搜索
专业术语索引(按汉语拼音为序)A安全电子邮件证书符合安全电子邮件规范,可以用于邮件加密和签名使用的数字证书。证书有效期为3年。安全套接字层协议(SecuritySocketsLayer,SSL)安全套接字层(SSL)是一个工业标准协议,对应于七层网络模型中的会话层,它使得公开密钥技术在其中发挥了重要作用。SSL在企业内部网和公共Internet上广泛运用,被许多厂商的客户机/服务器所支持。B↑本地注册中心(LocalRegistrationAuthority,LRA)是RA的下级注册审批机构和证书申请受理点,用户要到LRA去申请本人的数字证书。不可否认性又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。在互联网电子环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。C↑D↑《电子认证服务管理办法》《电子认证服务管理办法》于2005年1月28日中华人民共和国信息产业部第十二次部务会议审议通过并发布,自2005年4月1日起施行。共计八章四十三条,信息产业部为了配合《中华人民共和国电子签名法》的发布和实施,制定出的用以规范电子认证服务行为、监管电子认证服务的行政法规。该法明确了电子认证服务机构的资质要求、应提供的服务及应履行的义务,数字证书所包含的内容、认证机构终止服务后的业务承接方式、国家监管部门对认证机构的监管措施等等。它对《中华人民共和国电子签名法》的相关内容进行了细化,对其落实和执行起到了良性的推进作用,为我国电子认证服务机构(CA),尤其是第三方CA的健康发展提供了更好的保障。具体参见《电子认证服务管理办法》。DirectServer和DirectClientCFCA从加拿大Entrust公司引进了一套基于Web的应用程序,其商品名称是EntrustDirect。这套软件能够让用户利用标准的Web浏览器去和要访问的Web网站的服务器进行安全的连接。这套软件由两个主要组件--DirectServer和DirectClient组成。DirectClient是Web浏览器的本地安全代理(Proxy),它可以即插即用地安装在用户的PC中;DirectServer是网站Web服务器的安全代理,它安装在Web服务器中,一般在防火墙的后面工作。这两个安全代理软件通过交谈建立起一个安全会话,使得在服务器与浏览器之间能够彼此安全地传输数据。在这个过程中要用到数字证书认证、数字签名和加密通信等多种安全技术。DirectServer证书基于可管理的PKI体系,用于WebServer端的验证、数字签名以及建立安全会话通道等,保护服务器的信息安全。DirectServer证书主要用于企业从事B2B交易时对WebServer的保护使用。证书有效期为3年。E↑F↑G↑高级证书基于CFCA特有的可管理的PKI体系,包含双密钥和双证书,支持加密和签名采用不同密钥对,适用于企业(个人)进行金额较大的网上交易,安全级别高,功能强。公钥和私钥根据非对称密码学的原理,每个数字证书持有人都持有一对密钥,即公钥(PublicKey)和私钥(PrivateKey),公钥与私钥作数据的互为加解密使用。公钥通常以数字证书的形式公开发布。私钥由证书持有者在本地生成,只能由证书持有者秘密掌握,证书持有者应当妥善保管并注意保密,不能在网上传输。公钥和私钥的用途体现在两方面:1、在数字签名操作中,发送方用私钥对待发送信息进行签名,接收方用发送方公钥来验证签名;2、在数据加密操作中,发送方用接收方的公钥进行加密,接收方用自己的私钥进行解密。公钥基础设施(PublicKeyInfrastructure,PKI)利用公钥加密技术为电子商务的开展提供的一套安全基础平台。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,提供互联网环境的身份鉴别、信息加解密、数据完整性和不可否认性服务。H↑哈希(Hash)函数哈希函数也被译作散列函数或杂凑函数。这种函数是将任意长度的输入数字串,映射成一个较短的定长的输出数字串。这种输出字符串也被称为数字摘要或数字指纹。哈希函数有如下特点:输入数字串与输出数字串具有唯一的对应关系;输入数字串中任何变化会导致输出数字串也发生变化;从输出数字串不能够反求出输入数字串。哈希函数算法有多种,它受到广泛的应用,在信息安全领域,它是实现数字签名和认证的重要工具。I↑J↑加密/解密(Encryption/Decryption)加密是通过数学变换将明文转变成密文的过程,也就是对明文进行各种伪装从而使其真实内容完全隐藏的过程。加密的方法很多,主要是通过数学运算、位移、替换等方法来实现。解密是加密的逆过程,通过数学的方法将密文还原成明文。在加密解密过程中要使用密钥,只有密钥的持有人才能解密,恢复数据的原貌,从而保证了信息传输过程中的保密性。K↑L↑M↑N↑O↑P↑普通证书基于CFCA的基本PKI体系,包含单密钥对和单证书。可以和主流浏览器无缝集成使用提供安全服务。Q↑签名/验证签名在进行数字签名过程中,发信者使用自己的私钥,通过非对称密码算法,对待发数据的数字摘要(哈希值)进行加密,从而得到一段信息称为数字签名(Sign)。这就是签名的过程;收信者收到附有数字签名的信息后,用发信者的公钥对数字签名信息进行解密,得到一段明文信息,即所接收信息的数字摘要H。与此同时,收信者还要对收到的数据也做一次哈希运算,得到一个哈希值H',然后他将H和H'进行比对,如果两者相同,验证签名即获通过;如果两者不相同,则验证不通过。这就是验证签名的过程。数字签名不限制在通讯使用,本地离线的签名和验证也完全可行,道理和过程相似。轻量级目录访问协议(LightweightDirectoryAccessProtocol,LDAP)LDAP是一种可让任何人找到网络中的组织,个人或档案或装置等其它资源的一种软件协议,不论是公共互联网或企业内网络都可以使用此协议。