【文章內(nèi)容簡介】 公鑰及其持有者的真實(shí)身份，它類似于現(xiàn)實(shí)生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中。 （1）安全性　?。?）為了避免傳統(tǒng)數(shù)字證書方案中，由于使用不當(dāng)造成的證書丟失等安全隱患，支付寶創(chuàng)造性的推出雙證書解決方案：支付寶會員在申請數(shù)字證書時，將同時獲得兩張證書，一張用于驗(yàn)證支付寶賬戶，另一張用于驗(yàn)證會員當(dāng)前所使用的計(jì)算機(jī)。 （2）第二張證書不能備份，會員必須為每一臺計(jì)算機(jī)重新申請一張。這樣即使會員的數(shù)字證書被他人非法竊取，仍可保證其賬戶不會受到損失。（3）支付盾是一個類似于U盤的實(shí)體安全工具，它內(nèi)置的微型智能卡處理器能阻擋各種的風(fēng)險(xiǎn)，讓您的賬戶始終處于安全的環(huán)境下。目前，為保證電子郵件安全性所使用的方式是數(shù)字證書。 （2）唯一性　?。?）支付寶數(shù)字證書根據(jù)用戶身份給予相應(yīng)的網(wǎng)絡(luò)資源訪問權(quán)限（2）申請使用數(shù)字證書后，如果在其他電腦登錄支付寶賬戶，沒有導(dǎo)入數(shù)字證書備份的情況下，只能查詢賬戶，不能進(jìn)行任何操作，這樣就相當(dāng)于您擁有了類似“鑰匙”一樣的數(shù)字憑證，增強(qiáng)賬戶使用安全。 （3）方便性　?。?）即時申請、即時開通、即時使用。 （2）量身定制多種途徑維護(hù)數(shù)字證書，例如通過短信，安全問題等。（3）不需要使用者掌握任何數(shù)字證書相關(guān)知識，也能輕松掌握。 數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級別的可信度?？梢詮淖C書發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書。 　　基于Internet網(wǎng)的電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息，但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風(fēng)險(xiǎn)。買方和賣方都必須對于在因特網(wǎng)上進(jìn)行的一切金融交易運(yùn)作都是真實(shí)可靠的，并且要使顧客、商家和企業(yè)等交易各方都具有絕對的信心，因而因特網(wǎng)（Internet）電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù)，也就是說，必須保證網(wǎng)絡(luò)安全的四大要素，即信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。 （1）信息的保密性 　　交易中的商務(wù)信息均有保密的要求。如信用卡的帳號和用戶名被人知悉，就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。 （2）交易者身份的確定性 　　網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對方身份是交易的前提。對于為顧客或用戶開展服務(wù)的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務(wù)活動，都要進(jìn)行身份認(rèn)證的工作。對有關(guān)的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法，確認(rèn)顧客的身份是否合法，同時還要防止發(fā)生拒付款問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。 （3）不可否認(rèn)性 　　由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。例如訂購黃金，訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認(rèn)受到訂單的實(shí)際時間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的。 （4）不可修改性 　　交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價大幅上漲了，如其能改動文件內(nèi)容，將訂購數(shù)1噸改為1克，則可大幅受益， 那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。 　　人們在感嘆電子商務(wù)的巨大潛力的同時，不得不冷靜地思考，在人與人互不見面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時，怎么才能保證交易的公正性和安全性，保證交易雙方身份的真實(shí)性。國際上已經(jīng)有比較成熟的安全解決方案，那就是建立安全證書體系結(jié)構(gòu)。數(shù)字安全證書提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。 我們可以使用數(shù)字證書，通過運(yùn)用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊?。恍畔⒃趥鬏斶^程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對于自己的信息不能抵賴。 