數字證書

文檔介紹

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特征就是隻在特定的時間段内有效。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA（例如中國各地方的CA公司）中心簽發的證書，也可以由企業級CA系統進行簽發。

它以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，确保網上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丢失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它是能提供在Internet上進行身份驗證的一種權威性電子文檔，人們可以在互聯網交往中用它來證明自己的身份和識别對方的身份。當然在數字證書認證的過程中證書認證中心（CA）作為權威的，公正的，可信賴的第三方，其作用是至關重要的。如何判斷數字認證中心公正第三方的地位是權威可信的？截至2014年3月11日，國家工業和信息化部以資質合規的方式，陸續向30多家相關機構頒發了從業資質。

由于Internet電子商務系統技術使得顧客在網上購物時能夠極其方便地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。為了保證互聯網上電子交易及支付的安全性，保密性等，防範交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，并且在網上能夠有效無誤的被進行驗證。

數字證書可用于：發送安全電子郵件、訪問安全站點、網上證券交易、網上招标采購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

原理

數字證書裡存有很多數字和英文，當使用數字證書進行身份認證時，它将随機生成128位的身份碼，每份數字證書都能生成相應但每次都不可能相同的數碼，從而保證數據傳輸的保密性，即相當于生成一個複雜的密碼。

數字證書綁定了公鑰及其持有者的真實身份，它類似于現實生活中的居民身份證，所不同的是數字證書不再是紙質的證照，而是一段含有證書持有者身份信息并經過認證中心審核簽發的電子數據，可以更加方便靈活地運用在電子商務和電子政務中。

特點

安全性

（1）為了避免傳統數字證書方案中，由于使用不當造成的證書丢失等安全隐患，支付寶創造性的推出雙證書解決方案：支付寶會員在申請數字證書時，将同時獲得兩張證書，一張用于驗證支付寶賬戶，另一張用于驗證會員當前所使用的計算機。（2）第二張證書不能備份，會員必須為每一台計算機重新申請一張。這樣即使會員的數字證書被他人非法竊取，仍可保證其賬戶不會受到損失。（3）支付盾是一個類似于U盤的實體安全工具，它内置的微型智能卡處理器能阻擋各種的風險，讓您的賬戶始終處于安全的環境下。目前（2015.06）保證電子郵件安全性所使用的方式是數字證書。

唯一性

（1）支付寶數字證書根據用戶身份給予相應的網絡資源訪問權限（2）申請使用數字證書後，如果在其他電腦登錄支付寶賬戶，沒有導入數字證書備份的情況下，隻能查詢賬戶，不能進行任何操作，這樣就相當于您擁有了類似“鑰匙”一樣的數字憑證，增強賬戶使用安全。

方便性

（1）即時申請、即時開通、即時使用。（2）量身定制多種途徑維護數字證書，例如通過短信，安全問題等。（3）不需要使用者掌握任何數字證書相關知識，也能輕松掌握。

相關作用

基于Internet網的電子商務系統技術使在網上購物的顧客能夠極其方便輕松地獲得商家和企業的信息，但同時也增加了對某些敏感或有價值的數據被濫用的風險。買方和賣方都必須對于在因特網上進行的一切金融交易運作都是真實可靠的，并且要使顧客、商家和企業等交易各方都具有絕對的信心，因而因特網（Internet）電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網絡安全的四大要素，即信息傳輸的保密性、數據交換的完整性、發送信息的不可否認性、交易者身份的确定性。

信息的保密性

交易中的商務信息均有保密的要求。如信用卡的帳号和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競争對手獲悉，就可能喪失商機。因此在電子商務的信息傳播中一般均有加密的要求。

交易者身份的确定性

網上交易的雙方很可能素昧平生，相隔千裡。要使交易成功首先要能确認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地确認對方身份是交易的前提。對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的号碼是不知道的，商店隻能把信用卡的确認工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識别方法，确認顧客的身份是否合法，同時還要防止發生拒付款問題以及确認訂貨和訂貨收據信息等。

不可否認性

由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單後，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環節都必須是不可否認的。

不可修改性

交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單後，發現金價大幅上漲了，如其能改動文件内容，将訂購數1噸改為1克，則可大幅受益，那麼訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。

人們在感歎電子商務的巨大潛力的同時，不得不冷靜地思考，在人與人互不見面的計算機互聯網上進行交易和作業時，怎麼才能保證交易的公正性和安全性，保證交易雙方身份的真實性。國際上已經有比較成熟的安全解決方案，那就是建立安全證書體系結構。數字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數字簽名、數字信封等技術。

