网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


数字证书:你在因特网上的身份证

2008-11-20 19:16 推荐: 浏览: 32 views 字号:

摘要: 在网络上,有一些东西我们可能并不了解,却已经在不知不觉中享受到了它们带来的便利,数字证书便是其中之一。对于经常使用网上银行的用户来说,数字证书更是一张看不见的“保护网”,在你使用的过程中无时不刻不在为 你保驾护航。可以预见的是,已经在互联网上的各种业务和应用...

在网络上,有一些东西我们可能并不了解,却已经在不知不觉中享受到了它们带来的便利,数字证书便是其中之一。对于经常使用网上银行的用户来说,数字证书更是一张看不见的“保护网”,在你使用的过程中无时不刻不在为
你保驾护航。可以预见的是,已经在互联网上的各种业务和应用中得到广泛使用的数字证书,将会在我们的网络生活中发挥越来越重要的作用。那么,你了解数字证书技术吗?你知道数字证书可以应用在哪些方面吗?你想让数字证书技术更好的为自己服务吗?
一、要上网 先拿“本儿”!

如同司机要驾车上路必须先取得驾驶执照、居民必须申办居民身份证或者其他有效证件一样,我们在网络上进行电子商务等活动时,也需要向对方证明自己的合法身份,而数字证书便起到了这样的作用。有了数字证书,我们在网络上就可以畅通无阻了。因此,将数字证书称为“Internet上的身份证”一点也不为过。说到证书,很多人容易就容易往小学生的“三好学生”奖状联想,其实数字证书是数字格式的电子文件(后面会介绍查看方法),一般就存在电脑里面。它不是营业执照,并不需要打印出来贴在墙上呦!

数字证书也就是我们平常说称的数字标识 (Digital Certificate,Digital ID),是目前网络上应用最为广泛的信息安全技术之一,它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。数字证书一般由权威公正的第三方机构即CA(Certificate Authority)机构,也称为证书授权中心所签发,主要用于网上安全交往的身份认证。

从比较专业的角度来说,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。

二、身临其境 证书揭秘

现在,我们对数字证书已经有了一个直观的感觉,那么,数字证书到底包含了一些什么内容,使得它有如此之大的公信力呢?

在IE浏览器菜单栏上依次单击“工具→Internet选项→内容”,点击“证书”按钮,打开“证书”对话框。在该对话框中便包含了所有已经安装在本机上的数字证书。选定其中的某个数字证书,单击“查看”,然后进入该证书的“详细信息”选项卡,即可看到数字证书的内容了(见图1)。

从图中我们可以看出,一个标准的X.509数字证书包含以下一些内容:

  证书的版本信息:它用来区别X.509的各种连续的版本。默认值是1988版本。

  序列号:序列号是一个整数值,在发行的证书颁发机构中是惟一的。序列号与证书有明确联系,这就像我们的身份证号码和我们的个人资料一一对应,有着明确的联系一样。

  算法识别符:算法识别符识别证书颁发机构用来签署证书的算法。证书颁发机构使用它的私钥对每个证书进行签名。

  发行者或证书颁发机构:证书颁发机构是创建这个证书的机构。

  有效期:提供证书有效的起止日期,类似于我们所使用的银行信用卡的期限或者身份证的有效期。现在通用的证书一般采用UTC时间格式,计时范围为1950-2049;

  主体:证书对他的身份进行验证。

  公钥信息:即证书所有人的公开密钥,为证书识别的主体提供公钥和算法识别符。

  签名:证书发行者对证书的签名。证书签名覆盖了证书的所有其他字段。签名是其他字段的哈希代码,使用证书颁发机构的私钥进行加密,保证整个证书中信息的完整性。如果有人使用了证书颁发机构的公钥来解密这个哈希代码,同时计算了证书的哈希代码,而两者并不相同,那么证书的某一部分就肯定被非法更改了。

三、严厉打击伪造身份证!

北京街头“办证”的小广告屡禁不止,总有不法之徒在做着伪造证件的勾当。电脑中的信息很容易删改,又如何防伪呢?既然数字证书能够在因特网上起到身份证明的作用,那它到底是通过什么方式来获得这种特殊的地位呢?

简单地说,数字证书是以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在Internet上建立安全有效的信任机制。利用数字证书技术在互联网上传输数据的基本原理我们可以这样来理解:首先,传输的双方互相交换证书,“验明正身”后数据的发送方利用证书中的公钥对数据进行加密,这样就可以保证只有合法的用户才能对数据进行解密;或者发送方利用自己的私钥对数据进行数字签名,保证了传输数据的真实性和不可否认性。

1.数据加密全过程

数字证书技术利用一对互相匹配的密钥进行加密、解密。当你申请证书的时候,会得到一把私钥和一个数字证书(公钥)。每个用户自己设定一把特定的仅为本人所有的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。

当你向朋友发送一份保密文件时,需要使用对方的公钥对数据加密,朋友收到文件后,则使用自己的私钥解密,如果你没有私钥,就不能解密文件,从而保证数据的安全保密性。这种加密是不可逆的,即使你已知明文、密文和公钥,也无法推导出私钥。

打个很浅显的比方,这就好比我们自己制造了很多的锁,而这些锁只有一把钥匙能够开启,钥匙就掌握在我们手中。然后我们将锁分送给不同的朋友,让他们在给自己寄送的物品上加锁,这样就可以保证只有我们本人拿这那把惟一的钥匙,才能够打开锁收取朋友的物品了。当然,如果我们的钥匙被别人拿去了,别人也就可以打开锁来偷取其中的东西了。

2.给我签个名好吗?

除了进行加密外,用户也可以采用自己的私钥对信息加以处理。由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。数字签名能够确认以下两点:

(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;

(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实原始文件。

这就有点像我们日常生活中的签字或者盖章,排除掉他人伪造的情况,一旦文件上有签名或者盖章,就意味着文件的有效性,签发者也必须要对其内容负责。

四、没带身份证 请勿出门!

也许有的读者会问:我平时上网都没有什么问题,为什么还需要数字证书呢?的确,如果你对互联网上数据传输的要求并不是很高的话,数字证书发挥的余地并不大。可是,如果你对数据的安全性有一定的要求,如访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税、网上购物等网上的安全电子事务处理和安全电子交易活动等,数字证书就显得必不可少了。

通常来说,网络安全的四大要素,也就是信息传输的保密性、数据交换的完整性、

联系站长租广告位!

中国首席信息安全官


关闭


关闭