【文章內(nèi)容簡介】 人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達(dá)目的地了。通過數(shù)字的手段保證加密過程是一個(gè)不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。 　　數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對(duì)，并將公共密鑰及部分個(gè)人身份信息傳送給認(rèn)證中心。認(rèn)證中心在核實(shí)身份后，將執(zhí)行一些必要的步驟，以確信請(qǐng)求確實(shí)由用戶發(fā)送而來，然后，認(rèn)證中心將發(fā)給用戶一個(gè)數(shù)字證書，該證書內(nèi)包含用戶的個(gè)人信息和他的公鑰信息，同時(shí)還附有認(rèn)證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進(jìn)行相關(guān)的各種活動(dòng)。數(shù)字證書由獨(dú)立的證書發(fā)行機(jī)構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級(jí)別的可信度?？梢詮淖C書發(fā)行機(jī)構(gòu)獲得您自己的數(shù)字證書。　　 數(shù)字證書頒發(fā)過程圖示基于數(shù)字證書的應(yīng)用角度分類，數(shù)字證書可以分為以下幾種： 服務(wù)器證書n　　　　服務(wù)器證書被安裝于服務(wù)器設(shè)備上，用來證明服務(wù)器的身份和進(jìn)行通信加密。服務(wù)器證書可以用來防止假冒站點(diǎn)?！　≡诜?wù)器上安裝服務(wù)器證書后，客戶端瀏覽器可以與服務(wù)器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會(huì)被加密。同時(shí)，瀏覽器會(huì)自動(dòng)驗(yàn)證服務(wù)器證書是否有效，驗(yàn)證所訪問的站點(diǎn)是否是假冒站點(diǎn)，服務(wù)器證書保護(hù)的站點(diǎn)多被用來進(jìn)行密碼登錄、訂單處理、網(wǎng)上銀行交易等。全球知名的服務(wù)器證書品牌有verisign., Globalsign, geotrust等?！　SL證書主要用于服務(wù)器(應(yīng)用)的數(shù)據(jù)傳輸鏈路加密和身份認(rèn)證，綁定網(wǎng)站域名，不同的產(chǎn)品對(duì)于不同價(jià)值的數(shù)據(jù)和要求不同的身份認(rèn)證。超真SSL和超快SSL在頒發(fā)時(shí)間上已經(jīng)沒有什么區(qū)別，主要區(qū)別在于：超快SSL只驗(yàn)證域名所有權(quán)，證書中不顯示單位名稱；而超真SSL需要驗(yàn)證域名所有權(quán)、營業(yè)執(zhí)照和第三方數(shù)據(jù)庫驗(yàn)證，證書中顯示單位名稱： 電子郵件證書n　　　　電子郵件證書可以用來證明電子郵件發(fā)件人的真實(shí)性。它并不證明數(shù)字證書上面CN一項(xiàng)所標(biāo)識(shí)的證書所有者姓名的真實(shí)性，它只證明郵件地址的真實(shí)性?！　∈盏骄哂杏行щ娮雍灻碾娮余]件，我們除了能相信郵件確實(shí)由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過?！　×硗猓褂媒邮盏泥]件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡(luò)傳輸，只有接收方的持有者才可能打開該郵件?！　】蛻舳藗€(gè)人證書　　客戶端證書主要被用來進(jìn)行身份驗(yàn)證和電子簽名?！　“踩目蛻舳俗C書我被存儲(chǔ)于專用的usbkey中。存儲(chǔ)于key中的證書不能被導(dǎo)出或復(fù)制，且key使用時(shí)需要輸入key的保護(hù)密碼。使用該證書需要物理上獲得其存儲(chǔ)介質(zhì)usbkey，且需要知道key的保護(hù)密碼，這也被稱為雙因子認(rèn)證。這種認(rèn)證手段是目前在internet最安全的身份認(rèn)證手段之一。key的形式有多種，指紋、口令卡等。　　 數(shù)字證書工作基本原理圖工作原理：數(shù)字證書里存有很多數(shù)字和英文，當(dāng)使用數(shù)字證書進(jìn)行身份認(rèn)證時(shí)，它將隨機(jī)生成128位的身份碼，每份數(shù)字證書都能生成相應(yīng)但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄裕聪喈?dāng)于生成一個(gè)復(fù)雜的密碼?！　?shù)字證書綁定了公鑰及其持有者的真實(shí)身份，它類似于現(xiàn)實(shí)生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認(rèn)證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運(yùn)用在電子商務(wù)和電子政務(wù)中?！　?V3國際標(biāo)準(zhǔn)，內(nèi)容包括證書序列號(hào)、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等.