【文章內(nèi)容簡介】 人公開，為一組用戶所共享，用于加密和驗證簽名。當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。公開密鑰技術(shù)解決了密鑰發(fā)布的管理問題，用戶可以公開其公開密鑰，而保留其私有密鑰。 　　數(shù)字證書頒發(fā)過程一般為：用戶首先產(chǎn)生自己的密鑰對，并將公共密鑰及部分個人身份信息傳送給認證中心。認證中心在核實身份后，將執(zhí)行一些必要的步驟，以確信請求確實由用戶發(fā)送而來，然后，認證中心將發(fā)給用戶一個數(shù)字證書，該證書內(nèi)包含用戶的個人信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可以使用自己的數(shù)字證書進行相關的各種活動。數(shù)字證書由獨立的證書發(fā)行機構(gòu)發(fā)布。數(shù)字證書各不相同，每種證書可提供不同級別的可信度?？梢詮淖C書發(fā)行機構(gòu)獲得您自己的數(shù)字證書。　　 數(shù)字證書頒發(fā)過程圖示基于數(shù)字證書的應用角度分類，數(shù)字證書可以分為以下幾種： 服務器證書n　　　　服務器證書被安裝于服務器設備上，用來證明服務器的身份和進行通信加密。服務器證書可以用來防止假冒站點?！　≡诜掌魃习惭b服務器證書后，客戶端瀏覽器可以與服務器證書建立SSL連接，在SSL連接上傳輸?shù)娜魏螖?shù)據(jù)都會被加密。同時，瀏覽器會自動驗證服務器證書是否有效，驗證所訪問的站點是否是假冒站點，服務器證書保護的站點多被用來進行密碼登錄、訂單處理、網(wǎng)上銀行交易等。全球知名的服務器證書品牌有verisign., Globalsign, geotrust等。　　SSL證書主要用于服務器(應用)的數(shù)據(jù)傳輸鏈路加密和身份認證，綁定網(wǎng)站域名，不同的產(chǎn)品對于不同價值的數(shù)據(jù)和要求不同的身份認證。超真SSL和超快SSL在頒發(fā)時間上已經(jīng)沒有什么區(qū)別，主要區(qū)別在于：超快SSL只驗證域名所有權(quán)，證書中不顯示單位名稱；而超真SSL需要驗證域名所有權(quán)、營業(yè)執(zhí)照和第三方數(shù)據(jù)庫驗證，證書中顯示單位名稱： 電子郵件證書n　　　　電子郵件證書可以用來證明電子郵件發(fā)件人的真實性。它并不證明數(shù)字證書上面CN一項所標識的證書所有者姓名的真實性，它只證明郵件地址的真實性。　　收到具有有效電子簽名的電子郵件，我們除了能相信郵件確實由指定郵箱發(fā)出外，還可以確信該郵件從被發(fā)出后沒有被篡改過。　　另外，使用接收的郵件證書，我們還可以向接收方發(fā)送加密郵件。該加密郵件可以在非安全網(wǎng)絡傳輸，只有接收方的持有者才可能打開該郵件?！　】蛻舳藗€人證書　　客戶端證書主要被用來進行身份驗證和電子簽名?！　“踩目蛻舳俗C書我被存儲于專用的usbkey中。存儲于key中的證書不能被導出或復制，且key使用時需要輸入key的保護密碼。使用該證書需要物理上獲得其存儲介質(zhì)usbkey，且需要知道key的保護密碼，這也被稱為雙因子認證。這種認證手段是目前在internet最安全的身份認證手段之一。key的形式有多種，指紋、口令卡等?！　?數(shù)字證書工作基本原理圖工作原理：數(shù)字證書里存有很多數(shù)字和英文，當使用數(shù)字證書進行身份認證時，它將隨機生成128位的身份碼，每份數(shù)字證書都能生成相應但每次都不可能相同的數(shù)碼，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?，即相當于生成一個復雜的密碼?！　?shù)字證書綁定了公鑰及其持有者的真實身份，它類似于現(xiàn)實生活中的居民身份證，所不同的是數(shù)字證書不再是紙質(zhì)的證照，而是一段含有證書持有者身份信息并經(jīng)過認證中心審核簽發(fā)的電子數(shù)據(jù)，可以更加方便靈活地運用在電子商務和電子政務中?！　?V3國際標準，內(nèi)容包括證書序列號、證書持有者名稱、證書頒發(fā)者名稱、證書有效期、公鑰、證書頒發(fā)者的數(shù)字簽名等.