安全知識 全面認識驗證身份的數字證書

·數字證書應用全攻略——如何獲取數字證·什麼是數字證書·什麼是“數字證書”·數字證書應用全攻略——10個數字證書應·SSL和數字證書服務慨述（1）·SSL和數字證書服務概述·數字證書的基礎知識·數字證書應用全攻略——認識數字證書·SSL和數字證書服務慨述（2）·數字證書介紹

一、什麼是數字證書

數字證書就是互聯網通訊中標志通訊各方身份信息的一系列數據，提供了一種在Internet上驗證您身份的方式，其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構-----CA機構，又稱為證書授權(Certificate Authorit y)中心發行的，人們可以在網上用它來識別對方的身份。數字證書是一個經證書授權 中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一 個公開密鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括密鑰的有 效時間，發證機關(證書授權中心)的名稱，該證書的序列號等信息，證書的格式遵循 ITUT X.509國際標准。

一個標准的X.509數字證書包含以下一些內容：

證書的版本信息； 證書的序列號，每個證書都有一個唯一的證書序列號； 證書所使用的簽名算法； 證書的發行機構名稱，命名規則一般采用X.500格式； 證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049; 證書所有人的名稱，命名規則一般采用X.500格式； 證書所有人的公開密鑰； 證書發行者對證書的簽名。

二、為什麼要用數字證書

基於Internet網的電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲 得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買 方和賣方都必須對於在因特網上進行的一切金融交易運作都是真實可靠的，並且要使 顧客、商家和企業等交易各方都具有絕對的信心，因而因特網（Internet）電子商務 系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網絡安全的四大要 素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份 的確定性。

1、信息的保密性

交易中的商務信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能 被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機。因此在電子商務的信 息傳播中一般均有加密的要求。

2、交易者身份的確定性

網上交易的雙方很可能素昧平生，相隔千裡。要使交易成功首先要能確認對方的 身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺 詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。對於為顧客或用戶開展 服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動， 都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼 是不知道的，商店只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司 可以采用各種保密與識別方法，確認顧客的身份是否合法，同時還要防止發生拒付款 問題以及確認訂貨和訂貨收據信息等。

3、不可否認性

由於商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利 益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認 受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子 交易通信過程的各個環節都必須是不可否認的。

4、不可修改性

交易的文件是不可被修改的，，如上例所舉的訂購黃金。供貨單位在收到訂單後， 發現金價大幅上漲了，如其能改動文件內容，將訂購數1噸改為1克，則可大幅受益， 那麼訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以 保障交易的嚴肅和公正。

人們在感歎電子商務的巨大潛力的同時，不得不冷靜地思考，在人與人互不見面 的計算機互聯網上進行交易和作業時，怎麼才能保證交易的公正性和安全性，保證交 易雙方身份的真實性。國際上已經有比較成熟的安全解決方案， 那就是建立安全證書體系結構。數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要采 用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己的信息不能抵賴。

三、數字證書原理介紹

數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，為一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用 自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加 密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，然後由商戶用自己的私有密鑰 進行解密。

用戶也可以采用自己的私鑰對信息加以處理，由於密鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠確認以下兩點：

（1）保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。

（2）保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

數字簽名具體做法是:

（1）將報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證:只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。

（2）將該報文摘要值用發送者的私人密鑰加密，然後連同原報文一起發送給接收者，而產生的報文即稱數字簽名。

（3）接收方收到數字簽名後，用同樣的HASH算法對報文計算摘要值，然後與用發送者的公開密鑰進行解密解開的報文摘要值相比較。如相等則說明報文確實來自所稱的發送者。　

四、證書與證書授權中心

CA機構，又稱為證書授證(Certificate Authority)中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。它負責產生、分配並管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。

由此可見，建設證書授權（CA）中心，是山西省開拓和規范電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發並管理符合國內、國際安全電子 交易協議標准的電子商務安全證書。

五、數字證書的應用

數字證書可以應用於互聯網上的電子商務活動和電子政務活動，其應用范圍涉及需要身份認證及數據安全的各個行業，包括傳統的商業、制造業、流通業的網上交易，以及公共事業、金融服務業、工商稅務、海關、政府行政辦公、教育科研單位、保險、醫療等網上作業系統。