身份認(rèn)證技術(shù)　　 身份認(rèn)證技術(shù)是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程所應(yīng)用的技術(shù)手段?！　∮?jì)算機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的數(shù)字世界。在這個(gè)數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計(jì)算機(jī)只能識(shí)別用戶的數(shù)字身份，所有對(duì)用戶的授權(quán)也是針對(duì)用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無二的物理身份。如何保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)，就成為一個(gè)很重要的問題。身份認(rèn)證技術(shù)的誕生就是為了解決這個(gè)問題。 　　在真實(shí)世界中，驗(yàn)證一個(gè)人的身份主要通過三種方式判定，一是根據(jù)你所知道的信息來證明你的身份（what you know），假設(shè)某些信息只有某個(gè)人知道，比如暗號(hào)等，通過詢問這個(gè)信息就可以確認(rèn)這個(gè)人的身份；二是根據(jù)你所擁有的東西來證明你的身份(what you have) ，假設(shè)某一個(gè)東西只有某個(gè)人有，比如印章等；三是直接根據(jù)你獨(dú)一無二的身體特征來證明你的身份(who you are)，比如指紋、面貌等。 　　信息系統(tǒng)中，對(duì)用戶的身份認(rèn)證手段也大體可以分為這三種，僅通過一個(gè)條件的符合來證明一個(gè)人的身份稱之為單因子認(rèn)證，由于僅使用一種條件判斷用戶的身份容易被仿冒，可以通過組合兩種不同條件來證明一個(gè)人的身份，稱之為雙因子認(rèn)證。 　　身份認(rèn)證技術(shù)從是否使用硬件可以分為軟件認(rèn)證和硬件認(rèn)證，從認(rèn)證需要驗(yàn)證的條件來看，可以分為單因子認(rèn)證和雙因子認(rèn)證。從認(rèn)證信息來看，可以分為靜態(tài)認(rèn)證和動(dòng)態(tài)認(rèn)證。身份認(rèn)證技術(shù)的發(fā)展，經(jīng)歷了從軟件認(rèn)證到硬件認(rèn)證，從單因子認(rèn)證到雙因子認(rèn)證，從靜態(tài)認(rèn)證到動(dòng)態(tài)認(rèn)證的過程。 常用的身份認(rèn)證方式　　 用戶名/密碼方式　　用戶名/密碼是最簡單也是最常用的身份認(rèn)證方法，它是基于“what you know”的驗(yàn)證手段。每個(gè)用戶的密碼是由這個(gè)用戶自己設(shè)定的，只有他自己才知道，因此只要能夠正確輸入密碼，計(jì)算機(jī)就認(rèn)為他就是這個(gè)用戶。然而實(shí)際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如自己或家人的生日、電話號(hào)碼等容易被他人猜測(cè)到的有意義的字符串作為密碼，或者把密碼抄在一個(gè)自己認(rèn)為安全的地方，這都存在著許多安全隱患，極易造成密碼泄露。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗(yàn)證過程中需要在計(jì)算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗(yàn)證過程使用的驗(yàn)證信息都是相同的，很容易駐留在計(jì)算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。因此用戶名/密碼方式一種是極不安全的身份認(rèn)證方式?？梢哉f基本上沒有任何安全性可言。　　 IC卡認(rèn)證　　IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關(guān)的數(shù)據(jù)， IC卡由專門的廠商通過專門的設(shè)備生產(chǎn)，可以認(rèn)為是不可復(fù)制的硬件。IC卡由合法用戶隨身攜帶，登錄時(shí)必須將IC卡插入專用的讀卡器讀取其中的信息，以驗(yàn)證用戶的身份。IC卡認(rèn)證是基于“what you have”的手段，通過IC卡硬件不可復(fù)制來保證用戶身份不會(huì)被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗(yàn)證信息。因此，靜態(tài)驗(yàn)證的方式還是存在根本的安全隱患。　　 生物特征認(rèn)證　　生物特征認(rèn)證是指采用每個(gè)人獨(dú)一無二的生物特征來驗(yàn)證用戶身份的技術(shù)。常見的有指紋識(shí)別、虹膜識(shí)別等。從理論上說，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因?yàn)樗苯邮褂萌说奈锢硖卣鱽肀硎久恳粋€(gè)人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計(jì)，因此幾乎不可能被仿冒。 　　生物特征認(rèn)證基于生物特征識(shí)別技術(shù)，受到現(xiàn)在的生物特征識(shí)別技術(shù)成熟度的影響，采用生物特征認(rèn)證還具有較大的局限性。首先，生物特征識(shí)別的準(zhǔn)確性和穩(wěn)定性還有待提高，