現在,網絡欺詐事件層出不窮,通過網絡交易損失上萬元,或者影響個人職業生涯的案例,早已在國內發生了。比如曾經有9位通過網絡炒股的股民在“銀廣夏”復牌“跳水”時期,被莫名其妙地盜賣而後又盜買了大量股票,總損失超過12萬元!也就是說,如果要冒充股民實施盜買盜賣,只需要知道他們的密碼就可以。再比如,北京某高校一女生,歷盡千辛萬苦,考上了美國一家著名大學,並收到了錄取通知書,不料,她的一個同學竟然冒她之名,向對方學校發送了一封“放棄入學”的Email,等她發現,對方的錄取工作已經結束,留學之路嚴重受挫!類似的事件還有很多,我們發現,通過密碼或其他手段來冒充時,這些事件都可能會成立,於是,人們在網絡上的身份安全問題接踵而來。 實際上,通過使用數字證書,這些損失是完全可以避免的。在招商銀行申請專業個人銀行的時候,很多朋友都接觸了數字證書。作為一種比較成熟的安全產品,數字證書已經發展到一個較高的技術水平,而且它將在我們將來的網絡生活中發揮越來越重要的作用。那麼,數字證書能做什麼呢?它和網絡安全到底有什麼關系呢?如何使用數字證書來進行一些具體的操作呢?本文將通過詳細而生動的演示,讓讀者輕松擁有免費數字證書,同時,針對數字證書的具體應用如利用數字證書對郵件和word文檔的簽名、加密等,讓讀者對數字證書的操作有一個比較全面和直觀的認識。 一、揭開數字證書的神秘面紗 1. 什麼是數字證書 數字證書稱為數字標識 (Digital Certificate ,Digital ID)。它提供了一種在 Internet 上身份驗證的方式,是用來標志和證明網絡通信雙方身份的數字信息文件,與司機駕照或日常生活中的身份證相似。數字證書它是由一個由權威機構即CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在交往中用它來識別對方的身份。在網上進行電子商務活動時,交易雙方需要使用數字證書來表明自己的身份,並使用數字證書來進行有關交易操作。通俗地講,數字證書就是個人或單位在 Internet上的身份證。 比較專業的數字證書定義是,數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等信息,證書的格式遵循相關國際標准。有了數字證書,我們在網絡上就可以暢通無阻。如圖1是一個數字證書在網絡應用中的原理圖。 圖 1 為什麼需要數字證書呢?如本文開頭所舉的例子,由於Internet網電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須對於在因特網上進行的一切金融交易運作都是真實可靠的,並且要使顧客、商家和企業等交易各方都具有絕對的信心,因而網絡電子商務系統必須保證具有十分可靠的安全保密技術,也就是說,必須保證網絡安全的四大要素,即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的確定性。 2. 獲得及安裝免費數字證書 通過使用免費數字證書,我們可以了解專業數字證書的相關技術。獲得免費數字證書的方法有很多,目前國內有很多CA中心提供試用型數字證書,其申請過程在網上即時完成,並可以免費使用。下面提供一個比較好的站點,申請地址為https://testca.netca.net/。登陸後,點擊“證書申請”,選擇“試用型個人數字證書申請”,特別強調,注意只有安裝了根證書(證書鏈)的計算機,才能完成後面的申請步驟和正常使用讀者在CA中心申請的數字證書。 按照提示,通過地址https://testca.netca.net/download/GetRootCertificateIndi.asp選擇“安裝試用CA證書鏈”。安裝成功出現提示框後,可以看到一個表單。 按照表單上的提示,輸入完整的個人資料。選擇加密服務提供程序(Cryptographic Service Provider,,CSP),其中,CSP 負責創建密鑰、吊銷密鑰,以及使用密鑰執行各種加、解密操作。每個 CSP 都提供了不同的實現方式。某些提供了更強大的加密算法,而另一些則包含硬件組件,例如智能 IC 卡或 USB 電子令牌。 當讀者使用特別的數字證書存儲介質(如:智能 IC 卡或 USB 電子令牌)存儲數字證書及其相應的私有密鑰時,可以在“加密服務提供程序(CSP)”下拉框中選擇該存儲介質生產廠商提供的CSP。