數(shù)字證書工作基本原理圖　　CA機(jī)構(gòu)，又稱為證書授證（Certificate Authority）中心，作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。由此可見，建設(shè)證書授權(quán)（CA）中心，是開拓和規(guī)范電子商務(wù)市場必不可少的一步。為保證用戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對用戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的電子商務(wù)安全證書。 　　數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。其數(shù)學(xué)原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積，加密和解密用的是兩個不同的密鑰。即使已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計(jì)算上是不可能的。按現(xiàn)在的計(jì)算機(jī)技術(shù)水平，要破解目前采用的1024位RSA密鑰，需要上千年的計(jì)算時間。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，商戶可以公開其公開密鑰，而保留其私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)送的信息進(jìn)行加密，安全地傳送給商戶，然后由商戶用自己的私有密鑰進(jìn)行解密。 　　用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)： 　　保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn) 　　保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實(shí)文件。 　　數(shù)字證書里存有很多數(shù)字和英文，當(dāng)使用數(shù)字證書進(jìn)行身份認(rèn)證時，它將隨機(jī)生成128位的身份碼，每份數(shù)字證書都能生成相應(yīng)但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，即相?dāng)于生成一個復(fù)雜的密碼。 數(shù)字證書綁定了公鑰及其持有者的真實(shí)身份，它類似于現(xiàn)實(shí)生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中?！　?bào)文按雙方約定的HASH算法計(jì)算得到一個固定位數(shù)的報(bào)文摘要。在數(shù)學(xué)上保證：只要改動報(bào)文中任何一位，重新計(jì)算出的報(bào)文摘要值就會與原先的值不相符。這樣就保證了報(bào)文的不可更改性。 　　將該報(bào)文摘要值用發(fā)送者的私人密鑰加密，然后連同原報(bào)文一起發(fā)送給接收者，而產(chǎn)生的報(bào)文即稱數(shù)字簽名。 　　接收方收到數(shù)字簽名后，用同樣的HASH算法對報(bào)文計(jì)算摘要值，然后與用發(fā)送者的公開密鑰進(jìn)行解密解開的報(bào)文摘要值相比較。如相等則說明報(bào)文確實(shí)來自所稱的發(fā)送者。 那為什么是對報(bào)文摘要進(jìn)行加密，而不是對原報(bào)文進(jìn)行加密呢？這是因?yàn)榉菍ΨQ加密算法(即RSA算法）非常耗時，被加密的報(bào)文越大，耗得時間越多，因此聰明的人類對其摘要進(jìn)行加密，（因?yàn)閳?bào)文摘要是要比原報(bào)文小得多），仍然能夠起到同樣的作用。這是為什么多了個報(bào)文摘要。基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種： （1）服務(wù)器證書（SSL證書）　　服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來防止欺詐釣魚站點(diǎn)。 數(shù)字證書頒發(fā)過程圖示　　在服務(wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會被加密。同時，瀏覽器會自動驗(yàn)證服務(wù)器證書是否有效，驗(yàn)證所訪問的站點(diǎn)是否是假冒站點(diǎn)，服務(wù)器證書保護(hù)的站點(diǎn)多被用來進(jìn)行密碼登錄、訂單處理、網(wǎng)上銀行交易等。全球知名的服務(wù)器證書品牌有Globlesign，Verisign， Thawte， Geotrust等。 　　SSL證書主要用于服務(wù)器(應(yīng)用)的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對于不同價值的數(shù)據(jù)和要求不同的身份認(rèn)證。 　　最新的高端SSL證書產(chǎn)品是擴(kuò)展驗(yàn)證（EV）SSL證書。、Opera ，使用擴(kuò)展驗(yàn)證VeriSign（EV）SSL證書的網(wǎng)站的瀏覽器地址欄會自動呈現(xiàn)綠色，從而清晰地告訴用戶正在訪問的網(wǎng)站是經(jīng)過嚴(yán)格認(rèn)證的。 （2）電子郵件證書　　電子郵件證書可以用來證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書上面CN一項(xiàng)所標(biāo)識的證書所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性。 　　收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實(shí)由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。 　　另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件。 （3）客戶端個人證書　　客戶端證書主要被用來進(jìn)行身份驗(yàn)證和電子簽名。 　　安全的客戶端證書我被存儲于專用的usbkey中。存儲于key中的證書不能被導(dǎo)出或復(fù)制，且key使用時需要輸入key的保護(hù)密碼。使用該證書需要物理上獲得其存儲介質(zhì)usbkey，且需要知道key的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在internet最安全的身份認(rèn)證手段之一。key的種類有多種，指紋識別、第三鍵確認(rèn)，語音報(bào)讀，以及帶顯示屏的專用usbkey和普通usbkey等。 目前的數(shù)字證書在廣義上可分為：個人數(shù)字證書、單位數(shù)字證書、單位員工數(shù)字證書、服務(wù)器證書、VPN證書、WAP證書、代碼簽名證書和表單簽名證書。 　　，內(nèi)容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等. 　　依據(jù)《電子認(rèn)證服務(wù)管理辦法》《中華人民共和國電子簽名法》，目前國內(nèi)有30家機(jī)構(gòu)獲得相關(guān)資質(zhì)，具體資質(zhì)可以查詢工業(yè)信息化部網(wǎng)站。 （cer和pfx）的區(qū)別　　作為文件形式存在的證書一般有這幾種格式： 　　 由Public Key Cryptography Standards 12，PKCS12標(biāo)準(zhǔn)定義，包含了公鑰和私鑰的二進(jìn)制格式的證書形式，以pfx作為證書文件后綴名。 　　 證書中沒有私鑰，DER 編碼二進(jìn)制格式的證書文件，以cer作為證書文件后綴名。 證書中沒有私鑰，BASE64 編碼格式的證書文件，也是以cer作為證書文件后綴名。 　　由定義可以看出，只有pfx格式的數(shù)字證書是包含有私鑰的，cer格式的數(shù)字證書里面只有公鑰沒有私鑰。 　　在pfx證書的導(dǎo)入過程中有一項(xiàng)是“標(biāo)志此密鑰是可導(dǎo)出的。這將您在稍候備份或傳輸密鑰”。一般是不選中的，如果選中，別人就有機(jī)會備份你的密鑰了。如果是不選中，其實(shí)密鑰也導(dǎo)入了，只是不能再次被導(dǎo)出。這就保證了密鑰的安全。 　　如果導(dǎo)入過程中沒有選中這一項(xiàng)，做證書備份時“導(dǎo)出私鑰”這一項(xiàng)是灰色的，不能選。只能導(dǎo)出cer格式的公鑰。如果導(dǎo)入時選中該項(xiàng)，則在導(dǎo)出時“導(dǎo)出私鑰”這一項(xiàng)就是可選的。 如果要導(dǎo)出私鑰（pfx),是需要輸入密碼的，這個密碼就是對私鑰再次加密，這樣就保證了私鑰的安全，別人即使拿到了你的證書備份（pfx),不知道加密私鑰的密碼，也是無法導(dǎo)入證書的。相反，如果只是導(dǎo)入導(dǎo)出cer格式的證書，是不會提示你輸入密碼的。因?yàn)楣€一般來說是對外公開的，不用加密。 一般來講，用戶要攜帶有關(guān)證件到各地的證書受理點(diǎn)，或者直接到證書發(fā)放機(jī)構(gòu)即CA中心填寫申請表并進(jìn)行身份審核，審核通過后交納一定費(fèi)用就可以得到裝有證書的相關(guān)介質(zhì)（磁盤或Key）和一個寫有密碼口令的密碼信封。 用戶在進(jìn)行需要使用證書的網(wǎng)上操作時，必須準(zhǔn)備好裝有證書的存儲介質(zhì)。如果用戶是在自己的計(jì)算機(jī)上進(jìn)行操作，操作前必須先安裝CA根證書。一般所訪問的系統(tǒng)如果需要使用數(shù)字證書會自動彈出提示框要求安裝根證書，用戶直接選擇確認(rèn)即可；當(dāng)然也可以直接登陸CA中心的網(wǎng)站，下載安裝根證書。操作時，一般系統(tǒng)會自動提示用戶出示數(shù)字證書或者插入證書介質(zhì)（IC卡或Key），用戶插入證書介質(zhì)后系統(tǒng)將要求用戶輸入密碼口令，此時用戶需要輸入申請證書時獲得的密碼信封中的密碼，密碼驗(yàn)證正確后系統(tǒng)將自動調(diào)用數(shù)字證書進(jìn)行相關(guān)操作。使用后，用戶應(yīng)記住取出證書介質(zhì)，并妥善保管。當(dāng)然，根據(jù)不同系統(tǒng)數(shù)字證書會有不同的使用方式，但系統(tǒng)一般會有明確提示，用戶使用起來都較為方便。 　　數(shù)字證書的應(yīng)用是廣泛的，其中包括大家最為熟悉的用于網(wǎng)上銀行的USBkey和部分使用數(shù)字證書的VIEID即網(wǎng)絡(luò)身份證。 基于數(shù)字證書的VIEID　　網(wǎng)絡(luò)身份證(VIEID) . 　　全稱：(Virtual identity electronic identification)虛擬身份電子標(biāo)識 釋義：網(wǎng)絡(luò)身份證（VIEID）是互聯(lián)網(wǎng)絡(luò)信息世界中標(biāo)識用戶身份的工具，用于在網(wǎng)絡(luò)通訊中識別通訊各方