数字证书介绍

数字证书介绍

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书又称为数字标识（Digital Certificate，Digital Identity），标识某一主体（个人、单位、服务器、智能终端等）的身份信息。信息系统的用户或设备需要使用数字证书来表明自己的身份，并用其进行信息加密、电子签名等相关操作。通俗地讲，数字证书就是个人、单位或相关设备的电子身份证。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。

1.1 数字证书的特点

? 安全性

（1）为了避免传统数字证书方案中，由于使用不当造成的证书丢失等安全隐患，支付宝创造性的推出双证书解决方案：支付宝会员在申请数字证书时，将同时获得两张证书，一张用于验证支付宝账户，另一张用于验证会员当前所使用的计算机。

（2）第二张证书不能备份，会员必须为每一台计算机重新申请一张。这样即使会员的数字证书被他人非法窃取，仍可保证其账户不会受到损失。

（3）支付盾是一个类似于U盘的实体安全工具，它内置的微型智能卡处理器能阻挡各种的风险，让您的账户始终处于安全的环境下。目前保证电子邮件安全性所使用的方式是数字证书。

? 唯一性

（1）支付宝数字证书根据用户身份给予相应的网络资源访问权限 （2）申请使用数字证书后，如果在其他电脑登录支付宝账户，没有导入数字证书备份的情况下，只能查询账户，不能进行任何操作，这样就相当于您拥有

了类似“钥匙”一样的数字凭证，增强账户使用安全。

? 方便性

（1）即时申请、即时开通、即时使用。（

2）量身定制多种途径维护数字证书，例如通过短信，安全问题等。 （3）不需要使用者掌握任何数字证书相关知识，也能轻松掌握。

1.2 数字证书的种类

数字证书按主题类型不同，可分为： ?

个人数字证书

用户使用此证书来向对方表明个人的身份，进行合法的电子签名同时应用系统也可以通过证书获得用户的其它信息。个人数字证书可用于安全电子邮件、网上购物、网上证券等电子交易处理和电子事务处理。 ?

单位数字证书 （单位证书、单位员工证书）

单位证书: 颁发给独立的单位、组织，在网上证明该单位、组织的身

份，进行合法的电子签名。单位证书对外代表整个单位。单位数字证书可用于网上报关、网上报税、网上采购、网上招投标、网上签约、网上公文安全传递等电子事务处理和电子交易处理。

单位员工证书: 颁发给独立的单位员工，在网上证明单位中个人的身份，

单位员工证书对外代表单位中具体的某一位员工，进行合法的电子签名。

?

服务器证书（设备证书）

服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。

在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。

1.3 数字证书的作用

基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的，并且要使顾客、商家和企业等交易各方都具有绝对的信心，因而因特网（Internet）电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。

信息的保密性

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉，就可能被盗用，订货和付款的信息被竞争对手获悉，就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。

交易者身份的确定性

网上交易的双方很可能素昧平生，相隔千里。要使交易成功首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店，为了做到安全、保密、可靠地开展服务活动，都要进行身份认证的工作。对有关的销售商店来说，他们对顾客所用的信用卡的号码是不知道的，商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司可以采用各种保密与识别方法，确认顾客的身份是否合法，同时还要防止发生拒付款问题以及确认订货和订货收据信息等。

不可否认性

由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金，订货时金价较低，但收到订单后，金价上涨了，如收单方能否认受到订单的实际时间，甚至否认收到订单的事实，则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。

不可修改性

交易的文件是不可被修改的，如上例所举的订购黄金。供货单位在收到订单

后，发现金价大幅上涨了，如其能改动文件内容，将订购数1吨改为1克，则可大幅受益， 那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改，以保障交易的严肃和公正。

人们在感叹电子商务的巨大潜力的同时，不得不冷静地思考，在人与人互不见面的计算机互联网上进行交易和作业时，怎么才能保证交易的公正性和安全性，保证交易双方身份的真实性。国际上已经有比较成熟的安全解决方案，那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。

我们可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。

1.4 颁发过程

数字证书颁发过程一般为：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行机构发布。数字证书各不相同，每种证书可提供不同级别的可信度。可以从证书发行机构获得您自己的数字证书。

1.5 证书格式

数字证书的格式普遍采用的是X.509V3国际标准，一个标准的X.509数字证书包含以下一些内容： ? 证书的版本信息；

? 证书的序列号，每个证书都有一个唯一的证书序列号；

? 证书所使用的签名算法；

? 证书的发行机构名称，命名规则一般采用X.500格式

? 证书的有效期，通用的证书一般采用UTC时间格式，它的计时范围为

1950-2049；

? 证书所有人的名称，命名规则一般采用X.500格式； ? 证书所有人的公开密钥； ? 证书发行者对证书的签名。

1.6 工作原理

数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导出解密密钥（私密密钥），在计算上是不可能的。按当下计算机技术水平，要破解1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送给商户，然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

1.7 数字签名

将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证：只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值

不相符。这样就保证了报文的不可更改性。

将该报文摘要值用发送者的私人密钥加密（对明文进行解密完全没问题，会得出一个不可读的“明文”），然后连同原报文一起发送给接收者，而“加密”后的报文即称数字签名。

接收方收到数字签名后，用同样的HASH算法对原报文计算出报文摘要值，然后与用发送者的公开密钥对数字签名进行解密（原先已经把签名加密了，再解密就能还原）得到的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。

（由于只有拥有私钥的签名者能通过“解密”摘要生成签名，因此具有安全和不可抵赖性。）

那为什么是对报文摘要进行加密，而不是对原报文进行加密呢？这是因为RSA加解密非常耗时，被加密的报文越大，耗得时间越多，因此聪明的人类对其摘要进行加密，（因为报文摘要是要比原报文小得多），仍然能够起到同样的作用。这就是为什么多了个报文摘要。

1.8 网证通CA机构简介

? 广东省电子商务认证有限公司是我国首批依据《中华人民共和国电子签名法》

及《电子认证服务管理办法》经国家认可的电子认证机构，其签发的数字证书在各应用系统中使用，是应用系统的用户身份认证、数字签名具有法律效力的核心和有效保证。

? 广东省电子商务认证有限公司也是广东省内合法第三方电子认证机构，具有

服务的本地化的优势。广东省电子商务认证有限公司在市内多处设立了证书业务办理点，业务办理点在网证通统一指导下开展证书发放业务，为省厅的证书业务提供更便捷及个性化的服务。

? 网证通证书严格遵循X.509标准。有利于证书应用与各种技术体系的兼容对

接、技术升级和将来的应用扩展。

? 网证通证书能支持目前市场上比较通用并具有国家密码管理局商用密码产

品定点销售和生产许可的资质的介质，包括：明华、飞天、握奇、海泰、科友等。对于以上各厂家的介质，网证通在不同的大型项目中得到了广泛实际的应用，如省卫生厅、省交通运输厅、省采购中心、深圳市政府采购中心、市社保局、市国税、市财局、市药监等。经过实践检验，网证通的证书在这些通用介质上的应用是稳定的、功能完整，满足了业务对安全性和实时性的要求。

? 证书安装到介质后完全满足常用软件和应用，为省厅数字证书应用领域的拓

展提供了有力的支撑。

? 完全支持常用的客户端软件的签名加密应用，常用客户端软件包括：outlook

安全邮件、outlook express安全邮件、Office（word、excel、PowerPoint 2003以上版本）、Adobe Acrobat、AutoCAD。 ? 完全支持客户端验证的SSL。