我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來确認接收方的身份；發送方對于自己的信息不能抵賴。

授權機構

CA機構，又稱為證書授證（CertificateAuthority）中心，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能僞造和篡改證書。

它負責産生、分配并管理所有參與網上交易的個體所需的數字證書，因此是安全電子交易的核心環節。由此可見，建設證書授權（CA）中心，是開拓和規範電子商務市場必不可少的一步。為保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實性進行驗證，也需要有一個具有權威性、公正性、唯一性的機構，負責向電子商務的各個主體頒發并管理符合國内、國際安全電子交易協議标準的電子商務安全證書。

工作原理

數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即隻有用私有密鑰才能解密。

在公開密鑰密碼體制中，常用的一種是RSA體制。其數學原理是将一個大數分解成兩個質數的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按現在的計算機技術水平，要破解目前采用的1024位RSA密鑰，需要上千年的計算時間。公開密鑰技術解決了密鑰發布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，然後由商戶用自己的私有密鑰進行解密。

用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就産生了别人無法生成的文件，也就形成了數字簽名。采用數字簽名，能夠确認以下兩點：

保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認

保證信息自簽發後到收到為止未曾作過任何修改，簽發的文件是真實文件。

數字簽名

将報文按雙方約定的HASH算法計算得到一個固定位數的報文摘要。在數學上保證：隻要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。

将該報文摘要值用發送者的私人密鑰加密（對明文進行解密完全沒問題，會得出一個不可讀的“明文”），然後連同原報文一起發送給接收者，而“加密”後的報文即稱數字簽名。

接收方收到數字簽名後，用同樣的HASH算法對原報文計算出報文摘要值，然後與用發送者的公開密鑰對數字簽名進行解密（原先已經把簽名加密了，再解密就能還原）得到的報文摘要值相比較。如相等則說明報文确實來自所稱的發送者。

（由于隻有擁有私鑰的簽名者能通過“解密”摘要生成簽名，因此具有安全和不可抵賴性。）

那為什麼是對報文摘要進行加密，而不是對原報文進行加密呢？這是因為RSA加解密非常耗時，被加密的報文越大，耗得時間越多，因此聰明的人類對其摘要進行加密，（因為報文摘要是要比原報文小得多），仍然能夠起到同樣的作用。這就是為什麼多了個報文摘要。

分類

基于數字證書的應用角度分類，數字證書可以分為以下幾種：

服務器證書

服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止欺詐釣魚站點。

在服務器上安裝服務器證書後，客戶端浏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸的任何數據都會被加密。同時，浏覽器會自動驗證服務器證書是否有效，驗證所訪問的站點是否是假冒站點，服務器證書保護的站點多被用來進行密碼登錄、訂單處理、網上銀行交易等。全球知名的服務器證書品牌有GlobalSign，Verisign，Thawte，Geotrust等。

SSL證書主要用于服務器(應用)的數據傳輸鍊路加密和身份認證，綁定網站域名，不同的産品對于不同價值的數據和要求不同的身份認證。

最新的高端SSL證書産品是擴展驗證（EV）SSL證書。在IE7.0、FireFox3.0、Opera9.5等新一代高安全浏覽器下，使用擴展驗證VeriSign（EV）SSL證書的網站的浏覽器地址欄會自動呈現綠色，從而清晰地告訴用戶正在訪問的網站是經過嚴格認證的。

SSL證書還有企業型SSL證書(OVSSL)及域名型證書（DVSSL）。

電子郵件證書

電子郵件證書可以用來證明電子郵件發件人的真實性。它并不證明數字證書上面CN一項所标識的證書所有者姓名的真實性，它隻證明郵件地址的真實性。

收到具有有效電子簽名的電子郵件，我們除了能相信郵件确實由指定郵箱發出外，還可以确信該郵件從被發出後沒有被篡改過。

另外，使用接收的郵件證書，我們還可以向接收方發送加密郵件。該加密郵件可以在非安全網絡傳輸，隻有接收方的持有者才可能打開該郵件。

個人證書

客戶端證書主要被用來進行身份驗證和電子簽名。

安全的客戶端證書被存儲于專用的usbkey中。存儲于key中的證書不能被導出或複制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的種類有多種，指紋識别、第三鍵确認，語音報讀，以及帶顯示屏的專用usbkey和普通usbkey等。

