和身份识别等功能。数字证书包含网络用户信息的一系列数据,用于在网络通讯中识别通讯各方的身份。如同我们每个人都要拥有一张证明个人身份证,以表明我们的真实身份或某种资格。有了数字证书后,便能在网上开展业务时,很方便地对各方身份进行验证。数字证书必须由具有权威性和公正性的第三方机构签发,这就是数字证书认证中心,简称CA,这是一个负责发放和管理数字证书的权威机构。常用的数字证书有三种:一是个人身份证书,用于标识证书持有人的身份与信息安全保护。二是企业身份证书,用于标识证书持有企业的身份与信息安全保护。三是服务器身份证书,用于标识证书持有服务器的身份,保证客户和服务器信息交换时,确保双方身份真实性、安全性和可信任性。
  
 

B1层 发表时间: 04-07-07 00:30

回复: ftpftp [ftpftp]   论坛用户   登录
实际上,CA就是一个发证机构,好比公安局,它发的身份证全国都认.
但是对于行业内网或企业网,技术上也可以建立自己的CA中心,只不过它发的数字证书只能在自己的网内使用,这就好比工作证了。



B2层 发表时间: 04-07-07 01:07

回复: ftpftp [ftpftp]   论坛用户   登录
公私密钥对可由RSA/DSA算法生成,网上有个免费的软件:GnuPG也可以生成密钥对。大家有空可以下下来自己试一试。
PKI技术最大的安全风险在于私钥的保管,一旦私钥泄露,原所有者的身份就可能被冒用。
私钥载体多采用:磁盘介质、u-key介质和智能卡介质。
其中:磁盘介质,复制较容易;U-key介质和智能卡介质相对复制较难。

(只是相对而已)对于CA发证机构是完全可以的,这就是为什么现在各省只设一个受国家直接控制的CA中心的原因了.但随之而言的必然就是行业垄断了。



[此贴被 TecZm是笨猪(ftpftp) 在 07月07日01时21分 编辑过]

B3层 发表时间: 04-07-07 01:15

回复: ftpftp [ftpftp]   论坛用户   登录
要实现应用系统和OS登录不用“用户名+口令”方式,而采用数字证书方式,需要对应用系统和OS作二次开发,其实就是替换原有的认证模块。
但由于我国PKI认证发展较晚,CSP接口函数较少,所以现在想要实现所有应用系统和OS的数字证书认证成本和技术都是达不到要求的。

对于B/S系统,CA认证现已经相对成熟,但C/S系统就有限得很了。

而OS登录认证现在还是用“用户名+口令”方式比较现实,而且权限管理上也比较成熟。


B4层 发表时间: 04-07-07 01:41

回复: ftpftp [ftpftp]   论坛用户   登录
数字证书还是非常有用的.比如招行的网上银行,交100大圆就可以得到一个存有你个人私钥的U-KEY,然后在你上网的机子上安装招行网上银行专业版,当登录账户时需插入U-key并键入开启U-key的PIN码,也就是静态口令,然后就会在你和网上银行服务器之间建立一条VPN, 即使黑客在你的机子上种了木马得到了你的PIN码,而且他同时得到你的U-KEY,否则你的账户就是安全的。

但是...这里面还是有安全漏洞的...至于是什么,下回分解。

B5层 发表时间: 04-07-07 01:54

回复: TecZm [teczm]   版主   登录
招行的数字认证就是所谓的行业证书,其根证书和各省CA中心根证书不同

B6层 发表时间: 04-07-07 02:56

回复: tuzi [tuzi]   版主   登录
我们可以自己架设一个WIN2000SE    做CA
2000sever 本身已经带了 这个功能
不过用的好象不多  用的PGP比较多

B7层 发表时间: 04-07-07 12:57

回复: TecZm [ftpftp]   论坛用户   登录
2K SERVER下有这个吗? 请告知在哪,谢谢!

B8层 发表时间: 04-07-08 22:51

回复: terry2004 [terrypang1]   论坛用户   登录
请问 如果电脑系统重装后,电脑上的ca证书是否会遗失???

B9层 发表时间: 04-07-09 09:44

回复: TecZm [ftpftp]   论坛用户   登录


B10层 发表时间: 04-07-09 10:57

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号