數字證書
證明在計算機網路上驗證網路用戶身份的文件
數字證書是指CA機構發行的一種電子文檔,是一串能夠表明網路用戶身份信息的數字,提供了一種在計算機網路上驗證網路用戶身份的方式,因此數字證書又稱為數字標識。數字證書對網路用戶在計算機網路交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。
數字證書這一名詞並非是我國原有,而是來自於英文digital certificate的翻譯。數字證書從本質上來說是一種電子文檔,是由電子商務認證中心(以下簡稱為CA中心)所頒發的一種較為權威與公正的證書,對電子商務活動有重要影響,例如我們在各種電子商務平台進行購物消費時,必須要在電腦上安裝數字證書來確保資金的安全性。
CA中心採用的是以數字加密技術為核心的數字證書認證技術,通過數字證書,CA中心可以對網際網路上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理,同時也能保障在數字傳輸的過程中不被不法分子所侵入,或者即使受到侵入也無法查看其中的內容。如果用戶在電子商務的活動過程中安裝了數字證書,那麼即使其賬戶或者密碼等個人信息被盜取,其賬戶中的信息與資金安全仍然能得到有效的保障。數字證書就相當於社會中的身份證,用戶在進行電子商務活動時可以通過數字證書來證明自己的身份,並識別對方的身份,在數字證書的應用過程中CA中心具有關鍵性的作用,作為第三方機構,必須要保證其具有一定的權威性與公平性,當前階段我國的CA中心的從業資格是由國家工業與信息化部所頒發,全國範圍內只有約30家企業具有數字認證的從業資格。
數字證書的基本架構是公開密鑰PKI,即利用一對密鑰實施加密和解密。其中密鑰包括私鑰和公鑰,私鑰主要用於簽名和解密,由用戶自定義,只有用戶自己知道;公鑰用於簽名驗證和加密,可被多個用戶共享。
數字證書的基本工作原理主要體現在:
第一,發送方在發送信息前,需先與接收方聯繫,同時利用公鑰加密信息,信息在進行傳輸的過程當中一直是處密文狀態,包括接收方接收后也是加密的,確保了信息傳輸的單一性,若信息被竊取或截取,也必須利用接收方的公鑰才可解讀數據,而無法更改數據,這也有利保障信息的完整性和安全性。
第二,數字證書的數據簽名類似於加密過程,數據在實施加密后,只有接收方才可打開或更改數據信息,並加上自己的簽名后再傳輸至發送方,而接收方的公鑰具唯性和私密性,這也保證了簽名的真實性和可靠性,進而保障信息的安全性。
數字證書有很多格式版本,主要有X.509v3(1997)、X509v4(1997)、X.509v1(1988)等。比較常用的版本是TUTrec.x.509V3,由國際電信聯盟制定,內容包括證書序列號、證書有效期和公開密鑰等信息。不論是哪一個版本的數字證書,只要獲得數字證書,用戶就可以將其應用於網路安全中。
數字證書主要具以下三方面特徵:
第一,安全性。用戶申請證書時會有兩份不同證書,分別用於工作電腦以及用於驗證用戶的信息交互,若所使用電腦不同,用戶就需重新獲取用於驗證用戶所使用電腦的證書,而無法進行備份,這樣即使他人竊取了證書,也無法獲取用戶的賬戶信息,保障了賬戶信息。
第二,唯一性。數字證書依用戶身份不同給予其相應的訪問許可權,若換電腦進行賬戶登錄,而用戶無證書備份,其是無法實施操作的,只能查看賬戶信息,數字證書就猶如“鑰匙”一般,所謂“一把鑰匙只能開一把鎖”,就是其唯一性的體現。
第三,便利性。用戶可即時申請、開通並使用數字證書,且可依用戶需求選擇相應的數字證書保障技術。用戶不需要掌握加密技術或原理,就能夠直接通過數字證書來進行安全防護,十分便捷高效。數字證書是由CA中心所簽發的,CA中心是一個具權威性、依賴度極高的第三方,其資格證書經國家頒發,可有效保障網路數據信息的安全性,使數據信息處國家掌握當中。用戶在瀏覽網路數據信息或進行網上交易時,利用數字證書可保障信息傳輸及交易的安全性。
