论文部分内容阅读
在网络上,有一些东西我们可能并不了解,却已经在不知不觉中享受到了它们带来的便利,数字证书便是其中之一。对于经常使用网上银行的用户来说,数字证书更是一张看不见的“保护网”,在你使用的过程中无时无刻不在为你保驾护航。可以预见的是,已经在互联网上的各种业务和应用中得到广泛使用的数字证书,将会在我们的网络生活中发挥越来越重要的作用。那么,你了解数字证书技术吗?你知道数字证书可以应用在哪些方面吗?你想让数字证书技术更好地为自己服务吗?
图1
一、要上网 先拿“本儿”!
如同司机要驾车上路必须先取得驾驶执照、居民必须申办居民身份证或者其他有效证件一样,我们在网络上进行电子商务等活动时,也需要向对方证明自己的合法身份,而数字证书便起到了这样的作用。有了数字证书,我们在网络上就可以畅通无阻了。因此,将数字证书称为“Internet上的身份证”一点也不为过。说到证书,很多人就容易往小学生的“三好学生”奖状上联想,其实数字证书是数字格式的电子文件(后面会介绍查看方法),一般就存在电脑里面。它不是营业执照,并不需要打印出来贴在墙上呦!
数字证书也就是我们平常说称的数字标识 (Digital Certificate,Digital ID),是目前网络上应用最为广泛的信息安全技术之一,它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。数字证书一般由权威公正的第三方机构即CA(Certificate Authority)机构,也称为证书授权中心所签发,主要用于网上安全交往的身份认证。
图2
二、身临其境 证书揭秘
现在,我们对数字证书已经有了一个直观的感觉,那么,数字证书到底包含了一些什么内容,使得它有如此之大的公信力呢?
在IE浏览器菜单栏上依次单击“工具→Internet选项→内容”,点击“证书”按钮,打开“证书”对话框。在该对话框中便包含了所有已经安装在本机上的数字证书。选定其中的某个数字证书,单击“查看”,然后进入该证书的“详细信息”选项卡,即可看到数字证书的内容了(见图1)。
从图中我们可以看出,一个标准的X.509数字证书包含以下一些内容:
证书的版本信息:它用来区别X.509的各种连续的版本。默认值是1988版本。
序列号:序列号是一个整数值,在发行的证书颁发机构中是惟一的。序列号与证书有明确联系,这就像我们的身份证号码和我们的个人资料一一对应,有着明确的联系一样。
算法识别符:算法识别符识别证书颁发机构用来签署证书的算法。证书颁发机构使用它的私钥对每个证书进行签名。
发行者或证书颁发机构:证书颁发机构是创建这个证书的机构。
有效期:提供证书有效的起止日期,类似于我们所使用的银行信用卡的期限或者身份证的有效期。现在通用的证书一般采用UTC时间格式,计时范围为1950-2049。
主体:证书对他的身份进行验证。
公钥信息:即证书所有人的公开密钥,为证书识别的主体提供公钥和算法识别符。
签名:证书发行者对证书的签名。证书签名覆盖了证书的所有其他字段。签名是其他字段的哈希代码,使用证书颁发机构的私钥进行加密,保证整个证书中信息的完整性。如果有人使用了证书颁发机构的公钥来解密这个哈希代码,同时计算了证书的哈希代码,而两者并不相同,那么证书的某一部分就肯定被非法更改了。
图3
三、严厉打击伪造身份证!
北京街头“办证”的小广告屡禁不止,总有不法之徒在做着伪造证件的勾当。电脑中的信息很容易删改,又如何防伪呢?既然数字证书能够在因特网上起到身份证明的作用,那它到底是通过什么方式来获得这种特殊的地位呢?
