數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用研究

呂樂樂

摘 要：伴隨互聯(lián)網(wǎng)的發(fā)展，現(xiàn)人們生活當(dāng)中很多領(lǐng)域都已廣泛普及網(wǎng)絡(luò)技術(shù)和信息技術(shù)。先進(jìn)技術(shù)的引入和應(yīng)用促進(jìn)了人們生活水平及工作效率的提高，但同時也產(chǎn)生了很多安全問題，尤其是信息泄露、數(shù)據(jù)丟失等，不利用戶隱私的保護(hù)。為此，網(wǎng)絡(luò)安全問題倍受重視。數(shù)字證書是當(dāng)下應(yīng)用預(yù)防網(wǎng)絡(luò)安全問題的重要加密技術(shù)，在各行業(yè)的網(wǎng)絡(luò)安全管理工作當(dāng)中發(fā)揮著重要的作用。文章簡單紹介了數(shù)字證書的概念、特征及工作原理，分析了數(shù)字證書的下載和頒發(fā)，并就數(shù)字證書在網(wǎng)絡(luò)安全中的具體應(yīng)用展開了討論。

關(guān)鍵詞：數(shù)字證書；網(wǎng)絡(luò)安全；應(yīng)用

中圖分類號：TP393.08 文獻(xiàn)標(biāo)志碼：A 文章編號：2095-2945（2018）07-0142-02

Abstract： With the development of the Internet， many aspects of people's life have been widely used in network technology and information technology. The introduction and application of advanced technology has promoted the improvement of people's living standard and working efficiency， but at the same time， it has also produced many security problems， especially information leakage， data loss and so on， which is detrimental to the protection of users' privacy. Therefore， the network security issues should be paid more attention. Digital certificate is an important encryption technology to prevent network security， and it plays an important role in the network security management of various industries. This paper briefly introduces the concept， characteristics and working principle of digital certificate， analyzes the downloading and issuing of digital certificate， and discusses the concrete application of digital certificate in network security.

Keywords： digital certificate； network security； application

伴隨科學(xué)技術(shù)的發(fā)展及互聯(lián)網(wǎng)的進(jìn)一步普及，尤其是電子商務(wù)的迅速發(fā)展，人們的生活方式發(fā)生了巨大的改變，對于互聯(lián)網(wǎng)的依賴程度越來越高。互聯(lián)網(wǎng)的發(fā)展雖然改善了人們的生活，提高了人們的工作效率，但其同時也帶來了一系列的網(wǎng)絡(luò)安全問題。另，網(wǎng)絡(luò)中所存在的插件、程序等也不乏各類安全隱患，如木馬、病毒、不良網(wǎng)站等。為對抗網(wǎng)絡(luò)安全問題，人們不斷研發(fā)各類網(wǎng)絡(luò)安全防范措施，如防火墻、殺毒軟件、數(shù)字證書等，其中數(shù)字證書因其強(qiáng)安全性和便利性而得到廣泛應(yīng)用。

