数字证书也称公钥证书,是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此,数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
例如,以数字证书为核心的,可对网络上传输的信息进行加密和解密、数字签名和签名验证的有关技术和措施。数字身份认证中使用了数字证书,即使所发送的信息在网上被他人截获、甚至丢失了个人的账户或密码等信息,也能保障传递信息的安全性和完整性。
数字证书,这一名词并非是我国原有,而是来自于英文digital certificate的翻译。事实上,数字证书是一种权威性的电子文档。它提供了一种在Internet上验证用户身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。
据了解,数字证书是由一个由权威机构——CA证书授权(Certificate Authority)中心发行的,用户可以在互联网的交往中用它来识别对方的身份。其中,由CA签名的数字证书包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。
通常,最简单的数字证书包含一个公开密钥、名称以及证书授权中心的数字签名。而且,一般来说,数字证书主要包括证书所有者的信息、证书所有者的公钥、证书颁发机构的签名、证书的有效时间和其他信息等。数字证书的格式一般采用X.509国际标准,是广泛使用的证书格式之一。
说白了,数字证书就相当于社会中的身份证,用户在进行电子商务活动时可以通过数字证书来证明自己的身份,并识别对方的身份。在数字证书认证的过程中,证书认证中心(CA)作为权威的、公正的、 可信赖的第三方,其作用是至关重要的。当前阶段,我国的CA中心的从业资格是由国家工业与信息化部所颁发,全国范围内只有约50家企业具有数字认证的从业资格。
数字证书的验证身份方式,主要采用公开密钥体制,还包括对称密钥加密、数字签名、数字信封等技术。可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
例如,当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,通过数字的手段保证加密过程是一个不可逆过程,即,只有用私有密钥才能解密,这样信息就可以安全无误地到达目的地了。因此,保证了信息除发送方和接收方外不被其他人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
为避免中间人攻击,基于数字签名的身份认证往往需要结合数字证书使用。例如,金融行业标准JR/T 0025.7《中国金融集成电路(IC)卡规范第七部分:借记贷记应用安全规范》规定了一种基于数字签名的动态数据认证(DDA)过程。动态数据认证采用了一个三层的公钥证书方案。每一个IC卡公钥由它的发卡行认证,而认证中心认证发卡行公钥。这表明为了验证IC卡的签名,终端需要先通过验证2个证书来恢复和验证IC卡公钥,然后用这个公钥来验证IC卡的动态签名。
也因此,不难发现,数字证书采用公钥密码体制,公钥密码技术解决了密钥的分配与管理问题。在电子商务技术中,商家可以公开其公钥,而保留其私钥。购物者可以用人人皆知的公钥对发送的消息进行加密,然后安全地发送给商家,商家用自己的私钥进行解密。而用户也可以用自己的私钥对信息进行加密,由于私钥仅为本人所有,这样就产生了别人无法生成的文件,即形成了数字证书。
采用数字证书,能够确认这两点:一是,保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;二是,保证信息自签发后至收到为止未曾做过任何修改,签发的文件是真实文件。这也是数字签名的核心会是数字证书的原因。
值得一提的是,数字证书根据用途的不同,可分为这几类:服务器证书(SSL 证书);电子邮件证书;客户端个人证书。
,
