數字證書在網絡安全中的應用

倪 斌，李勇強

(1.河南司法警官職業學院，河南 鄭州 450000;2.鄭州鐵路職業技術學院，河南 鄭州 450052)

1 網絡安全面臨的主要問題

網絡安全實際上是指網絡活動所產生的數據的安全問題，保證數據不被突發的或者故意的竊取、泄露、更改，系統能持續正常的工作，網絡服務不發生中斷。廣義上的網絡安全范圍很廣，包含所有與網上信息的可控性、可用性、完整性、真實性及保密性有關聯的理論和技術。網絡技術日益發展，各種網絡欺詐行為也變得越來越難以識破，給網絡安全帶來日趨嚴重的挑戰。黑客攻擊行為組織性更強，攻擊目標向獲取多方面實際利益轉移，網上木馬、間諜程序、惡意網站、網絡仿冒等日趨泛濫，一些重要數據、文件在傳輸過程中被竊取篡改、濫用，對工作和生活帶來重大影響甚至造成不可估量的損失。網絡安全對于計算機網絡有著重要意義，如疏于防范，會對網絡應用產生嚴重危害。為保證網絡活動健康有序地發展，就必須要建立一套完善的安全體系，而數字證書正是其中的一種重要技術。

2 數字證書概念與原理

2.1 數字證書概念、特點

數字證書，英文名稱digital certificate，是由普遍認可的獨立第三方機構CA 發放的一種電子文檔，具有一定的權威性與公正性。數字證書與我們的網絡活動緊密聯系，比如我們在網上購物進行結算操作時，它就已經被安裝在電腦中用以保障我們的賬戶安全。CA 采用的加密技術就是數字證書，該技術用于對網上信息的加密和解密，對傳輸的信息實施數字簽名并對簽名進行驗證，這就確保了網上信息交流過程中的完全性和保密性。即便是操作者在網絡上傳遞的信息被人竊取，甚至帳號密碼等信息丟失，這種情況下數字證書仍然可以保障使用者的賬戶和資金的安全。數字證書是一種可在網絡上對用戶身份進行驗證的電子文檔，在網絡信息交流過程中用于對用戶的身份進行證明和識別。在實際操作過程中，進行證書認證的第三方機構尤為關鍵，必須具有絕對的可靠性、公平性和權威性。所以在關于第三方認證中心的判定上，國家工信部通過嚴格的資質審查，陸續給30 家相關機構提供了從業資質。

隨著網絡技術不斷發展，一些相對敏感的信息被盜用的風險增大。要使互聯網上電子交易及支付的保密性、安全性等得到保障，防止欺詐行為，就必須以網絡平臺為基礎形成一套信用機制。在這種機制下，必須確保參與網上交易的雙方都有合法身份，同時能夠毫無差錯地驗證有效性。

數字證書的特點有:

安全性:在完善證書安全性過程中，支付寶率先使用了一種雙證書解決方案，能夠消除傳統方法易于丟失數字證書等安全隱患，該方法具體實施方法為:支付寶用戶在交易過程中申請數字證書時，會得到兩份證書，其中一份用來驗證用戶當前用的電腦，另一份證書用來校驗支付寶賬戶。其中在不同電腦上用戶必須重新獲取第一份證書，不能夠將其備份。即便他人竊取了相應的數字證書，也無法獲得其帳戶信息。

唯一性:支付寶數字證書針對不同身份的用戶給以相對應的訪問權限，如果換用另一臺計算機登錄支付寶，那么用戶在缺少證書備份時無法采取任何操作，只可以查看賬戶信息，這樣給使用者提供的數字憑證就像“鑰匙”一樣，保障了使用者賬戶的安全。

方便性:即時申請、即時開通、即時使用。根據用戶需要提供分別適應的措施來保障數字證書，如短信驗證、密保問題等。即使使用者不了解相關知識，也可以方便使用。

2.2 數字證書原理

數字證書采用公鑰體制，就是通過將一對相對應的密鑰進行加密、解密。其中的一把特殊的密鑰(私鑰)由使用者自定義，只有本人知道，用于解密和簽名等操作;同時用戶要定義并分享一把公用的密鑰(公鑰)，用來進行加密和驗證簽名，被多個用戶共享。當文件發送一方需對文件進行保密時，要利用接受者提供的公鑰來加密，接受者則要通過自定義的私鑰來對文件進行解密，因此保證了信息在互相交流時的安全性。這種加密方式使得信息的加密是單向的，要進行解密必須要有私有密鑰才行。現有密鑰及密碼體制里，RSA 體制比較常見。

