數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用探析

張省吾 鄭州市第十一中學(xué)

1 數(shù)字證書的基本概述

1.1 數(shù)字證書的概念

數(shù)字證書實際上是由證書授權(quán)（Certificate Authority），也就是CA機構(gòu)發(fā)行的一種電子文檔。它是一串能夠表明網(wǎng)絡(luò)用戶身份信息的數(shù)字，提供了一種在計算機網(wǎng)絡(luò)上驗證網(wǎng)絡(luò)用戶身份的方式，因此數(shù)字證書又稱為數(shù)字標識。數(shù)字證書對網(wǎng)絡(luò)用戶在計算機網(wǎng)絡(luò)交流中的信息和數(shù)據(jù)等以加密或解密的形式保證了信息和數(shù)據(jù)的完整性和安全性。

1.2 數(shù)字證書認證中心

數(shù)字證書認證中心（Certificate Authority），也就是CA，是具有權(quán)威性和可信度的一個負責數(shù)字證書的發(fā)放和管理的機構(gòu)。CA機構(gòu)為每一個使用公開密鑰的人發(fā)放數(shù)字證書來驗證網(wǎng)絡(luò)用戶的身份。以數(shù)字證書為主的核心技術(shù)對計算機上的數(shù)據(jù)信息進行加密和解密、數(shù)字簽名和簽名驗證來確保證書持有者身份的真實性。

1.3 數(shù)字證書的原理

數(shù)字證書的基礎(chǔ)結(jié)構(gòu)是公開密鑰PKI，就是采用一對密鑰對數(shù)據(jù)信息就行加密和解密。公開密鑰是可以多個網(wǎng)絡(luò)用戶共享的一組文件。如果發(fā)送一份保密文件，網(wǎng)絡(luò)用戶將公開密鑰從接收方拷過來，再通過郵件或者是其他方式發(fā)送給其他人，在收件人知道公開密鑰的情況下才能對數(shù)據(jù)信息進行解密，這樣數(shù)據(jù)信息就可以安全地傳送到收件人那里。當然網(wǎng)絡(luò)用戶也可以根據(jù)自己的實際需要設(shè)置私人密鑰。私人密鑰只屬于私人享有，它主要是用于私人信息的解密和簽名。

數(shù)字證書中包含很多的英文和數(shù)字。網(wǎng)絡(luò)用戶在利用數(shù)字證書進行身份認證時就產(chǎn)生了128位身份碼。不同的數(shù)字證書會有不同的身份碼，這也加強了數(shù)據(jù)信息傳輸過程中的安全性。

1.4 數(shù)字證書的安裝與頒發(fā)

數(shù)字證書的安裝，首先要登錄中國數(shù)字認證網(wǎng)。如果是首次登陸，系統(tǒng)就會提示要先安裝根證書才能繼續(xù)使用，這個時候只需要按照步驟安裝即可。如果沒有任何提示或者是之前安裝的根證書遺失，手動安裝即可。根證書安裝成功后，會進行信息的核對。將用戶信息、公開密鑰提交到信息驗證中心。信息驗證中心完成信息和身份核對后，用戶就可以得到數(shù)字證書。這個數(shù)字證書主要包括了用戶的基本信息、公開密鑰信息和簽名信息。數(shù)字證書有不同的特點，所以用戶只需要根據(jù)自身的活動需要在不同的機構(gòu)安裝不同的數(shù)字證書即可。

2 數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用

目前來看，數(shù)字證書有很多格式版本，主要有X.509v3（1997）、X509v4（1997）、X.509v1（1988）等。比較常用的版本是TUTrec.x.509V3，由國際電信聯(lián)盟制定，內(nèi)容包括證書序列號、證書有效期和公開密鑰等信息。不論是哪一個版本的數(shù)字證書，只要獲得數(shù)字證書，用戶就可以將其應(yīng)用于網(wǎng)絡(luò)安全中。

2.1 安全電子郵件

電子郵件中使用數(shù)字證書可以建構(gòu)安全電子郵件證書，主要用戶加密電子郵件的傳輸，保護電子郵件在傳輸和接收過程中的安全。安全電子郵件證書主要有證書持有者的CA機構(gòu)的簽名、電子郵件地址和公開密鑰這些信息。一方面，數(shù)字證書與電子郵件結(jié)合后，就可以在安全電子郵件證書的加密和數(shù)字簽名技術(shù)的保護下，實現(xiàn)電子郵件的安全傳輸和接收，保證了電子郵件的安全性和完整度。同時，也保證了電子郵件傳輸方和接收方信息的真實性。另一方面，安全電子郵件證書中包括公開密鑰這一信息，就能夠確保電子郵件不被更改，因為只有知道公開密鑰才能使用電子郵件。

最后需要注意的是，電子郵件與數(shù)字證書建構(gòu)的安全電子郵件證書只有在安全電子郵件證書與電子郵件賬戶信息一致的情況下，才能利用數(shù)字證書的公開密鑰的加密，真正做到對電子郵件的保密。

2.2 安全終端保護

隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)的發(fā)展也越來越快，在人們生活和生產(chǎn)中的應(yīng)用也越來越廣泛，用戶終端和數(shù)據(jù)的安全問題也日益受到重視。為了避免終端數(shù)據(jù)信息的損壞或者是泄露，數(shù)字證書作為一種加密技術(shù)，可以用于終端的保護。