身份認證技術(shù)　　 身份認證技術(shù)是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程所應用的技術(shù)手段?！　∮嬎銠C系統(tǒng)和計算機網(wǎng)絡是一個虛擬的數(shù)字世界。在這個數(shù)字世界中，一切信息包括用戶的身份信息都是用一組特定的數(shù)據(jù)來表示的，計算機只能識別用戶的數(shù)字身份，所有對用戶的授權(quán)也是針對用戶數(shù)字身份的授權(quán)。而我們生活的現(xiàn)實世界是一個真實的物理世界，每個人都擁有獨一無二的物理身份。如何保證以數(shù)字身份進行操作的操作者就是這個數(shù)字身份合法擁有者，也就是說保證操作者的物理身份與數(shù)字身份相對應，就成為一個很重要的問題。身份認證技術(shù)的誕生就是為了解決這個問題。 　　在真實世界中，驗證一個人的身份主要通過三種方式判定，一是根據(jù)你所知道的信息來證明你的身份（what you know），假設某些信息只有某個人知道，比如暗號等，通過詢問這個信息就可以確認這個人的身份；二是根據(jù)你所擁有的東西來證明你的身份(what you have) ，假設某一個東西只有某個人有，比如印章等；三是直接根據(jù)你獨一無二的身體特征來證明你的身份(who you are)，比如指紋、面貌等。 　　信息系統(tǒng)中，對用戶的身份認證手段也大體可以分為這三種，僅通過一個條件的符合來證明一個人的身份稱之為單因子認證，由于僅使用一種條件判斷用戶的身份容易被仿冒，可以通過組合兩種不同條件來證明一個人的身份，稱之為雙因子認證。 　　身份認證技術(shù)從是否使用硬件可以分為軟件認證和硬件認證，從認證需要驗證的條件來看，可以分為單因子認證和雙因子認證。從認證信息來看，可以分為靜態(tài)認證和動態(tài)認證。身份認證技術(shù)的發(fā)展，經(jīng)歷了從軟件認證到硬件認證，從單因子認證到雙因子認證，從靜態(tài)認證到動態(tài)認證的過程。 常用的身份認證方式　　 用戶名/密碼方式　　用戶名/密碼是最簡單也是最常用的身份認證方法，它是基于“what you know”的驗證手段。每個用戶的密碼是由這個用戶自己設定的，只有他自己才知道，因此只要能夠正確輸入密碼，計算機就認為他就是這個用戶。然而實際上，由于許多用戶為了防止忘記密碼，經(jīng)常采用諸如自己或家人的生日、電話號碼等容易被他人猜測到的有意義的字符串作為密碼，或者把密碼抄在一個自己認為安全的地方，這都存在著許多安全隱患，極易造成密碼泄露。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗證過程中需要在計算機內(nèi)存中和網(wǎng)絡中傳輸，而每次驗證過程使用的驗證信息都是相同的，很容易駐留在計算機內(nèi)存中的木馬程序或網(wǎng)絡中的監(jiān)聽設備截獲。因此用戶名/密碼方式一種是極不安全的身份認證方式?？梢哉f基本上沒有任何安全性可言?！　?IC卡認證　　IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶身份相關的數(shù)據(jù)， IC卡由專門的廠商通過專門的設備生產(chǎn)，可以認為是不可復制的硬件。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。IC卡認證是基于“what you have”的手段，通過IC卡硬件不可復制來保證用戶身份不會被仿冒。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息。因此，靜態(tài)驗證的方式還是存在根本的安全隱患。　　 生物特征認證　　生物特征認證是指采用每個人獨一無二的生物特征來驗證用戶身份的技術(shù)。常見的有指紋識別、虹膜識別等。從理論上說，生物特征認證是最可靠的身份認證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒。 　　生物特征認證基于生物特征識別技術(shù)，受到現(xiàn)在的生物特征識別技術(shù)成熟度的影響，采用生物特征認證還具有較大的局限性。首先，生物特征識別的準確性和穩(wěn)定性還有待提高，