顾名思义,LDAP是轻量级(程序代码较少smalleramountofcode)版本的DAP(DirectoryAccessProtocol),DAP是网络目录服务标准X.500的一部分。LDAP因不包含安全措施而使程序代码比较少。CA认证中心的证书目录服务系统使用这个协议。R↑认证机构(CertificationAuthority,CA)是采用公开密钥基础技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构。通常又叫做数字证书认证中心。S↑身份认证(Authentication)通常用以表示鉴别通讯双方的合法身份。时间戳又称数字时间戳,是由第三方提供的一种对可信时间标记的服务,通过该服务获得的时间戳数据可以用来证明在某一时刻数据已经存在。数字签名配合时间戳服务,能更好地支持数据的抗抵赖。数据的完整性数据的完整性是指数据在传输过程中不被非法篡改。数字签名签名者使用自己的私钥,通过非对称密码算法,对待签名数据的数字摘要(哈希值)进行加密,得到的输出结果一段信息称为数字签名。这段信息附在签名数据后面一起传送给接收方,接收方可以用发信者的公钥对其进行验证,以判别真伪和数据是否完整。数字签名类似现实中的签名和印章,经过数字签名的信息具有不可否认性的支持。如果签名数据很短,也可以不做哈希运算,直接用私钥对签名数据加密而完成数字签名行为。数字信封所谓数字信封就是信息发送端用接收端的公钥,将一个对称通信密钥进行加密,形成的数据称为数字信封。此数字信封传送给接收端,只有指定的接收方才能用自己的私钥打开数字信封,获取该对称密钥,于是,接收方可以用以解读传送来的密码通信信息。这就好比在生活中,将一把钥匙装在信封中,邮寄给对方,对方收到信件后,将钥匙取出,用它打开保险箱的道理一样。数字证书(Certificate)是一个经过权威的、可信赖的、公正的第三方机构,即认证中心(CA)数字签名的包含拥有者信息以及公开密钥的文件。T↑U↑V↑VPN证书用于虚拟专用网的证书,解决了远程接入、分支机构和广域网的连接等应用对身份认证、信息完整性、私密性的安全需求。证书有效期为3年。W↑网上银行又叫做网络银行、在线银行,指通过互联网将用户的电脑终端与银行网站连接起来,在网络上实现查询、支付、转帐等各种银行服务。WAP证书支持无线应用协议(WAP)的证书,通过无线应用协议与公钥基础设施的结合实现可信赖的移动商务。证书有效期为1年。WEB站点证书即WEB站点服务器专用证书,是CFCA发放的证书品种之一。网上用户在访问Web网站时可以通过WEB站点证书取得用户对该网站的信任,并可以用以建立SSL安全通信。证书有效期为2年。唯一甄别名(DistinguishedName,DN)在数字证书的主体名称域中,用来唯一标识证书用户的名称,体现用户的唯一性。例如可以用户名、证书类型、RA名称、CA名称以及国家名称等的一定规则的组合作为DN来标识一位证书用户。X↑Y↑Z↑在线证书状态协议(OnlineCertificateStatusProtocol,OCSP)这是Internet工作任务组(IETF)颁布的用于检查数字证书在某一交易时间是否有效的标准。CA认证中心在提供证书状态的实时查询时要用到这个协议。当用户试图访问CA的证书查询服务器时,在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个有效、过期或未知的响应。协议规定了服务器和客户端应用程序的通信语法。证书操作声明(CertificatepracticeStatement,CPS)又叫做电子认证业务规则,按照《中华人民共和国电子签名法》的规定,CA应当制定并公布自己的电子认证业务规则,规则中包括CA的责任范围、作业操作规范、信息安全保障措施等事项。证书吊销列表(CertificateRevocationList,CRL)是一种包含吊销的证书列表的签名数据结构。CRL是证书吊销状态的公布形式,CRL就像信用卡的黑名单,它通知其他证书订户某些电子证书不再有效。中国金融认证中心(ChinaFinancialCertificationAuthority)中国金融认证中心(ChinaFinancialCertificationAuthority,英文简称CFCA)于2000年6月29日正式挂牌成立,是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全认证机构,是重要的国家金融信息安全基础设施之一,也是《中华人民共和国电子签名法》颁布后,国内首批获得电子认证服务许可的CA之一。CFCA作为权威、公正的第三方安全认证机构,通过发放数字证书为网上银行、电子商务、电子政务提供安全认证服务:确保网上信息传递双方身份的真实性、信息的保密性和完整性、以及网上交易的不可否认性。《中华人民共和国电子签名法》《中华人民共和国电子签名法》于2004年8月28日第十届全国人民代表大会常务委员会第十一次会议审议并通过,自2005年4月1日起施行。共计五章三十六条。该法通过确立电子签名的法律效力、规范电子签名行为、维护有关各方合法权益,在法律制度上保障了电子交易安全。它是我国信息化领域的首部法律,为我国电子商务发展提供了法律保障,同时也为电子认证服务业、电子商务安全认证体系和网络信任体系的建立奠定了基础。不仅顺应了经济全球化和全球信息化的时代潮流,而且也符合了我国信息化战略的发展要求。具体参见《中华人民共和国电子签名法》。注册机构(RegistrationAuthority,RA)为用户办理证书申请、身份审核、证书下载、密钥更新、证书吊销以及密钥恢复等业务的办事机构或业务受理点。但是RA并不签发证书。也叫证书审核注册中心。