數字證書在廣義上可分為：個人數字證書、單位數字證書、單位員工數字證書、服務器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。

證書格式

數字證書的格式普遍采用的是X.509V3國際标準，一個标準的X.509數字證書包含以下一些内容：

證書的版本信息；

證書的序列号，每個證書都有一個唯一的證書序列号；

證書所使用的簽名算法；

證書的發行機構名稱，命名規則一般采用X.500格式；

證書的有效期，通用的證書一般采用UTC時間格式，它的計時範圍為1950-2049；

證書所有人的名稱，命名規則一般采用X.500格式；

證書所有人的公開密鑰；

證書發行者對證書的簽名。

依據《電子認證服務管理辦法》《中華人民共和國電子簽名法》，目前國内有30家機構獲得相關資質，具體資質可以查詢工業信息化部網站。

數字證書文件格式（cer和pfx）的區别：

作為文件形式存在的證書一般有這幾種格式：

1.帶有私鑰的證書由PublicKeyCryptographyStandards#12，PKCS#12标準定義，包含了公鑰和私鑰的二進制格式的證書形式，以pfx作為證書文件後綴名。

2.二進制編碼的證書證書中沒有私鑰，DER編碼二進制格式的證書文件，以cer作為證書文件後綴名。

3.Base64編碼的證書證書中沒有私鑰，BASE64編碼格式的證書文件，也是以cer作為證書文件後綴名。

由定義可以看出，隻有pfx格式的數字證書是包含有私鑰的，cer格式的數字證書裡面隻有公鑰沒有私鑰。

在pfx證書的導入過程中有一項是“标志此密鑰是可導出的。這将您在稍候備份或傳輸密鑰”。一般是不選中的，如果選中，别人就有機會備份你的密鑰了。如果是不選中，其實密鑰也導入了，隻是不能再次被導出。這就保證了密鑰的安全。

如果導入過程中沒有選中這一項，做證書備份時“導出私鑰”這一項是灰色的，不能選。隻能導出cer格式的公鑰。如果導入時選中該項，則在導出時“導出私鑰”這一項就是可選的。

如果要導出私鑰（pfx),是需要輸入密碼的，這個密碼就是對私鑰再次加密，這樣就保證了私鑰的安全，别人即使拿到了你的證書備份（pfx),不知道加密私鑰的密碼，也是無法導入證書的。相反，如果隻是導入導出cer格式的證書，是不會提示你輸入密碼的。因為公鑰一般來說是對外公開的，不用加密。

證書申請

一般來講，用戶要攜帶有關證件到各地的證書受理點，或者直接到證書發放機構即CA中心填寫申請表并進行身份審核，審核通過後交納一定費用就可以得到裝有證書的相關介質（磁盤或Key）和一個寫有密碼口令的密碼信封。

域名型的證書申請的時候，無須遞交書面審查資料，僅需進行域名有效性驗證，網上申請。而企業型證書需要進行嚴格的網站所有權的真實身份驗證，證書标示企業組織機構詳情，強化信任度。增強型證書除了進行嚴格的網站所有權的真實身份驗證之外，還加入第三方驗證，證書标示增強組織機構詳情，強化信任度。

使用方法

用戶在進行需要使用證書的網上操作時，必須準備好裝有證書的存儲介質。如果用戶是在自己的計算機上進行操作，操作前必須先安裝CA根證書。一般所訪問的系統如果需要使用數字證書會自動彈出提示框要求安裝根證書，用戶直接選擇确認即可；當然也可以直接登陸CA中心的網站，下載安裝根證書。

操作時，一般系統會自動提示用戶出示數字證書或者插入證書介質（IC卡或Key），用戶插入證書介質後系統将要求用戶輸入密碼口令，此時用戶需要輸入申請證書時獲得的密碼信封中的密碼，密碼驗證正确後系統将自動調用數字證書進行相關操作。使用後，用戶應記住取出證書介質，并妥善保管。當然，根據不同系統數字證書會有不同的使用方式，但系統一般會有明确提示，用戶使用起來都較為方便。

應用

随着Internet的普及、各種電子商務活動和電子政務活動的飛速發展，數字證書的應用是廣泛的，目前（2015.06）主要包括：發送安全電子郵件、訪問安全站點、網上招标投标、網上簽約、網上訂購、安全網上公文傳送、網上繳費、網上繳稅、網上炒股、網上購物和網上報關等。其中包括大家最為熟悉的用于網上銀行的USBkey和部分使用數字證書的VIEID即網絡身份證。

