數(shù)字證書的分類與作用

1、數(shù)字證書的分類與作用數(shù)字證書又稱為數(shù)字標識，是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)。它提供了一種在互聯(lián)網(wǎng)上身份驗證的方式，是用來標志和證明網(wǎng)絡通信雙方身份的數(shù)字信息文件。通俗地講，數(shù)字證書就是個人或單位在互聯(lián)網(wǎng)的身份證。     數(shù)字證書是由作為第三方的法定數(shù)字認證中心（CA）中心簽發(fā)，以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密、數(shù)字簽名和簽名驗證，確保網(wǎng)上傳遞信息的機密性、完整性，以及交易實體身份的真實性，簽名信息的不可否認性，從而保障網(wǎng)絡應用的安全性。分類：從數(shù)字證書使用對象的角度分，目前的數(shù)字證書類型主要包括：個人身份證書、 企業(yè)或

2、機構身份證書 、 支付網(wǎng)關證書 、服務器證書、 安全電子郵件證書、個人代碼簽名證書。這些數(shù)字證書特點各有不同。 從數(shù)字證書的技術角度分，CA中心發(fā)放的證書分為兩類：SSL證書和SET證書。一般地說，SSL證書（安全套接層）是服務于銀行對企業(yè)或企業(yè)對企業(yè)的電子商務活動的；而SET（安全電子交易）證書則服務于持卡消費、網(wǎng)上購物。雖然它們都是用于識別身份和數(shù)字簽名的證書，但它們的信任體系完全不同，而且所符合的標準也不一樣。簡單地說，SSL數(shù)字證書的功能作用是通過公開密鑰證明持證人的身份。而SET證書的作用則是，通過公開密鑰證明持證人在指定銀行確實擁有該信用卡賬號，同時也證明了持證人的身份。?下面主要

3、從對象角度說明：個人身份證書 符合 X.509 標準的數(shù)字安全證書，證書中包含個人身份信息和個人的公鑰，用于標識證書持有人的個人身份。數(shù)字安全證書和對應的私鑰存儲于 E-key 中，用于個人在網(wǎng)上進行合同簽定、定單、錄入審核、操作權限、支付信息等活動中標明身份。 企業(yè)或機構身份證書 符合 X.509 標準的數(shù)字安全證書，證書中包含企業(yè)信息和企業(yè)的公鑰，用于標識證書持有企業(yè)的身份。數(shù)字安全證書和對應的私鑰存儲于 E-key 或 IC 卡中，可以用于企業(yè)在電子商務方面的對外活動，如合同簽定、網(wǎng)上證券交易、交易支付信息等方面。支付網(wǎng)關證書? 支付網(wǎng)關證書是證書簽發(fā)中心針對支付網(wǎng)關簽發(fā)的數(shù)字證書，是支

4、付網(wǎng)關實現(xiàn)數(shù)據(jù)加解密的主要工具，用于數(shù)字簽名和信息加密。支付網(wǎng)關證書僅用于支付網(wǎng)關提供的服務(Internet 上各種安全協(xié)議與銀行現(xiàn)有網(wǎng)絡數(shù)據(jù)格式的轉(zhuǎn)換）。 支付網(wǎng)關證書只能在有效狀態(tài)下使用。 支付網(wǎng)關證書不可被申請者轉(zhuǎn)讓。服務器證書 符合 X.509 標準的數(shù)字安全證書，證書中包含服務器信息和服務器的公鑰，在網(wǎng)絡通訊中用于標識和驗證服務器的身份。數(shù)字安全證書和對應的私鑰存儲于 E-key 中。服務器軟件利用證書機制保證與其他服務器或客戶端通信時雙方身份的真實性、安全性、可信任度等。 企業(yè)或機構代碼簽名證書 代碼簽名證書是 CA 中心簽發(fā)給軟件提供商的數(shù)字證書，包含軟件提供商的身份信息、公鑰

5、及 CA 的簽名。軟件提供商使用代碼簽名證書對軟件進行簽名后放到 Internet 上，當用戶在 Internet 上下載該軟件時，將會得到提示，從而可以確信：軟件的來源；軟件自簽名后到下載前，沒有遭到修改或破壞。 代碼簽名證書可以對 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件 進行簽名。 安全電子郵件證書 符合 X.509 標準的數(shù)字安全證書，通過 IE 或 Netscape 申請，用 IE 申請的證書存儲于 WINDOWS 的注冊表中，用 NETSCAPE 申請的存儲于個人用戶目錄下的文件中。用于安全電子郵件或向需要客戶驗證的 WEB 服務器(htt

