理论教育 数字证书:保障网络安全的重要工具

数字证书:保障网络安全的重要工具

时间:2023-05-28 理论教育 版权反馈
【摘要】:数字证书又称为数字标识,是用来确证一个网络通信方身份的数字信息文件,因此数字证书就是个人或单位在Internet网络环境中的身份证明,其作用类似于公民的身份证或司机的驾驶执照等身份证明。它是由一个权威的认证机构,又称为证书授权中心发行的,人们可以在网上用它来识别通信对方的身份。电子密钥是一种外形像U盘的安全存储体,有PIN码保护,具有相当高的安全性。

数字证书:保障网络安全的重要工具

从前面所述的加密方法中可知,一个单位只要公开一个公钥,自己保留一个不公开的私钥,发出电子文件时加上数字签名,即用其私钥对文件摘要进行加密,收方只有用发方公钥才能解密,这样才能确保所收到的文件的确是拥有并发布了此公钥的单位所发出的,是不可抵赖的。

但是,发布了此公钥的单位究竟是一个什么样的单位,在什么地方,有无经济能力,是真实存在的组织还是骗子虚构的,所发来的文件是真的要办文件所谈的事情还是诈骗行为,如果与其交易一旦出了问题如何能找到该单位追究其责任,等等,都还是未解决的问题。

为了解决以上问题,在电子商务发展过程中又发明了所谓的数字证书。数字证书又称为数字标识(Digital ID),是用来确证一个网络通信方身份的数字信息文件,因此数字证书就是个人或单位在Internet网络环境中的身份证明,其作用类似于公民的身份证或司机的驾驶执照等身份证明。它是由一个权威的认证机构,又称为证书授权(Gertificate Authority,CA)中心发行的,人们可以在网上用它来识别通信对方的身份。数字证书是一个经证书授权中心数字签名的包含私有密钥拥有者基本信息及其公开密钥的文件。通常,一个标准的数字证书包含的内容有:证书的版本信息,证书的序列号(每个证书都有一个唯一的证书序列号),证书所使用的签名算法,证书的发行机构名称及其私钥的签名;证书的有效期,证书使用者的名称及其公钥的信息。

例如,广东省电子商务认证有限公司[3]的数字证书信息如下[4]

颁发给:www.cnca.nel

颁发者:NETCA Server ClassA CA

有效起讫日期:2007-11-16至2012-11-16

详细信息:

版本:V3

序列号:01 00

签名算法:Shal RSA

颁发者:NETCA Server ClassA CA

有效起始日期:2007年11月16日0:00:00

有效终止日期:2012年11月16日0:00:00

主题:webmaster@cnca.net,www.cnca.net广东省电子商务认证有限公司,广州市天河区广州大道北138号7~8楼

公钥:RSA(1024.Bits)

颁发机构密钥标识符:KeyID=ba f3 4a 05 24 e6 f8 24 c8 e6 57 da 78 8d 0c 59 e4 43 64 ca

主题密钥标识符:0f 86 08 c8 4e{b a5 c1 f8 11 50 a4 5c 5e 9b 7e 2d 15 e7 d0

密钥用法:Digital Signature,Key Encipherment,Data Encipherment(bo)

基本限制:Subject Type=End Entity,Path Length Constraint=None

数字证书中的私有密钥(数字证书的核心内容)是不能被泄漏的,因此数字证书必须安全地保存好。数字证书可以保存在多种存储介质中,目前最为方便安全的存储方式是将数字证书保存在便携式的USB电子密钥中(也称电子令牌)。电子密钥是一种外形像U盘的安全存储体,有PIN(Personal Identification Number)码保护,具有相当高的安全性。网证通的电子密钥外形如图2-7所示。使用USB电子密钥作为证书存储介质具有安全防护性能高、运算速度快、安装驱动程序后直接插于USB口而不需要读卡器、携带方便等优点。用户在使用数字证书进行数据加密等操作的时候,要插入电子密钥。电子密钥在初次使用前要先安装电子密钥的驱动程序(发证机构在签发数字证书时会提供驱动程序和安装指南)。

图2-8是单位数字证书存储体的另一种外形,使用时也要先安装相应的驱动程序。

图2-7 网证通的电子密钥外形

图2-8 数字证书外观(www.daowen.com)

确认数字证书已正确安装有两种方法。

方法一:打开IE浏览器,点击工具→Internet选项→内容→证书,双击证书,点击“常规”按钮,系统显示证书详细信息,表明证书已正确安装。

方式二:双击证书的驱动,查看是否显示数字证书的信息。若正常显示,则表示已正确安装。

若查看数字证书时,显示“证书不可信任”,这表示电脑没有安装数字证书的根证书(即该证书颁发机构及其上级机构——如果有此凭证的证书,即“祖先”证书,也称证书链),请找到并进行安装(通常在颁发该数字证书的机构的网站上可下载证书链)。安装了某个CA认证中心的根证书就表示信任这个CA认证中心颁发的所有证书,即认为这些人的身份是可靠的,然后才能进行各种交易和操作。通过执行浏览器的工具→Internet选项→内容→证书→受信任的根证书颁发机构,可以看到计算机已安装的所有CA根证书。

CA认证中心有很多,为了方便用户,微软操作系统已经预装了一些CA认证中心的根证书(如图2-9所示)。但这里面没有国内的CA认证中心根证书,凡是使用不在系统里面的CA证书,都需要客户机安装相应的CA根证书。由于证书是按照X.509国际标准生成的文件,安装了根证书后的任何厂商颁发的证书都是一样的。

