网络安全防范中,无论是数字时间戳服务(DTS)还是数字凭证(Digital ID)的发放,仅靠参与双方是不能圆满完成的,事实上必须需要有一个具有权威性和公正性的第三方(Third Party)来完成。认证中心CA(Certificatzon Authority)就是承担网络安全认证服务、签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的网络服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理,并依据认证实施条例CPS(Certification Practice Statement)实施服务操作。
主要认证中心
目前在全球处于领导地位的认证中心是美国的VeriSign公司。该公司创建于1995年4月,总部设在美国加州的Mountain View,它是全球软件行业第一家具有商业性质的证书授权机构,提供有顶尖的数字验证产品和认证服务,也是Microsoft等许多世界著名软件公司首选的数字凭证(数字标识、数字证书)提供商。该公司网址为http://www.verisign.com/,主页如图12.4所示。
图12.4 VeriSign公司的主页
VeriSign提供的认证服务主要包括:Internet信息服务器(IIS)和SSL的Internet Explorer浏览器的客户(Client)认证(也称“证书”)、Outlook Express电子函件系统的S/MIME认证以及允许银行进行128位加密的SGC认证,同时该公司还推出了针对WAP服务和WAP网关的认证服务。其认证服务的网址是http://digitalid.verisign. com/。
1999年初,我国开通了首家安全电子函件认证站点(http://secumail.263.net)。该站点是由263首都在线(http://www.263.net)和上海格尔软件有限公司合作推出的,能为电子函件的安全传输提供切实可靠的保证;同时,该站点的建成,结束了中国网络用户只能去国外站点申请网络身份证的历史。该站点采用当今世界上先进的加密算法,使任何一个获得该站点颁发的数字证书的用户都可以轻松地对自己使用的E-mail信箱进行加密处理,进而保护自己的通信安全。其网络安全认证系统,还通过了国家公安部的信息安全监测,保证了站点的合法性与权威性。
下面我们列出其他一些可以提供数字凭证认证服务的主要机构,供用户参考。这些认证中心均能提供VeriSign的认证服务。
其一,BankGate CA,其网址是http://www.bankgate. com/;其二,BelSign NV-SA,网址是http://www.belsign.be/;其三,GTE CyberTrust Solutions, Incorporated,网址是http://www.cybertrust.gte.com/;其四,KeyWitness Canada,网址是http://www.keywitness. ca/;其五,Thawte Consulting,网址是http://www.thawte.com/;其六,Entrust公司,网址是http://www.entrust.com/,等等。
WAP数字凭证的认证
前面提到,针对WAP安全的数字凭证由于需要在无线网络中传输,需要在具有有限资源的无线用户端进行处理,所以要求使用微型的数字凭证。目前,VeriSign公司为此专门提供了一种WTLS微型凭证来保证WAP服务和网关的安全。这种凭证是VeriSign公司和诸如Motorola、Nokia、Phone.com等WAP服务和网关提供商共同合作的结果,能为WAP/WTLS提供一揽子的认证解决方案。
电子商务应用需要有凭证的撤回功能,以便保证当服务器的凭证安全有危险或者失效时,用户能够得到判别信息,知道自己正在和一个不安全或非法的服务器进行事务处理,进而作出相应的对策和处理。VeriSign公司提供的上述解决方案就能方便地识别出那些数字凭证已经失效的服务器或来路不明的非法服务器,这一点对WAP用户来说绝对是一件可喜的事情。
然而,WAP服务器及网关的数字凭证是基于移动用户设备的应用环境的,就现有的资源和带宽,它不可能像在有线网络中那样,能在本地进行证书失效处理,那么,VeriSign是怎样实现这一点的呢?其实很简单,它为用户提供了一种短期的数字凭证(Short-life Mini-Certificate)服务,来保证凭证的撤消服务。首先,它为网关或者服务器先颁发一个长时间(比如一年)的有效数字凭证,然后在此基础上再发放一个新的短时间(比如24小时)的数字凭证,那么服务器或者网关就可以使用该短时间的数字凭证来与客户建立会话。如果凭证的所有者想撤回服务器或者网关的凭证,则只要简单地停止发放短期凭证就可以了。