即便加密密鑰、明文和密文都已知道，以目前的計算機水平要破解也是不可能的。如果想推導出現在的1024 位RSA 密鑰的解密密鑰，得花費上千年的時間，所以從數學計算上來說是無法破解的。公開密鑰技術為密鑰發布的管理提供了方法，賣家在保留其私有密鑰的前提下能夠公開他的公開密鑰，買家通過公開的密鑰加密所要發送的信息，將其安全傳達至賣家，最后賣家利用保留的私有密鑰將信息解密，過程如圖1、圖2、圖3 所示。

圖1 公鑰加密過程

圖2 私鑰簽名過程

圖3 公鑰，私鑰共同加密過程

如果用戶在信息加密時使用自定義的私鑰，此時密鑰只有自己知道，這種文件其他人就無法生成，叫做數字簽名。數字簽名確保了信息來源于真正的簽名者，數字簽名使其可以準確確認目標;確保了信息從發出直至收到過程中沒有任何中間修改，真實可靠。

數字證書包含英文以及數字，在被用于身份認證過程當中，將生成128 位的隨機身份碼，任何數字證書都可以產生相對應但不可能重復的數碼，這就使得數據傳輸更加保密，所產生的密碼數字證書相當于每個人都有對應的居民身份證，它與公鑰及其持有者的真實身份綁定，不同之處在于數字證書是電子的證照而非紙質的，而且包含了所有者的身份信息，使得網上交易或者電子政務信息處理更加的靈活便捷。

3 數字證書的頒發

電子證書是由CA 簽發，CA 是PKI 的關鍵機構。主要業務范圍包括證書認證、證書簽發，對已頒發證書的機關進行管理。CA 還要提出用于識別、驗證用戶身份的政策和具體方法，以確認證書所有者的身份以及公鑰的擁有權，對此CA 是完全可靠的第三方。CA 同樣有一個私鑰及證書，每一個用戶都能夠獲得CA 的證書，通過網上驗證方式來確認CA 的簽字，以此來檢驗CA 簽發的證書。用戶可以向CA 提出申請獲得自己專屬的證書，CA 在對申請者身份進行確定之后，就會給用戶提供一個公鑰，把用戶的身份信息同該公鑰綁定并且為之簽字后，申請者就可以得到想要的證書了。假如用戶要鑒定某一證書的真實性，就需要利用CA 提供的公鑰來驗證這個證書的簽字，如果通過了驗證，就判定該證書是真實有效的。

互聯網中雙方信息交流由數字證書來提供認證，在通常使用的因特網、單位的局域網或者外部網中，都是利用數字認證方式來識別用戶身份或者是加密信息，通過用戶所提供的證書中數據進行判別，從而確認證書持有者身份?，F在各省市都有主要服務于本地客戶的CA 公司，為當地企業單位發放商用數字證書。

CA 中心是一家具有公正性、權威性和可靠性的第三方機構，必須獲得國家的認可，主要負責提供任何網絡業務的用戶需要的數字證書，而該證書就像是一張網絡身份證，能夠用來幫助網上各個分割的并且互不熟悉的實體建立一種較為安全的信用關系。這種信任的可靠程度則取決于PKI/CA 認證中心的安全度，因此PKI/CA 認證中心的安全保障是極其關鍵的。假如該中心沒有足夠防范措施，就可能被非法用戶侵入，導致認證中心不能正常運轉;還有些不法分子會利用安全防范中存在的漏洞(環境、系統或政策)，以此來攻擊認證中心，帶來巨大的不良后果。

目前情況下，CA 中心只有不斷主動地優化信息安全措施來博得用戶的信任，免除用戶使用時的后顧之憂，才能夠使用戶更加安心地利用CA 中心提供的信息安全服務，從而推動認證中心的相關業務不斷向前，并且可以進一步促進一些對于信用要求較高的網絡業務的發展，比如電子商務以及電子政務。

數字證書發放步驟主要分為:最開始需要得到用戶唯一的密鑰對，然后把身份數據和公共密鑰上傳至認證中心;中心在對用戶的身份進行核實后，將通過某些有效方式，來驗證請求是由用戶發出的，再傳送一個數字證書給使用者，其中包括其身份數據以及相應的公鑰信息;附在一起的還有中心的簽名信息;最后，用戶就能夠利用獲得的證書來從事各種相關活動。證書種類很多，每一種給予的信用級別也不完全一致。