简单地说,数字证书是以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立安全有效的信任机制。利用数字证书技术在互联网上传输数据的基本原理我们可以这样来理解:首先,传输的双方互相交换证书,“验明正身”后数据的发送方利用证书中的公钥对数据进行加密,这样就可以保证只有合法的用户才能对数据进行解密;或者发送方利用自己的私钥对数据进行数字签名,保证了传输数据的真实性和不可否认性。
图4
1.数据加密全过程
数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候,会得到一把私钥和一个数字证书(公钥)。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当你向朋友发送一份保密文件时,需要使用对方的公钥对数据加密,朋友收到文件后,则使用自己的私钥解密,如果你没有私钥,就不能解密文件,从而保证数据的安全保密性。这种加密是不可逆的,即使你已知明文、密文和公钥,也无法推导出私钥。
打个很浅显的比方,这就好比我们自己制造了很多的锁,而这些锁只有一把钥匙能够开启,钥匙就掌握在我们手中。然后我们将锁分送给不同的朋友,让他们在给自己寄送的物品上加锁,这样就可以保证只有我们本人拿着那把惟一的钥匙,才能够打开锁收取朋友的物品了。当然,如果我们的钥匙被别人拿去了,别人也就可以打开锁来偷取其中的东西了。
2.给我签个名好吗?
除了进行加密外,用户也可以采用自己的私钥对信息加以处理。由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字签名能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实原始文件。
四、没带身份证 请勿出门!
也许有的读者会问:我平时上网都没有什么问题,为什么还需要数字证书呢?的确,如果你对互联网上数据传输的要求并不是很高的话,数字证书发挥的余地并不大。可是,如果你对数据的安全性有一定的要求,如访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税、网上购物等网上的安全电子事务处理和安全电子交易活动等,数字证书就显得必不可少了。
五、如何获得数字证书?
数字证书分为很多种类别,包括代码签名证书、安全电子邮件证书、个人和单位身份证书以及服务器证书等。不同类别应用的场合也有所区别,比方说代码签名证书主要应用在给程序签名领域,而安全电子邮件证书则是用于给邮件数字签名。个人数字证书则广泛应用于给Office XP文档、软件代码、XML文件、Email等文件数字签名。那么我们如何能获得自己需要的证书呢?
目前提供数字证书的CA机构很多,我们可以直接在网上进行申请,例如网证通电子认证系统(https://testca.netca.net/)、中国数字认证网(http://www.ca365.com)、广东省电子商务认证中心(http://www.cnca.net/)、博大证书(http://ca.foxmail.com.cn/)、天威诚信(http://www.itrus.com.cn)等,一些CA中心还提供了免费试用的数字证书,在试用期内用户可以免费使用,有点类似于共享软件的试用期。下面我们就简单介绍一下如何申请个人数字证书。
登录https://testca.netca.net,在主页上点击“证书申请”,选择“试用型个人数字证书申请”。如果你的计算机中没有安装根证书(证书链),则可以单击“安装证书链”按钮来进行安装(见图2),完成后再点击“继续”按钮进入到下一页面,在该页面中按照表单的提示输入个人信息后,单击“继续”按钮,如果系统接受了你的请求,将会给出业务受理号和密码,单击“安装证书”,在安装页面中填入刚才得到的受理号和密码完成身份校验即可点击“安装证书”图标来安装网站签发的数字证书了(见图3)。
现在,进入到IE浏览器的“工具→选项→内容→证书→个人”,在其中我们就可以看到自己刚才申请的个人数字证书了。
除了上面这种可以直接安装在计算机中的数字证书外,现在还有一种新型的数字证书,那就是移动数字证书,也就是通常所说的USB数字证书。这种证书并不是存在于计算机中,而是将私钥储存在了一个单独的USB设备中,使得证书可以随身携带, 与传统以加密文件存储在电脑中的文件数字证书相比,USB数字证书更加便捷,安全性也更高。
六、网上银行——无证莫入
目前许多银行比方说招商银行、工商银行、建设银行都提供了USB数字证书的申请服务,我们只要携带自己的身份证件,填写好申请表格并缴纳一定的费用后,便可以获得银行提供的USB数字证书了,申请流程如图4。USB数字证书可在任何一台电脑上使用,但必须将USB数字证书插入电脑的USB接口,相比文件数字证书必须在安装有此证书的电脑上使用,USB数字证书可以随时随地使用,其优越性就体现出来了。
图1
一、要上网 先拿“本儿”!