图2-9 微软操作系统已经预装的CA认证中心的根证书

数字证书分为个人证书、机构证书、机构员工证书、设备证书、全球服务器证书和代码签名证书(即软件证书)等。对前三种证书,许多认证中心又把它们分为数字签名证书和数据加密证书,把签名和正文分别使用不同的密码对其加密传输。

(一)个人证书

用户使用此证书向对方表明个人的身份,进行合法的数字签名。个人证书可用于安全的电子邮件、网上购物、网上证券等电子交易处理和电子事务处理。个人证书的载体是智能卡或USB电子密钥等符合国家密码管理相关要求的设备。

例如,广东省电子商务认证有限公司(网证通)签发的个人数字证书支持1024 bit的非对称加密算法和128 bit SSL加密协议,在安装了高强度加密包的IE浏览器中可以正常使用,建立128 bit SSL加密通道;网证通电子认证系统的证书生命周期检测程序可以在证书有效期满之前一个月,通过电子邮件自动通知用户办理证书更新手续,以免影响信息系统的正常工作;一旦发生私钥泄露、密码遗失等紧急情况,可以通过Internet第一时间在线挂失该证书,暂停该证书的正常使用,以将损失减少到最小限度;挂失后再凭相关身份证明材料到证书业务点办理证书撤销手续,正式废除挂失的证书。

(二)机构证书

机构证书颁发给独立的单位、组织,在网上证明该单位、组织的身份,进行合法的电子签名。机构证书对外代表整个单位,可用于网上报关、网上报税、网上采购、网上招投标、网上签约、网上公文和商务文件的安全传递等电子事务处理和电子交易处理。

网证通的机构证书支持现在主流的浏览器产品(包括Microsoft IE 4.0及后续版本、Netscape 4.0及后续版本)和电子邮件客户端软件(包括Microsoft Outlook等),可存放于计算机硬盘、智能卡、USB电子密钥中。

(三)机构员工证书

机构员工证书颁发给独立的机构员工,在网上证明机构中某个人的身份,对对外代表单位中具体的某一位员工进行合法的电子签名。

(四)设备证书

设备证书主要颁发给Web站点或其他需要安全鉴别的服务器,证明服务器的身份信息。服务器数字证书一般应能支持主流的服务器,如IIS(Internet Information Setver)、Lotus Domino、Apache、iPlant等。服务器数字证书可存放于服务器硬盘或加密硬件设备上。

(五)全球服务器证书

全球服务器证书是发放给全球范围内网站的数字证书,支持业界所有主流的浏览器和Web服务器,能够轻松地实现网站服务器的身份认证,解决网站访问中的网络钓鱼、网络窃听、数据篡改等安全问题,有力地提高网站的公信度和市场竞争力。

网证通的全球服务器证书产品分为两种:SSL全球服务器证书(SSL证书)和增强型验证全球服务器证书(EV证书)两种,能够快速实现网站的安全保护。SSL证书是专业级Web服务器证书产品,支持256位加密强度,为Web服务器提供高强度的SSL安全保障,无须安装根证书,支持业界99%以上的Web浏览器。EV证书具有SSL证书的全部功能,用户使用IE 7或以上级别的浏览器访问安装了EV证书的网站时地址栏将呈现绿色,革命性地实现了“安全看得见”的问题,可以帮助客户更加有效地防范目前极为猖獗的网络钓鱼攻击。

数字证书颁发过程一般为:用户(或在认证中心帮助下)首先产生自己的密钥对[5],并将公共密钥及用户基本身份信息传送给认证中心;认证中心在核实身份后,将执行一些必要的步骤,以确信请求由该用户发送而来;在完成缴费手续后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和其公钥信息,同时还附有认证中心的数字签名信息。这样,用户就可以使用自己的数字证书进行各种电子商务活动了。当然,在使用之前,用户要按发证机构给的使用说明安装好证书。有些机构的证书会自动安装好,如支付宝数字证书可以即时申请、即时开通、即时使用,不需要使用者掌握任何数字证书相关知识。

要产生服务器证书的密钥对,还可在IIS服务器上的“管理工具”下,打开“Internet服务管理器”,然后打开要为之申请证书的站点的属性;打开“目录安全”页,在“目录安全”页中点击“安全通信”区中的“服务器证书”,选择“创建一个新证书”,便可以准备证书申请了,但一般只能在认证机构的证书申请页上提交证书请求,按其规定步骤进行。通常,认证中心的密钥管理中心(Key Management Centre,KMC)都有产生密钥对的设备和服务,许多数字证书申请者也是由认证中心帮助产生密钥对的。但如果是电子(数字)签名证书的密钥对,一般是由证书订户用自己的密码设备(如电子密钥或智能IC卡)产生并保管。公钥一般标示于认证中心的在线数据库、存储库或其他公共目录中,任何人都可以得到。

只有通过国家认证的电子认证服务机构(CA机构)才有制作和发放合法数字证书的资格,用户可以到任何一家具有资质的CA机构为自己申请数字证书,也可以为一台设备申请设备证书(服务器证书)。广东省电子商务认证有限公司就是国内第一批获得电子认证服务行政许可等相关资质的CA认证机构之一。

如何获得好友或往来客户、供应商的数字证书以便与其加密通信呢?最简单的方法是请对方发送一份电子签名邮件,即可获得其数字证书。也可以在CA中心查询对方数字证书,下载并安装该数字证书。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