4 數字證書在網絡安全領域中的應用

用戶只能夠在已經連接了證書的存儲介質的電腦環境下，才可以進行相關的業務活動。在用戶的個人電腦上首先要安裝CA 根證書之后，就可以操作了。正常情況下用戶的網絡活動中如需要數字證書，系統會提示根證書安裝，點選確認就可以自動完成安裝。用戶還能夠在CA 的官網下載并安裝。操作過程中，用戶需要插入證書介質(IC 卡或Key)或者用戶出示數字證書，之后系統會提示輸入正確的口令，該密碼來自于申請證書時得到的密碼信封，在驗證完密碼后系統將自動調用數字證書進行相關操作。操作完成后應將證書介質取出并且把它保管好。不同的系統下證書的使用方法也不盡相同，但只要用戶嚴格按照系統提示操作，就不會存在太大問題。

4.1 安全電子郵件

安全電子郵件證書主要由所有人的CA 中心簽名、公鑰以及電子郵件地址組成。使用安全電子郵件的加密和數字簽名的證書能夠收發郵件，保證郵件傳輸過程的安全性、完整性和確定性，使得郵件通信雙方的真實身份得到確認。證書也可以存儲于移動U 盤或是硬盤中。安全電子郵件采用了公共密鑰算法，從而消除了加密郵件把署簽名郵件篡改的可能性。需要注意的一點是，只有當電子郵件證書與具有約束力的郵件賬戶相對應時，用戶才能夠對郵件進行簽名和加密。

4.2 可信網站服務

我國網站數量每年都在飛速增長，其中各式各樣不同的假冒網站、釣魚網站也越來越多，這些釣魚網站大多以偷取用戶有價值的賬戶信息，盜用用戶身份信息或者直接進行網絡欺詐為目的，嚴重威脅著網絡信息安全和廣大網絡用戶的信心，成為網絡應用進一步發展的主要制約因素。當用戶不能夠確定某一網站是否真實的情況下，為了避免目標網站的銀行賬戶信息和聯系方式被惡意篡改的風險，可以使用數字證書加密技術。用戶可以使用證書技術獲得的安全可靠的網絡體驗，來檢查目標網絡站點的證書，由此確保不會誤用釣魚網站的服務和避免損失。

4.3 代碼簽名保護

網絡推廣有著方便易行的優點，但同時這種便利也產生了一些不利的影響。用戶可以在網絡上分享軟件，但所用軟件及控制過程是否安全難以保障。軟件供應商對所發行軟件的使用風險負有責任，但網絡中潛在的安全隱患以及使用盜版的軟件都會帶來一定風險。軟件用戶可以采取數字簽名技術，從而確認供應商的真實身份，降低假冒軟件帶來的安全風險。

4.4 安全終端保護

為了使得一些較關鍵的終端信息免于被不法分子盜取、破壞或是篡改，目前采用的是一種以數字證書技術為核心的系統登錄方法，能夠用動態加密實現對重要信息的保護，確保儲存于計算機系統的敏感信息不被非法竊取，非法訪問。采用數字證書方式來進行驗證的系統，能夠阻止沒有權限的用戶對計算機信息的訪問，同時確保有權限的用戶可以安全使用。對于使用了數字信封技術的用戶，可以對服務器中存儲的重要信息進行加密，使得用戶只能夠在擁有指定的證書的情況下對信息進行訪問，確保了存儲數據的完整性以及機密性。

4.5 授權身份管理

信息系統安全管理的關鍵基礎設施之一就是授權管理系統，它提供對實體(用戶、程序)授權的服務管理，對測繪單位的身份給出權威驗證，提供授權、訪問和實際應用的方法，以及提出相關的應用系統開發和管理相關的控制機制，使得開發和維護具體應用系統變得更加簡便。授權管理是基于相互的認同，只有正確地利用數字證書，適當授權的有效完成系統的用戶認證，才能達到安全保護的終極目標。

5 結束語

網絡正逐漸成為我們日常生活中不可缺少的部分，其安全是影響互聯網能否健康發展的一個非常關鍵的因素，安全問題不應成為其發展過程的絆腳石。生活中的諸多應用都是以公鑰技術的數字證書為基礎的，如電子政務、電子商務、網上銀行、網上娛樂等網絡交易活動，這保證了信息傳輸的真實性、機密性和交易信息的安全性，通過與其他安全技術結合，確保了網絡安全，推動了計算機網絡的不斷發展，相信數字證書的應用將會更加廣泛。

［1］袁家政.數字證書應用技術指南［M］.北京:電子工業出版社，2010.

［2］張潤彤.電子商務［M］.北京:科學出版社，2011.

［3］張寬海，李良華.網上支付與結算［M］.北京:高等教育出版社，2011.