如同司机要驾车上路必须先取得驾驶执照、居民必须申办居民身份证或者其他有效证件一样,我们在网络上进行电子商务等活动时,也需要向对方证明自己的合法身份,而数字证书便起到了这样的作用。有了数字证书,我们在网络上就可以畅通无阻了。因此,将数字证书称为“Internet上的身份证”一点也不为过。说到证书,很多人就容易往小学生的“三好学生”奖状上联想,其实数字证书是数字格式的电子文件(后面会介绍查看方法),一般就存在电脑里面。它不是营业执照,并不需要打印出来贴在墙上呦!
数字证书也就是我们平常说称的数字标识 (Digital Certificate,Digital ID),是目前网络上应用最为广泛的信息安全技术之一,它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。数字证书一般由权威公正的第三方机构即CA(Certificate Authority)机构,也称为证书授权中心所签发,主要用于网上安全交往的身份认证。
图2
二、身临其境 证书揭秘
现在,我们对数字证书已经有了一个直观的感觉,那么,数字证书到底包含了一些什么内容,使得它有如此之大的公信力呢?
在IE浏览器菜单栏上依次单击“工具→Internet选项→内容”,点击“证书”按钮,打开“证书”对话框。在该对话框中便包含了所有已经安装在本机上的数字证书。选定其中的某个数字证书,单击“查看”,然后进入该证书的“详细信息”选项卡,即可看到数字证书的内容了(见图1)。
从图中我们可以看出,一个标准的X.509数字证书包含以下一些内容:
证书的版本信息:它用来区别X.509的各种连续的版本。默认值是1988版本。
序列号:序列号是一个整数值,在发行的证书颁发机构中是惟一的。序列号与证书有明确联系,这就像我们的身份证号码和我们的个人资料一一对应,有着明确的联系一样。
算法识别符:算法识别符识别证书颁发机构用来签署证书的算法。证书颁发机构使用它的私钥对每个证书进行签名。
发行者或证书颁发机构:证书颁发机构是创建这个证书的机构。
有效期:提供证书有效的起止日期,类似于我们所使用的银行信用卡的期限或者身份证的有效期。现在通用的证书一般采用UTC时间格式,计时范围为1950-2049。
主体:证书对他的身份进行验证。
公钥信息:即证书所有人的公开密钥,为证书识别的主体提供公钥和算法识别符。
签名:证书发行者对证书的签名。证书签名覆盖了证书的所有其他字段。签名是其他字段的哈希代码,使用证书颁发机构的私钥进行加密,保证整个证书中信息的完整性。如果有人使用了证书颁发机构的公钥来解密这个哈希代码,同时计算了证书的哈希代码,而两者并不相同,那么证书的某一部分就肯定被非法更改了。
图3
三、严厉打击伪造身份证!
北京街头“办证”的小广告屡禁不止,总有不法之徒在做着伪造证件的勾当。电脑中的信息很容易删改,又如何防伪呢?既然数字证书能够在因特网上起到身份证明的作用,那它到底是通过什么方式来获得这种特殊的地位呢?