除了支持WTLS服务器及网关,VeriSign的短期微型凭证服务也可以用来支持网关所支持的SSL功能和数字签名功能。用户也可以使用微型证书来验证签名的有效性,而无需附加的有效期检测。
主要认证中心
目前在全球处于领导地位的认证中心是美国的VeriSign公司。该公司创建于1995年4月,总部设在美国加州的Mountain View,它是全球软件行业第一家具有商业性质的证书授权机构,提供有顶尖的数字验证产品和认证服务,也是Microsoft等许多世界著名软件公司首选的数字凭证(数字标识、数字证书)提供商。该公司网址为http://www.verisign.com/,主页如图12.4所示。
图12.4 VeriSign公司的主页
VeriSign提供的认证服务主要包括:Internet信息服务器(IIS)和SSL的Internet Explorer浏览器的客户(Client)认证(也称“证书”)、Outlook Express电子函件系统的S/MIME认证以及允许银行进行128位加密的SGC认证,同时该公司还推出了针对WAP服务和WAP网关的认证服务。其认证服务的网址是http://digitalid.verisign. com/。
1999年初,我国开通了首家安全电子函件认证站点(http://secumail.263.net)。该站点是由263首都在线(http://www.263.net)和上海格尔软件有限公司合作推出的,能为电子函件的安全传输提供切实可靠的保证;同时,该站点的建成,结束了中国网络用户只能去国外站点申请网络身份证的历史。该站点采用当今世界上先进的加密算法,使任何一个获得该站点颁发的数字证书的用户都可以轻松地对自己使用的E-mail信箱进行加密处理,进而保护自己的通信安全。其网络安全认证系统,还通过了国家公安部的信息安全监测,保证了站点的合法性与权威性。
下面我们列出其他一些可以提供数字凭证认证服务的主要机构,供用户参考。这些认证中心均能提供VeriSign的认证服务。
其一,BankGate CA,其网址是http://www.bankgate. com/;其二,BelSign NV-SA,网址是http://www.belsign.be/;其三,GTE CyberTrust Solutions, Incorporated,网址是http://www.cybertrust.gte.com/;其四,KeyWitness Canada,网址是http://www.keywitness. ca/;其五,Thawte Consulting,网址是http://www.thawte.com/;其六,Entrust公司,网址是http://www.entrust.com/,等等。
WAP数字凭证的认证
前面提到,针对WAP安全的数字凭证由于需要在无线网络中传输,需要在具有有限资源的无线用户端进行处理,所以要求使用微型的数字凭证。目前,VeriSign公司为此专门提供了一种WTLS微型凭证来保证WAP服务和网关的安全。这种凭证是VeriSign公司和诸如Motorola、Nokia、Phone.com等WAP服务和网关提供商共同合作的结果,能为WAP/WTLS提供一揽子的认证解决方案。
电子商务应用需要有凭证的撤回功能,以便保证当服务器的凭证安全有危险或者失效时,用户能够得到判别信息,知道自己正在和一个不安全或非法的服务器进行事务处理,进而作出相应的对策和处理。VeriSign公司提供的上述解决方案就能方便地识别出那些数字凭证已经失效的服务器或来路不明的非法服务器,这一点对WAP用户来说绝对是一件可喜的事情。
然而,WAP服务器及网关的数字凭证是基于移动用户设备的应用环境的,就现有的资源和带宽,它不可能像在有线网络中那样,能在本地进行证书失效处理,那么,VeriSign是怎样实现这一点的呢?其实很简单,它为用户提供了一种短期的数字凭证(Short-life Mini-Certificate)服务,来保证凭证的撤消服务。首先,它为网关或者服务器先颁发一个长时间(比如一年)的有效数字凭证,然后在此基础上再发放一个新的短时间(比如24小时)的数字凭证,那么服务器或者网关就可以使用该短时间的数字凭证来与客户建立会话。如果凭证的所有者想撤回服务器或者网关的凭证,则只要简单地停止发放短期凭证就可以了。
除了支持WTLS服务器及网关,VeriSign的短期微型凭证服务也可以用来支持网关所支持的SSL功能和数字签名功能。用户也可以使用微型证书来验证签名的有效性,而无需附加的有效期检测。