主講老師石淑華數(shù)字證書原理及應(yīng)用1數(shù)字證書簡介2數(shù)字證書原理3數(shù)字證書特點(diǎn)4數(shù)字證書應(yīng)用目錄1.了解數(shù)字證書的原理；2.了解數(shù)字證書的具體過程；3.掌握數(shù)字證書的特點(diǎn)4.掌握數(shù)字證書的應(yīng)用場景。本章學(xué)習(xí)目標(biāo)在現(xiàn)實世界中，交易雙方是通過簽訂合同、并在合同上簽字或蓋章，來表明交易雙方的真實身份以及對合同內(nèi)容的確認(rèn)。但是，如果這種交易是在互聯(lián)網(wǎng)上進(jìn)行的，比如進(jìn)行網(wǎng)上招標(biāo)采購、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)、網(wǎng)上招生等活動時，合同或文件是以電子文檔形式表現(xiàn)及傳遞的，交易的雙方可能相隔千里、素昧平生，此時識別交易雙方的真實身份、保證交易的安全性、真實性、不可否認(rèn)性的一種有效的方法就是應(yīng)用數(shù)字證書進(jìn)行認(rèn)證。數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)CA(CertificateAuthority,即證書授權(quán)中心)簽發(fā)的，用來標(biāo)識網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)。就如同現(xiàn)實生活中我們每一個人都要擁有一張證明個人身份的身份證一樣，數(shù)字證書用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份。數(shù)字證書簡介數(shù)字證書建立了公鑰與個體之間一一對應(yīng)的關(guān)系，也就是說，通過公鑰可以確定該個體是誰，就像現(xiàn)實生活中我們可以通過身份證號確定一個人一樣。當(dāng)有爭議發(fā)生時，可以通過CA進(jìn)行仲裁。為了防止證書被偽造，每份證書都有CA的簽名，相當(dāng)于CA給每份證書上都加蓋了公章。數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)，通常包含如下內(nèi)容：1.證書的版本號；2.證書的序列號，每個證書都有一個在CA內(nèi)部唯一的證書序列號；3.簽名算法標(biāo)識符,即證書所使用的簽名算法,如RSA算法；4.簽發(fā)人的名字，即CA的名字；5.證書的有效期，一般采用UTC時間格式,它的計時范圍為1950-2049；6.個體的名稱，即證書持有人的名稱；7.個體的公鑰信息；8.CA對證書的簽名等。數(shù)字證書簡介數(shù)字證書主要采用不對稱加密技術(shù)，其特點(diǎn)是：加密與解密過程由不同的密鑰來完成；當(dāng)知道加密算法時，從加密密鑰得到解密密鑰在計算上是不可行的；兩個密鑰中的任何一個都可以用做加密而另一個用做解密(不是必須的)。選擇其中的一把密鑰對外公開，稱之為公鑰，公鑰用于加密和驗證簽名；另一把則僅為用戶本人所知，稱之為私鑰，私鑰用于解密及簽名。數(shù)字證書中常用的簽名算法為RSA算法。數(shù)字證書原理圖10.1傳輸結(jié)構(gòu)圖基于公開密鑰進(jìn)行加密/解密的基本過程為：1.發(fā)送方用接收方的公鑰加密明文信息,生成密文；2.發(fā)送方將密文發(fā)送給接收方；3.接收方收到密文后，用自己的私鑰進(jìn)行解密，得到明文信息即使在第2步，信息被第三方截獲，由于他沒有接收方的私鑰，因此無法對密文進(jìn)行解密運(yùn)算，因而無法得到明文，從而保證了信息的保密性。數(shù)字證書過程基于公開密鑰的RSA簽名/鑒別的基本過程為：1.發(fā)送方用自己的私鑰對信息進(jìn)行加密，生成密文，發(fā)給接收方；2.