網絡身份證

全稱：(Virtualidentityelectronicidentification)虛拟身份電子标識。

網絡身份證（VIEID）是互聯網絡信息世界中标識用戶身份的工具，用于在網絡通訊中識别通訊各方的身份及表明我們的身份或某種資格。VIEID并不是全部基于數字證書的。

背景

在互聯網時代，人們以網絡為平台構建了一個繁榮的互聯網社會。在這個特殊的社會裡，巨量基于互聯網

的各種應用服務和人數衆多的網民構成了互聯網的根本，但也因此使得互聯網雜亂不堪和危險。在這種以網絡代碼基礎的交流方式裡，人們以虛拟的身份出現，正是這種交流方式給于了不法份子以可乘之機進而出現了網絡盜竊、詐騙等違法犯罪活動。基于此，互聯網環境迫切需要變革，而網絡實名制和網絡身份證（VIEID）正是良方。

在這方面，互聯網的發源地美國已先行先試。2011年1月17日奧巴馬政府責成美國商務部，就如何才能妥善地建立一套“網絡身份證”制度盡快出一個解決方案。美國商務部長駱家輝和白宮網絡安全協調員施密特7日在斯坦福經濟政策研究院出席公開活動時透露，總統奧巴馬将于未來數月公開一份名為《身份認證國策》的草案。其它互聯網用戶大國的相關計劃亦已提上日程或正在實施當中。

作用

網絡身份證（VIEID）的出現将使互聯網變的更加簡便、高效、安全與可信。在不久的未來，每一位互聯網的使用者都将擁有一個網絡身份證。這将使你使用各種互聯網服務時更加方便，不需要再填寫煩瑣的注冊信息，隻需要輸入你的網絡身份證号和管理密碼即可輕松完成，且不需要再記住其它的各種煩瑣的賬号和密碼。在你的網絡身份證管理中心可以管理你在互聯網所使用的服務亦可查看你在互聯網留下的所有足迹。比如你注冊使用了facebook、fasdl、QQ、人人網、開心網等，在你的網絡身份證管理中心就能直接使用這些服務而不需要再輸入賬号密碼。在你不想使用某一項服務時，直接在網絡身份證管理中心注銷既可。有了VIEID,互聯網的每一位用戶都可以相互信任彼此的身份，同時，嚴格且完善的隐私管理機制也使得用戶的個人信息免遭洩露。

網上銀行

國慶長假将至，而長假往往是網上銀行交易的高峰期，也是各類網銀欺詐案件的高發期。中國金融認證中心副總經理曹小青2009年9月15日在重慶舉行的2009放心安全使用網銀聯合宣傳年巡展活動上說，消費者放心安全使用網上銀行，除了配合使用銀行提供的安全工具、養成良好的網銀習慣外，一定要學會使用數字證書。

“現在，不少消費者在使用網銀時仍然習慣性地依賴密碼，僅此遠遠不夠。”曹小青說，安全的做法是使用數字證書給自己的賬号加一道鎖，同時最好使用銀行提供的ＵＳＢＫＥＹ，這樣就能夠切斷病毒木馬的攻擊，從而保證資金的安全。據介紹，數字證書相當于用戶網上交易的身份證，它是建立在密碼保護之上的安全性更高的安全機制，當用戶在使用數字證書進行交易時，系統會通過多重加密保障交易信息不被篡改、劫持，以保證用戶交易的安全。

曹小青說，中國金融認證中心發放的數字證書具有法律效力，有賠付承諾，能夠提供有法律依據的數字簽名，能更好地為用戶規避網銀使用風險；如果數字證書因加密機制被破解緻使用戶遭受損失，用戶可向中國金融認證中心索賠。中國金融認證中心是經中國人民銀行和國家信息安全管理機構批準成立的國家級第三方安全認證機構，目前國内開設網上銀行業務的89家銀行中，已有78家銀行納入了中國金融認證中心建設的“統一金融安全認證體系”。曹小青說，由ＣＦＣＡ聯合18家銀行為網銀安全推出“網銀綠色通道”，由ＥＶ證書、網銀病毒專殺工具和反欺詐聯動機制三大核心體系構成，分别從反釣魚網站、反病毒木馬盜竊和打擊網銀犯罪等三個層次為用戶提供全方位保護。