凭证签发更新与终止.ppt

第四章數位憑證技術 摘要 本章介紹網路上的身份識別方式與數位憑證相關的技術標準，讓讀者瞭解電子交易中身份確認的重要性，並說明在網際網路上如何利用數位憑證來達到身份驗證的目的，以及憑證管理中心的主要功能。 目錄 4.1　身份識別與電子交易 4.2　數位憑證 4.3　CA相關的技術規範 4.4　金鑰託管加密系統 4.1　身份識別與電子交易 想要藉由電腦網路進行電子交易，雙方在交易前必需先確認對方身份，再進行數位訂單的簽署與電子付款，才能確保電子交易的安全。因此，需要有嚴謹的身份驗證技術，才能進行安全的電子交易。本節將說明如何使用第三章所介紹的公開金鑰加密法及數位簽章技術來進行使用者認證（Certificate）。 4.1.1　公開金鑰加密法 利用一般的公開密碼技術即可做到身份的識別，然而在公眾網路上進行電子交易時，除了要先驗證對方身份之外，尚需要確保交易過程中資料的隱密性（Confidentiality）。 （a）送方身份可驗證但交易資料無法保密 （b）交易資料可保密但無法驗證送方身份 （c）可驗證送方身份並且保密交易資料 4.1.2　數位簽章與憑證 4.1.2.1　訊息摘要與單向赫序函數 訊息摘要的概念源自於傳統資料傳輸時為避免因雜訊或網路交通不穩定而造成資料錯誤，資料傳送前先計算一檢查總和（Check Sum），再將此檢查總和與資料一起傳送，而收到資料後再計算一次檢查總和，以核對資料是否相同。 4.1.2.2　數位簽章技術的應用 為了確保送方與收方彼此不被對方欺騙，我們可以利用數位簽章技術來達到不可否認性。送方在計算出訊息摘要之後，可先用本身的密鑰對訊息摘要加密後（送方簽章過）再傳遞給收方，而收方則利用送方的公鑰解密，取得摘要所對應的明文，再進行訊息驗證 4.1.2.3　使用者憑證 在網際網路上使用者若要第三者相信某一公鑰的確是他個人所有，必須先取得公鑰的數位憑證，以便進行可信賴的通訊。 假設Bob與Bill進行通訊，Bob為發送端，而Bill是接收端。Bob先向CA申請公鑰的數位憑證，以便通訊時取得Bill的信任，接著Bob將憑證傳送給Bill表明其身份，讓Bill相信接收到的「Bob公鑰」確實是Bob所有，其步驟如下： 步驟一：Bob向CA提出憑證申請的請求，並將個人的識別相關資料與公鑰傳送給CA。 步驟二：CA查核Bob的識別資料，若確定無誤則產生數位憑證。CA利用單向赫序函數將Bob的識別資料轉換成訊息摘要，接著再用它的密鑰對此摘要加密（簽章），並將加密過的訊息摘要附加於憑證。 步驟三：CA計算好的數位憑證傳送給Bob。Bob在收到憑證之後，可用CA的公鑰對加密的訊息摘要解密，以驗證此憑證確實是CA所簽署與傳送的，並且將憑證妥善儲存。 步驟四：Bob將數位憑證傳送給Bill以表明身份。 可信賴的第三者(CA)使用者伺服器?請求憑證 (身份資料和地址 等)?數位憑證?送出憑證表明身份?驗證憑證 ?產生數位憑證 (數位簽章技術) 步驟五：如同步驟三，Bill用CA的公鑰驗證Bob的數位憑證，檢驗此份憑證是否為CA發給Bob的，以證實Bob的身份。 4.2.2　憑證的撤銷（Revocation） 為了避免憑證被偽造破壞，需要有一撤銷憑證的管理方法，通常未到期的憑證在下列情況下可能被CA撤銷： 用戶的密鑰遺失或被破解，需更改密鑰與公鑰。 CA發現簽發的憑證發給錯誤的用戶或個體。 用戶不再使用此CA所提供的認証服務；或者此憑證不允許存取某一新增的特定服務。 CA的密鑰被竊或被破解，需更改密鑰與公鑰。 4.2.3　CA的主要功能 一、憑證簽發、更新與終止：CA負責憑證的核准與簽發，以及（過期）憑證的更新與終止用戶的憑證。 二、憑證保存：CA必須完整記錄所有的有效憑證、過期憑證與終止憑證的清單，並提供有關憑證變動的相關資料給用戶。糾紛仲裁單位過期憑證終止清單有效憑證認證中心CA使用者使用者?憑證提供?憑證簽發、更新與終止?憑證查詢與分送?憑證保存電子交易 三、憑證查詢與分送：回應用戶對於其他用戶憑證資料的查詢，並分送憑證管理的相關資料給用戶。 四、憑證提供：當發生交易糾紛時，提供用戶憑證的相關資料給仲裁單位。 4.2.4　CA的憑證種類 一、認證機構憑證：認證機構本身的憑證，包含CA的公鑰與名稱或CA特定服務的名稱。這類的憑證可由CA彼此之間互相簽署，或者CA本身自己簽署（Self-signed Certificate），對外聲稱「這真的是我的公鑰，可信賴我」，當然此CA必須具備相當高的公信力，才能取信於用戶。 二、伺服器憑證：每一個SSL伺服器都必須要有一份憑證，當Web瀏覽器使用SSL協定連接到Web伺服器時，伺服