如果接收方能用發(fā)送方的公鑰解密密文，由于公鑰是與私鑰互相配對使用的，并且私鑰僅為個體所獨(dú)有，由此可以肯定消息是由發(fā)送方發(fā)來的，也就是說發(fā)送方對此不能抵賴。數(shù)字證書過程利用Hash函數(shù)，接收方可以驗證消息在傳遞過程中有沒有被更改，即檢驗消息的完整性或真實性。基本的驗證過程為：1.發(fā)送方對消息M進(jìn)行Hash運(yùn)算,生成消息摘要H(M)；2.發(fā)送方對消息摘要用自己的私鑰進(jìn)行加密，生成E[H(M)],然后將其與消息M合并后一同發(fā)給接收方；3.接收方從收到的信息中分離出消息M和E[H(M)],并用發(fā)送發(fā)的公鑰對E[H(M)]進(jìn)行解密,得到消息摘要H(M)；4.接收方對M進(jìn)行Hash運(yùn)算，比較其結(jié)果與第3步中得到的消息摘要H(M)是否一致，如果一致，則說明消息在傳遞過程中沒有被更改；否則，證明消息已被第三方修改過，則應(yīng)作廢。數(shù)字證書過程數(shù)字證書綜合運(yùn)用加密、簽名以及驗證過程，可以解決網(wǎng)絡(luò)通信中的四大根本問題，即：信息除發(fā)送方和接收方外，不被其他人竊??；信息在傳輸過程中不被篡改；通信雙方能夠識別對方身份；發(fā)送方對于自己所發(fā)送的信息不能抵賴。這個完整的解決方案如下：1.發(fā)送方對消息M進(jìn)行Hash運(yùn)算,生成消息摘要H(M)；2.發(fā)送方對消息摘要用自己的私鑰進(jìn)行加密，生成E[H(M)],即進(jìn)行簽名，然后將其與消息M進(jìn)行合并，生成M||E[H(M)];3.發(fā)送方用接收方的公鑰加密M||E[H(M)],生成密文后傳遞給接收方；4.接收方接到密文后,首先用自己的私鑰進(jìn)行解密，得到M||E[H(M)]；5.接收方從M||E[H(M)]中分離出M和E[H(M)],并用發(fā)送方的公鑰解密E[H(M)],得到消息摘要H(M)；6.接收方對M進(jìn)行Hash運(yùn)算，比較其結(jié)果與第5步中得到的消息摘要H(M)是否一致，來驗證消息在傳輸過程中有沒有被篡改。這實際是一個先簽名，后加密的解決方案，保證了信息在傳輸過程中的安全保密性，而且可以防止出現(xiàn)信息篡改、身份假冒以及交易抵賴等問題。因此，利用數(shù)字證書可以實現(xiàn)安全網(wǎng)絡(luò)通信。數(shù)字證書過程數(shù)字證書特點(diǎn)4數(shù)字證書的優(yōu)點(diǎn)1、安全當(dāng)用戶申請證書時，計算機(jī)上會有兩個不同的證書用于驗證用戶的交互信息。如果您的計算機(jī)以其他方式使用，則用戶必須獲得證書以驗證計算機(jī)的使用。即使有人偷了你的證書，它也不能被備份或獲取用戶帳戶信息。從而保證了賬戶信息的安全性。2、獨(dú)特性數(shù)字證書根據(jù)用戶的身份授予相應(yīng)的訪問權(quán)限。如果將計算機(jī)更改為登錄帳戶，則用戶將無法執(zhí)行備份證書，并且只能執(zhí)行該操作以驗證帳戶信息。數(shù)字證書是一個公鑰，所謂只有一個密鑰可以解鎖鎖，這是一個獨(dú)特的體現(xiàn)。3、便利性數(shù)字證書可以直接由CA中心用戶打開，不需要數(shù)字證書這是非常可靠的。它可以有效地保證數(shù)據(jù)信息網(wǎng)絡(luò)的安全，在用戶瀏覽數(shù)據(jù)信息網(wǎng)絡(luò)或進(jìn)行在線交易時使用數(shù)字證書。數(shù)字證書的特點(diǎn)數(shù)字證書的安全性分析首先，國內(nèi)CA機(jī)構(gòu)頒發(fā)的SSL數(shù)字證書很多沒有通過微軟的認(rèn)證，這樣，IE瀏覽器無法識別，并且會顯示警告信息；其次，SSL證書中沒有瀏覽器能自動識別和通過http訪問的吊銷列表，這意味著：如果證書頒發(fā)機(jī)構(gòu)發(fā)現(xiàn)某個SSL證書有問題，或是欺詐網(wǎng)站，則可以吊銷此證書，但由于瀏覽器無法識別有效的吊銷列表因此無法實時監(jiān)測到此證書是否已經(jīng)吊銷，這樣問題會相當(dāng)嚴(yán)重，這就相當(dāng)于一個公司的營業(yè)執(zhí)照被吊銷而無法查實一樣。