首先，使用正版的軟件和硬件，正確配置系統(tǒng)和網(wǎng)絡(luò)并定期進行檢查，防止終端配置被非法篡改。其次，利用網(wǎng)絡(luò)安全技術(shù)如防火墻對內(nèi)外網(wǎng)絡(luò)進行實質(zhì)性的隔離。同時，及時更新病毒庫和防病毒軟件，對終端系統(tǒng)實時進行病毒和安全漏洞的掃描，加強對終端系統(tǒng)的安全保護。一旦發(fā)現(xiàn)可疑信息，就要立即重點監(jiān)控，防止其帶來的影響和破壞。最后，加強訪問終端的控制，利用加密和認證等手段加強信息破解的難度。用戶可以設(shè)置一個以數(shù)字證書為主的系統(tǒng)登錄方式，加上動態(tài)加密，就可以實現(xiàn)對系統(tǒng)的驗證，沒有權(quán)限的用戶就無法進入終端系統(tǒng)的訪問，擁有權(quán)限的用戶就符合了訪問的要求，保證了訪問終端的一致性。另外還要做到終端網(wǎng)絡(luò)和主網(wǎng)絡(luò)的分離，減少兩者之間的數(shù)據(jù)交叉和結(jié)合，也避免了終端網(wǎng)絡(luò)和主網(wǎng)絡(luò)的相互影響，減少風險。

2.3 代碼簽名保護

網(wǎng)絡(luò)信息推廣對很多用戶來說，便捷有經(jīng)濟，但對軟件的安全是不確定的。比如，用戶對軟件進行分享時，軟件的接收和使用過程中存在著很多不安全因素，即使軟件供應(yīng)商能夠保證軟件自身的安全性，但也無法抵制盜版軟件和網(wǎng)絡(luò)本身存在的不安全因素帶來的不利影響。

我們知道，軟件是計算機網(wǎng)絡(luò)的重要組成部分，也是確保計算機網(wǎng)絡(luò)安全的重要因素。如果軟件出現(xiàn)問題，就會直接威脅到計算機網(wǎng)絡(luò)的安全。因此，加強計算機軟件的安全防護是非常必要的。通過數(shù)字證書技術(shù)的使用，利用數(shù)字證書的簽名就可以確保軟件供應(yīng)商身份的真實性和可信度，確認軟件沒有被非法篡改和被植入病毒。因為未使用數(shù)字證書簽名的軟件是無法正常運行的，以WINDOWS系統(tǒng)為例，如果用戶下載了未被簽名的軟件，系統(tǒng)就會發(fā)出紅色警告或者是直接攔截不讓其運行，這就避免了使用假冒軟件或者是盜版軟件對計算機網(wǎng)絡(luò)帶來的風險。

2.4 可信網(wǎng)站服務(wù)

我國網(wǎng)站的數(shù)量伴隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展呈現(xiàn)出日益增長的趨勢，其中的惡意網(wǎng)站、釣魚網(wǎng)站和假冒網(wǎng)站也越來越多，這就增加了用戶對它們識別的難度，一不小心就會將自身的數(shù)據(jù)信息泄漏，嚴重影響了網(wǎng)絡(luò)的安全。當用戶對所使用的網(wǎng)站存在疑慮，不確定其中是否有被篡改和侵襲時，就可以利用數(shù)字證書的技術(shù)。通過數(shù)字證書技術(shù)，就可以對不確定的網(wǎng)站先進行驗證和檢查，增加了使用安全網(wǎng)站的機率，也避免了惡意網(wǎng)站、釣魚網(wǎng)站和假冒網(wǎng)站等對網(wǎng)絡(luò)造成的損失。

2.5 身份授權(quán)管理

授權(quán)管理系統(tǒng)是信息系統(tǒng)安全的重要內(nèi)容，對用戶和程序提供相對應(yīng)的授權(quán)服務(wù)，授權(quán)訪問和應(yīng)用的方法，而數(shù)字證書必須通過計算機網(wǎng)絡(luò)的身份授權(quán)管理后才能被應(yīng)用。因此，要保證身份授權(quán)管理工具的安全性。當系統(tǒng)雙方相互認同時，身份授權(quán)系統(tǒng)的工作才能展開。同時，正確使用數(shù)字證書，適當授權(quán)，完成系統(tǒng)的用戶認證，才能切實保護身份授權(quán)管理系統(tǒng)的安全性。

3 總結(jié)

在信息化時代和計算機網(wǎng)絡(luò)發(fā)展的帶動下，網(wǎng)絡(luò)在人們的生活和生產(chǎn)中的重要性日益凸顯。不可忽視的是網(wǎng)絡(luò)環(huán)境中也存在著很多不確定因素，網(wǎng)絡(luò)安全問題成為制約計算機網(wǎng)絡(luò)發(fā)展的因素之一。但是，利用數(shù)字證書技術(shù)，就可以解決計算機網(wǎng)絡(luò)安全中存在的問題。數(shù)字證書在網(wǎng)絡(luò)安全中發(fā)揮著重要的作用，主要體現(xiàn)在安全電子郵件、安全終端保護、代碼簽名保護、可信網(wǎng)站服務(wù)和身份授權(quán)管理這幾個方面，保證了數(shù)據(jù)信息的完整性和安全性。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)字證書通過與其他網(wǎng)絡(luò)安全技術(shù)的結(jié)合，在計算機網(wǎng)絡(luò)安全中的應(yīng)用會越來越廣泛。

[1]薛天龍、安慶權(quán)，數(shù)字證書原理及應(yīng)用[M]，中國標準出版社2014

[2]付海麗、楊宇、毛忠東、饒俊，數(shù)字證書對于提升網(wǎng)絡(luò)安全的效果[J]，信息與電腦:理論版2015 (1) :42-43