用戶需先於中國數字證書認證網進行登錄,若是首次登錄,系統會自動提示用戶安裝根證書,用戶只需依提示完成安裝即可;若未提示或根證書遺失,則需用戶手動操作完成安裝,這時,就需用戶於數字證書網頁選擇“根CA證書”進行安裝,依所彈出的對話框所選擇要安裝的文件夾位置,點擊確定即可。下載好之後,即可雙擊打開,選擇所要安裝的位置即可;安裝成功后,可於瀏覽器中直接選擇Internet,然後選擇所需內容,依提示完成所有操作。
數字證書的頒發即是用戶對自己密鑰和公鑰以及自身身體信息傳輸至驗證中心進行驗證的過程,驗證中心在經核對后,即會給申請者發送相應的數字證書。所改善的數字證書當中包含了用戶基本信息及公鑰信息,部分還會附上經認證中心簽名的相關信息。在獲得數字證書後,用戶即可利用數字證書實施一些自己想要實施的活動。但每個數字證書都是不同的,且每個證書的可信度也存在一定差異,因此,申請者所獲得的數字證書都是唯一的。
1、安全電子郵件
電子郵件中使用數字證書可以建構安全電子郵件證書,主要用戶加密電子郵件的傳輸,保護電子郵件在傳輸和接收過程中的安全。安全電子郵件證書主要有證書持有者的CA機構的簽名、電子郵件地址和公開密鑰這些信息。一方面,數字證書與電子郵件結合后,就可以在安全電子郵件證書的加密和數字簽名技術的保護下,實現電子郵件的安全傳輸和接收,保證了電子郵件的安全性和完整度。同時,也保證了電子郵件傳輸方和接收方信息的真實性。另一方面,安全電子郵件證書中包括公開密鑰這一信息,就能夠確保電子郵件不被更改,因為只有知道公開密鑰才能使用電子郵件。
2、安全終端保護
隨著計算機網路技術的發展,電子商務的發展也越來越快,在人們生活和生產中的應用也越來越廣泛,用戶終端和數據的安全問題也日益受到重視。為了避免終端數據信息的損壞或者是泄露,數字證書作為一種加密技術,可以用於終端的保護。
首先,使用正版的軟體和硬體,正確配置系統和網路並定期進行檢查,防止終端配置被非法篡改。其次,利用網路安全技術如防火牆對內外網路進行實質性的隔離。同時,及時更新病毒庫和防病毒軟體,對終端系統實時進行病毒和安全漏洞的掃描,加強對終端系統的安全保護。一旦發現可疑信息,就要立即重點監控,防止其帶來的影響和破壞。最後,加強訪問終端的控制,利用加密和認證等手段加強信息破解的難度。用戶可以設置一個以數字證書為主的系統登錄方式,加上動態加密,就可以實現對系統的驗證,沒有許可權的用戶就無法進入終端系統的訪問,擁有許可權的用戶就符合了訪問的要求,保證了訪問終端的一致性。另外還要做到終端網路和主網路的分離,減少兩者之間的數據交叉和結合,也避免了終端網路和主網路的相互影響,減少風險。
3、代碼簽名保護
網路信息推廣對很多用戶來說,便捷有經濟,但對軟體的安全是不確定的。比如,用戶對軟體進行分享時,軟體的接收和使用過程中存在著很多不安全因素,即使軟體供應商能夠保證軟體自身的安全性,但也無法抵制盜版軟體和網路本身存在的不安全因素帶來的不利影響。
4、可信網站服務
我國網站的數量伴隨著計算機網路技術的發展呈現出日益增長的趨勢,其中的惡意網站、釣魚網站和假冒網站也越來越多,這就增加了用戶對它們識別的難度,一不小心就會將自身的數據信息泄漏,嚴重影響了網路的安全。當用戶對所使用的網站存在疑慮,不確定其中是否有被篡改和侵襲時,就可以利用數字證書的技術。通過數字證書技術,就可以對不確定的網站先進行驗證和檢查,增加了使用安全網站的機率,也避免了惡意網站、釣魚網站和假冒網站等對網路造成的損失。
5、身份授權管理
授權管理系統是信息系統安全的重要內容,對用戶和程序提供相對應的授權服務,授權訪問和應用的方法,而數字證書必須通過計算機網路的身份授權管理后才能被應用。因此,要保證身份授權管理工具的安全性。當系統雙方相互認同時,身份授權系統的工作才能展開。同時,正確使用數字證書,適當授權,完成系統的用戶認證,才能切實保護身份授權管理系統的安全性。