數字證書在網絡安全中的應用

劉海剛

【摘要】數字證書的一種加密技術，在網絡安全問題預防中起著重要作用，廣泛應用于各機構網絡安全管理工作。本文以**高級技工學校計算機網絡安全為研究對象，基于數字證書的工作原理，從電子郵件、用戶終端、代碼簽名、身份授權等方面入手，對數字證書在網絡安全中的具體應用進行了簡要分析，僅供參考借鑒。

【關鍵詞】數字證書 應用原理 下載安裝 網絡安全 電子郵件

隨著信息時代的到來，計算機技術快速發展，在社會生產與生活的各個方面有著廣泛應用，無論是工作還是生活，人們愈加離不開計算機。計算機改變工作方式、提升工作效率的同時，也帶來了一系列網絡安全問題。網絡安全實際上是網絡信息方面的安全問題，如信息被竊取、被損壞等，主要危險因素來源于系統漏洞、病毒、黑客、網絡攻擊等。為保護網絡信息安全，需要采用網絡安全防御技術，而數字證書就是其中之一，是計算機網絡安全技術不可缺少的一部分。

一、數字證書簡述

（一）概念

數字證書，是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式[1]。實際上，數字證書是一種電子文檔，由CA中心簽發，權威性較高。在互聯網通訊中用它來識別各方身份，不是簡單的數字身份證，而是由權威機構在數字身份證上的章，或簽名，只有經過數字證書簽發才能正常進行網絡通訊。

數字證書作為標識通訊各方身份信息的數字信息文件，除了包含通訊各方身份信息內容外，還包括了用戶所持有的公開秘鑰和數字簽名，擔保通訊各方身份，用于計算機網路信息安全。

（二）工作原理

數字證書以公鑰體制為基礎，基于相匹配的秘鑰進行加密處理，用戶自己可以為自身制動私人秘鑰，建構公鑰與私人秘鑰相結合的加密體系。在互聯網通訊中，用戶發送保密文件時主要利用公鑰進行信息加密，而接收方接收保密文件時，用私人秘鑰進行解密，這樣就可以保證保密文件安全傳遞。

公鑰經過服務器驗證后公開展示給他人，是對外開放的，屬于共享文件，但是私人秘鑰只有本人知道，是信息加密的關鍵，也是保護信息安全的重要技術。保密文件利用數字證書身份加密后，只有知道私人秘鑰的人才能查看、使用信息，保證數字加密是一個不可逆轉的過程，具有唯一性。

（三）頒發

CA中心簽發的數字證書具有權威性，用戶想要使用數字證書，需要下載數字證書，并向專業機構申請數字證書。數字證書由用戶從中國數字證書網上下載，再安裝在計算機系統中。不同級別的數字證書由不同級別的機構簽發，用戶申請數字證書前要先判斷自己所需要的數字證書級別，再向同級別的權威機構申請，通過后正式簽發數字證書。

二、數字證書在網絡安全的應用

**高級技工學校計算機系統采用數字證書，按照先下載數字證書、后安裝數字證書，判斷出自己所需要級別的數字證書后，再向同級別的權威機構申請數字證書。目前，數字證書有多種格式版本，如X.509v3（1997）、X509v4（1997）、X.509v1（1988）等，比較常用的主要是TU-Trec.x.509V3，由國際電信聯盟制定。TU-Trec.x.509V3格式版本的數字證書有證書序列號、證書辦法者名稱、證書持有者名稱、證書有效期、公鑰等。本學校計算機系統采用由國際電信聯名制定格式版本的數字證書，即TU-Trec.x.509V3。獲得數字證書后，可將數字證書用于安全電子郵件、用戶終端、代碼簽名、身份授權等方面，具體情況入下。

（一）電子郵件

在電子郵件中使用數字證書，建構安全電子郵件證書，用于加密電力郵件，保護電子郵件安全。安全電子郵件證書，主要包括CA中心簽名、公鑰、電子郵件地址等內容。將數字證書用于電子郵件后，在安全電子郵件證書加密保護下發送和接收電子郵件，使電子郵件具有保密性、完整性，同時也保證了電子郵件傳方和接收方身份的真實性，可以保護電子郵件安全。

下載后的數字證書安裝在計算機中，之后基于數字證書建構安全電子郵件數字證書。由于安全電子郵件使用了數字證書中的公鑰，確保電子郵件不被篡改，只有知道私人秘鑰的人才能利用電子郵件。需要注意的是，建構后的安全電力郵件要想真正做到保密，必須確保安全電子郵件數字證書與電子郵件賬戶一致，這樣才能利用數字證書中的秘鑰對電子郵件進行加密。

（二）用戶終端

近年來，**高級技工學校電子政務日益增多，用戶終端應用越來越多，對用戶終端信息保護顯得尤為重要。數字證書作為一種加密技術，可以用于用戶終端保護，避免終端信息被竊取、被篡改。

數字證書在用戶終端保護中的應用，可采用以下措施：第一，使用正版硬件、軟件，正確配置終端和網絡，對終端、網絡進行定期檢查，防止終端系統配置被非法篡改；第二，設置防火墻，用戶阻隔非法入侵；第三，及時更新防病毒軟件，定期進行終端系統安全漏洞掃描；第四，對終端信息進行加密處理，提高終端信息被破解的難度；第五，采用雙網分離方式，減少終端網絡與主網絡的信息交叉，規避遭受來自主網絡的危險。

（三）代碼簽名

軟件是計算機網絡系統組成的一部分，也是決定計算機網絡信息安全的重要因素。一旦計算軟件發生安全問題，將直接危及計算機網絡系統安全。所以，加強計算機軟件安全防護是必要的。軟件供應商對所發行軟件的風險負有責任，但是在病毒、非法入侵等危險因素干擾下，難以保證軟件使用過程安全。計算機軟件防護可以采用數字證書，利用數字簽名確保軟件供應商身份真實可靠，避免使用假冒軟件，杜絕假冒軟件為計算機信息安全帶來的潛在威脅。

（四）身份授權

授權管理系統是計算機系統信息安全保護的重要工具，數字證書應用時需要經過計算機授權管理系統的身份驗證后才能發揮作用，介于此，應當保證身份授權管理系統工具的安全性。身份授權系統工作基于雙方之間的相互認同，只有正確的利用數字證書，才能正確完整身份授權，認證系統用戶，保護系統信息安全。具體應用中，利用數字證書對雙方身份進行驗證，建立身份認同后以建立身份授權管理系統。

三、結論

綜上所述，數字證書是一種秘鑰加密技術，在計算機系統信息安全保護中發揮著重要作用。本學校計算機系統采用數字證書，將其用于電子郵件、用戶終端、代碼簽名、身份授權等方面，建立安全的計算機系統。為提高網絡安全保護能力，學校相關職工要了解網絡安全危險因素，了解數字證書等相關技術，正確運用這些技術保護計算機系統信息安全。