我們可以選擇“Microsoft Base Cryptagraphic Provider V1.0”。 補充信息可以選填:有效證件類型,證件號碼,讀者的出生日期,讀者的性別, 讀者的住址,通信地址,通信所在地郵政編碼,聯系電話,傳真號碼,存儲介質等。然後點擊按鈕提交。 下載證書。進行上述步驟後,系統將發一封申請成功的信件到讀者申請時使用的郵箱內,其中包括業務受理號和密碼, 數字證書下載的地址。點擊數字證書下載地址,填寫業務受理號和密碼。 提交後,可以得到如圖2所示的信息。 圖 2 然後點擊下方的“安裝證書”按鈕,當系統提示“證書成功下載”和“證書已成功裝入應用程序中”後,表明讀者的證書已經成功安裝。 3. 在IE中查看數字證書 現在很多讀者朋友可能要問了,數字證書在哪裡呢?其實,微軟的IE浏覽器自帶一個數字證書管理器,通過這個管理器我們可以查看數字證書。 首先在打開Internet Explorer,在Internet Explorer的菜單上,單擊 “工具”菜單中的 “Internet選項”。選取“內容”選項卡,點擊“證書”按鈕來查看讀者信任的當前證書的列表。
點擊“個人”選項卡可以查看讀者已經申請的個人數字證書;下面是申請的免費數字證書,讀者朋友可以參考。如圖3所示。 圖 3 選定讀者要查看的個人數字證書,然後單擊 “查看” 按鈕,可以查看證書的詳細信息。如圖4是一個數字證書的詳細信息列表。 圖 4 下面就是在證書中所包含的元素的列表,讀者朋友可以根據自己的體會進行理解。 版本:它用來區別X.509的各種連續的版本。默認值是1988版本。 序列號:序列號是一個整數值,在發行的證書頒發機構中是唯一的。序列號與證書有明確聯系,就像身份證號碼和公民日常登記有明確聯系一樣。 算法識別符:算法識別符識別證書頒發機構用來簽署證書的算法。證書頒發機構使用它的私鑰對每個證書進行簽名。 發行者或證書頒發機構:證書頒發機構是創建這個證書的機構。 有效期:提供證書有效的起止日期,類似於信用卡的期限。 主體:證書對他的身份進行驗證。 公鑰信息:為證書識別的主體提供公鑰和算法識別符。 簽名:證書簽名覆蓋了證書的所有其他字段。簽名是其他字段的哈希代碼,使用證書頒發機構的私鑰進行加密,保證整個證書中信息的完整性。如果有人使用了證書頒發機構的公鑰來解密這個哈希代碼,同時計算了證書的哈希代碼,而兩者並不相同,那麼證書的某一部分就肯定被非法更改了。 有了數字證書以後,我們可以進行發送安全的電子郵件,實現網上郵件的加密和簽名電子郵件,它還可以應用於公眾網絡上的商務活動和行政作業活動,應用范圍涉及需要身份認證及數據安全的各個行業,如訪問安全站點、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上辦公、網上繳費、網上繳稅、網上購物等網上的安全電子事務處理和安全電子交易活動等。隨著電子商務和電子政務的不斷發展,數字證書的頒發機構CA中心將作為一種基礎設施為電子商務的發展提供可靠的保障。所以,網絡發展的越快,人們對網絡安全的要求也越來越高,了解數字證書並學會一些數字證書的操作將有利於我們更加安全的在網上沖浪。 二、電子郵件與數字證書 安全電子郵件證書中包含證書持有者的電子郵件地址、公鑰及CA中心的簽名。使用安全電子郵件證書可以收發加密和數字簽名郵件,保證電子郵件傳輸中的機密性、完整性和不可否認性,確保電子郵件通信各方身份的真實性。證書可以存貯在硬盤、USB中。安全電子郵件利用公鑰算法保證你的簽名郵件不會被篡改,而你的加密郵件除了郵件接收者以外(甚至你自己)的任何人無法閱讀其中的內容。需要注意的是,證書中的郵件地址必須同綁定的郵件帳號一致。這樣就可以對自己的郵件簽名和加密了。 下面,通過一個存儲在硬盤中的數字證書進行相關操作的演示。 1. 在Outlook Express中設定郵件 首先,打開Outlook Express,然後選擇菜單中的“工具”菜單中的“帳戶”選項,出現“Internet帳戶”對話框,我們點擊右邊的“添加”按鈕,選擇“郵件”選項,如圖5所示。 圖 5 輸入讀者的郵件顯示姓名,如“彭文波”;點擊“下一步” ,輸入讀者的電子郵件地址(如[email protected]);點擊“下一步” ,系統讓讀者分別輸入接收郵件服務器和發送郵件服務器的域名或IP地址,如本例為:163.net,smtp.163.net;關於163的郵件設置,我們可以參考 的站點郵件設置幫助文件。如圖6所示。<