简单地说,数字证书是以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立安全有效的信任机制。利用数字证书技术在互联网上传输数据的基本原理我们可以这样来理解:首先,传输的双方互相交换证书,“验明正身”后数据的发送方利用证书中的公钥对数据进行加密,这样就可以保证只有合法的用户才能对数据进行解密;或者发送方利用自己的私钥对数据进行数字签名,保证了传输数据的真实性和不可否认性。
图4
1.数据加密全过程
数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候,会得到一把私钥和一个数字证书(公钥)。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当你向朋友发送一份保密文件时,需要使用对方的公钥对数据加密,朋友收到文件后,则使用自己的私钥解密,如果你没有私钥,就不能解密文件,从而保证数据的安全保密性。这种加密是不可逆的,即使你已知明文、密文和公钥,也无法推导出私钥。
打个很浅显的比方,这就好比我们自己制造了很多的锁,而这些锁只有一把钥匙能够开启,钥匙就掌握在我们手中。然后我们将锁分送给不同的朋友,让他们在给自己寄送的物品上加锁,这样就可以保证只有我们本人拿着那把惟一的钥匙,才能够打开锁收取朋友的物品了。当然,如果我们的钥匙被别人拿去了,别人也就可以打开锁来偷取其中的东西了。
2.给我签个名好吗?
除了进行加密外,用户也可以采用自己的私钥对信息加以处理。由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字签名能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实原始文件。
四、没带身份证 请勿出门!
也许有的读者会问:我平时上网都没有什么问题,为什么还需要数字证书呢?的确,如果你对互联网上数据传输的要求并不是很高的话,数字证书发挥的余地并不大。可是,如果你对数据的安全性有一定的要求,如访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税、网上购物等网上的安全电子事务处理和安全电子交易活动等,数字证书就显得必不可少了。
五、如何获得数字证书?
数字证书分为很多种类别,包括代码签名证书、安全电子邮件证书、个人和单位身份证书以及服务器证书等。不同类别应用的场合也有所区别,比方说代码签名证书主要应用在给程序签名领域,而安全电子邮件证书则是用于给邮件数字签名。个人数字证书则广泛应用于给Office XP文档、软件代码、XML文件、Email等文件数字签名。那么我们如何能获得自己需要的证书呢?
目前提供数字证书的CA机构很多,我们可以直接在网上进行申请,例如网证通电子认证系统(https://testca.netca.net/)、中国数字认证网(http://www.ca365.com)、广东省电子商务认证中心(http://www.cnca.net/)、博大证书(http://ca.foxmail.com.cn/)、天威诚信(http://www.itrus.com.cn)等,一些CA中心还提供了免费试用的数字证书,在试用期内用户可以免费使用,有点类似于共享软件的试用期。下面我们就简单介绍一下如何申请个人数字证书。
登录https://testca.netca.net,在主页上点击“证书申请”,选择“试用型个人数字证书申请”。如果你的计算机中没有安装根证书(证书链),则可以单击“安装证书链”按钮来进行安装(见图2),完成后再点击“继续”按钮进入到下一页面,在该页面中按照表单的提示输入个人信息后,单击“继续”按钮,如果系统接受了你的请求,将会给出业务受理号和密码,单击“安装证书”,在安装页面中填入刚才得到的受理号和密码完成身份校验即可点击“安装证书”图标来安装网站签发的数字证书了(见图3)。
现在,进入到IE浏览器的“工具→选项→内容→证书→个人”,在其中我们就可以看到自己刚才申请的个人数字证书了。
除了上面这种可以直接安装在计算机中的数字证书外,现在还有一种新型的数字证书,那就是移动数字证书,也就是通常所说的USB数字证书。这种证书并不是存在于计算机中,而是将私钥储存在了一个单独的USB设备中,使得证书可以随身携带, 与传统以加密文件存储在电脑中的文件数字证书相比,USB数字证书更加便捷,安全性也更高。
六、网上银行——无证莫入
目前许多银行比方说招商银行、工商银行、建设银行都提供了USB数字证书的申请服务,我们只要携带自己的身份证件,填写好申请表格并缴纳一定的费用后,便可以获得银行提供的USB数字证书了,申请流程如图4。USB数字证书可在任何一台电脑上使用,但必须将USB数字证书插入电脑的USB接口,相比文件数字证书必须在安装有此证书的电脑上使用,USB数字证书可以随时随地使用,其优越性就体现出来了。