6、ps 服務) 表明身份。 個人代碼簽名證書 個人代碼簽名證書是 CA 中心簽發(fā)給軟件提供人的數(shù)字證書，包含軟件提供個人的身份信息、公鑰及 CA 的簽名。軟件提供人使用代碼簽名證書對軟件進行簽名后放到 Internet 上，當用戶在 Internet 上下載該軟件時，將會得到提示，從而可以確信：軟件的來源；軟件自簽名后到下載前，沒有遭到修改或破壞。 代碼簽名證書可以對 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件進行簽名。 作用：身份認證     身分認證即身份識別與鑒別，就是確認實體即為自己所聲明的實體，鑒別身份的真

7、偽。如甲乙雙方的認證，甲首先要驗證乙的證書的真?zhèn)危斠以诰W(wǎng)上將證書傳送給甲時，甲首先要用權威機構CA的公鑰解開證書上CA的數(shù)字簽名，如簽名通過驗證，證明乙持有的證書是真的；接著甲還要驗證乙身份的真?zhèn)?，乙可以將自己的口令用自己的私鑰進行數(shù)字簽名傳送給甲，甲已經(jīng)從乙的證書中或從證書庫中查得了乙的公鑰，甲就可以用乙的公鑰來驗證乙用自己獨有的私鑰進行的數(shù)字簽名。如果該簽名通過驗證，乙在網(wǎng)上的身份就確鑿無疑。數(shù)據(jù)完整性      數(shù)據(jù)完整性就是確認數(shù)據(jù)沒有被修改， 即數(shù)據(jù)無論是在傳輸或是在存儲過程中經(jīng)過檢查確認沒有被修改。數(shù)據(jù)完整性服務的實現(xiàn)主要方法是數(shù)

8、字簽名技術，它既可以提供實體認證，又可以保障被簽名數(shù)據(jù)的完整性。這是因為密碼哈希算法和簽名算法提供的保證，哈希算法的特點是輸入數(shù)據(jù)的任何變化都會引起輸出數(shù)據(jù)的不可預測的極大變化；簽名是用自己的私鑰將該哈希值進行加密，和數(shù)據(jù)一起傳送給接受方。如果敏感數(shù)據(jù)在傳輸和處理過程中被篡改，接受方就不會收到完整的數(shù)據(jù)簽名，驗證就會失敗。反之，如果簽名通過了驗證，就證明接收方收到的是沒經(jīng)修改的完整性數(shù)據(jù)。 數(shù)據(jù)保密性    數(shù)據(jù)保密性就是確保數(shù)據(jù)的秘密,除了指定的實體外，其他沒經(jīng)授權的人不能讀出或看懂該數(shù)據(jù)。PKI的保密性服務采用了“數(shù)字信封”機制，即發(fā)送方先產(chǎn)生一個對稱密鑰，并

9、用該對稱密鑰加密敏感數(shù)據(jù)。同時，發(fā)送方還用接收方的公鑰加密對稱密鑰，像裝入一個“數(shù)字信封”里。然后，將被加密的對稱密鑰（“數(shù)字信封”）和被加密的敏感數(shù)據(jù)一起傳送給接收方。接收方用自己的私鑰拆開“數(shù)字信封”，得到對稱密鑰，用對稱密鑰解開被加密的敏感數(shù)據(jù)。其他沒經(jīng)授權的人，因為沒有拆開“數(shù)字信封”的私鑰，看不見或讀不懂原數(shù)據(jù)，起到了數(shù)據(jù)保密性的作用。圖三也說明了數(shù)據(jù)保密性過程。 不可否認性     不可否認性服務是指從技術上實現(xiàn)保證實體對他們的行為的誠實性，即用數(shù)字簽名的方法防止其對行為的否認。其中，人們更關注的是數(shù)據(jù)來源的不可否認性和接收的不可否認性，即用戶不能否認敏感信息和文件不是來源于他；以及接收后的不可否認性，即用戶不能否認他已接收到了敏感信息和文件。此外還有其他類型的不可否認性，傳輸?shù)牟豢煞裾J性、創(chuàng)建的不可否認性和同意的不可否認性等等。數(shù)字認證中心的作用：概括地說，認證中心（CA）的作用有：證書發(fā)放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下： （1） 接收驗證最終用戶數(shù)字證書的申請。 （2） 確定是否接受最終用戶數(shù)字證書的申請-證書的審批。 （3） 向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。 （4） 接收、處