比如，CNNIC頒發(fā)給客戶的SSL證書的吊銷列表一個是不可訪問的，另一個是LDAP方式的吊銷列表，是瀏覽器無法直接訪問的，因此無法確認(rèn)該SSL證書是否有效。數(shù)字證書的特點(diǎn)電子印章在傳統(tǒng)商務(wù)活動中，為了保證交易的安全與真實，一份書面合同或公文要由當(dāng)事人或其負(fù)責(zé)人簽字、蓋章，以便讓交易雙方識別是誰簽的合同，保證簽字或蓋章的人認(rèn)可合同的內(nèi)容，在法律上才能承認(rèn)這份合同是有效的。而在電子商務(wù)的虛擬世界中，合同或文件是以電子文件的形式表現(xiàn)和傳遞的。在電子文件上，傳統(tǒng)的手寫簽名和蓋章是無法進(jìn)行的，這就必須依靠技術(shù)手段來替代。能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵賴性，起到與手寫簽名或者蓋章同等作用的簽名的電子技術(shù)手段，稱之為電子簽名數(shù)字證書應(yīng)用數(shù)字證書應(yīng)用數(shù)字證書在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用由于數(shù)字證書具有加密和解密的過程，在獲取信息之前需要對其進(jìn)行驗證，在信息傳輸過程中起到一定的作用。因此，在網(wǎng)絡(luò)安全的進(jìn)程中，越來越多的領(lǐng)域開始利用數(shù)字證書來保證信息的安全。1、它可以保證電子郵件的安全性安全電子郵件證書主要由CA簽名中心、公鑰、電子郵件地址、加密證書和數(shù)字簽名組成。使用安全電子郵件可以發(fā)送和接收電子郵件，以確保證書的安全性、完整性和確定性。它也可以存儲在移動U盤或硬盤電子郵件中。安全電子郵件使用公鑰算法來消除篡改電子郵件簽名的可能性。此外，只有在電子郵件證書對應(yīng)綁定的電子郵件帳戶時，用戶才能對電子郵件進(jìn)行簽名和加密。數(shù)字證書應(yīng)用2、保證了登錄網(wǎng)站的安全性隨著互聯(lián)網(wǎng)上網(wǎng)站數(shù)量的增加，釣魚網(wǎng)站的各種仿冒品也在增加，主要是通過詐騙手段對用戶賬戶信息、身份信息進(jìn)行網(wǎng)上詐騙，從而危及人民生命安全。當(dāng)用戶無法確定網(wǎng)站是否安全時，互聯(lián)網(wǎng)上的信息就不安全，這將嚴(yán)重影響網(wǎng)絡(luò)的發(fā)展，從而避免財務(wù)和身份信息的泄露，并可以利用數(shù)字證書加密技術(shù)，讓用戶獲取信息。在因特網(wǎng)上使用數(shù)字證書技術(shù)是安全可靠的。同時，利用能夠驗證目標(biāo)站點(diǎn)的證書來保證由于濫用假冒站點(diǎn)或釣魚站點(diǎn)服務(wù)而造成的損失。數(shù)字證書應(yīng)用3、可以保證供應(yīng)商的真實性只要網(wǎng)絡(luò)的重要性體現(xiàn)在數(shù)據(jù)傳輸和資源共享上，共享軟件可以給用戶帶來極大的便利，但這種便利也會給網(wǎng)絡(luò)帶來負(fù)面影響。用戶可以在網(wǎng)絡(luò)上共享軟件，但如果沒有一定的認(rèn)證，軟件的安全性就無法保證，軟件的來源也無法追查，而且可以利用網(wǎng)絡(luò)號來鑒別真?zhèn)?，降低在病毒存在網(wǎng)絡(luò)安全的假冒程序或軟件的風(fēng)險。4、安全終端保護(hù)為了防止一些最重要的外圍信息被犯罪分子竊取、銷毀或篡改，目前，它是一種采用數(shù)字證書核心技術(shù)的登錄系統(tǒng)，可以實