1 數(shù)字證書概述

（1）數(shù)字證書的概念及特征。數(shù)字證書，英文名為“digital certificate”，簡單來說，就是指由CA中心所簽發(fā)的一種具一定權(quán)威性的電子文檔，可廣泛應(yīng)用于數(shù)據(jù)信息的加密、解密及信息驗(yàn)證等。利用數(shù)字證書加密網(wǎng)絡(luò)信息，不僅可保證信息的完整性，而且也加強(qiáng)了信息的機(jī)密性，只有特定的或經(jīng)授權(quán)的機(jī)構(gòu)或人員可以看見其內(nèi)容。在利用互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)信息的傳輸時，若沒有數(shù)字證書的簽證，即使信息被截取，不法分子將很難了解數(shù)據(jù)信息中的實(shí)際內(nèi)容。數(shù)字證書包含數(shù)字、字母等，在利用數(shù)字證書認(rèn)證身份時，其會自動產(chǎn)生128個代碼，且代碼具對應(yīng)性，不會出現(xiàn)重復(fù)現(xiàn)象，從而保障了信息傳輸?shù)陌踩訹1]。數(shù)字證書主要具以下三方面特征：第一，安全性。用戶申請證書時會有兩份不同證書，分別用于目前工作電腦以及用于驗(yàn)證用戶的信息交互，若所使用電腦不同，用戶就需重新獲取用于驗(yàn)證用戶所使用電腦的證書，而無法進(jìn)行備份，這樣即使他人竊取了證書，也無法獲取用戶的賬戶信息，保障了賬戶信息。第二，唯一性。數(shù)字證書依用戶身份不同給予其相應(yīng)的訪問權(quán)限，若換電腦進(jìn)行賬戶登錄，而用戶無證書備份，其是無法實(shí)施操作的，只能查看賬戶信息，數(shù)字證書就猶如“鑰匙”一般，所謂“一把鑰匙只能開一把鎖”，就是其唯一性的體現(xiàn)。第三，便利性。用戶可即時申請、開通并使用數(shù)字證書，且可依用戶需求選擇相應(yīng)的數(shù)字證書保障技術(shù)。例如，支付寶中的人臉驗(yàn)證、短信驗(yàn)證等。用戶不需要掌握加密技術(shù)或原理，就能夠直接通過數(shù)字證書來進(jìn)行安全防護(hù)，十分便捷高效。數(shù)字證書是由CA中心所簽發(fā)的，CA中心是一個具權(quán)威性、依賴度極高的第三方，其資格證書經(jīng)國家頒發(fā)，可有效保障網(wǎng)絡(luò)數(shù)據(jù)信息的安全性，使數(shù)據(jù)信息處國家掌握當(dāng)中[2]。用戶在瀏覽網(wǎng)絡(luò)數(shù)據(jù)信息或進(jìn)行網(wǎng)上交易時，利用數(shù)字證書可保障信息傳輸及交易的安全性。（2）數(shù)字證書的工作原理。數(shù)字證書的基本架構(gòu)是公開密鑰PKI，即利用一對密鑰實(shí)施加密和解密。其中密鑰包括私鑰和公鑰，私鑰主要用于簽名和解密，由用戶自定義，只有用戶自己知道；公鑰用于簽名驗(yàn)證和加密，可被多個用戶共享。數(shù)字證書的基本工作原理主要體現(xiàn)在：第一，發(fā)送方在發(fā)送信息前，需先與接收方聯(lián)系，同時利用公鑰加密信息，信息在進(jìn)行傳輸?shù)倪^程當(dāng)中一直是處密文狀態(tài)，包括接收方接收后也是加密的，確保了信息傳輸?shù)膯我恍裕粜畔⒈桓`取或截取，也必須利用接收方的公鑰才可解讀數(shù)據(jù)，而無法更改數(shù)據(jù)，這也有利保障信息的完整性和安全性。第二，數(shù)字證書的數(shù)據(jù)簽名類似于加密過程，數(shù)據(jù)在實(shí)施加密后，只有接收方才可打開或更改數(shù)據(jù)信息，并加上自己的簽名后再傳輸至發(fā)送方，而接收方的公鑰具唯性和私密性，這也保證了簽名的真實(shí)性和可靠性，進(jìn)而保障信息的安全性。endprint

2 數(shù)字證書的下載安裝和頒發(fā)

（1）數(shù)字證書的下載安裝。用戶需先于中國數(shù)字證書認(rèn)證網(wǎng)進(jìn)行登錄，若是首次登錄，系統(tǒng)會自動提示用戶安裝根證書，用戶只需依提示完成安裝即可；若未提示或根證書遺失，則需用戶手動操作完成安裝，這時，就需用戶于數(shù)字證書網(wǎng)頁選擇“根CA證書”進(jìn)行安裝，依所彈出的對話框所選擇要安裝的文件夾位置，點(diǎn)擊確定即可。下載好之后，即可雙擊打開，選擇所要安裝的位置即可；安裝成功后，可于瀏覽器中直接選擇Internet，然后選擇所需內(nèi)容，依提示完成所有操作。（2）數(shù)字證書的頒發(fā)。數(shù)字證書的頒發(fā)即是用戶對自己密鑰和公鑰以及自身身體信息傳輸至驗(yàn)證中心進(jìn)行驗(yàn)證的過程，驗(yàn)證中心在經(jīng)核對后，即會給申請者發(fā)送相應(yīng)的數(shù)字證書。所改善的數(shù)字證書當(dāng)中包含了用戶基本信息及公鑰信息，部分還會附上經(jīng)認(rèn)證中心簽名的相關(guān)信息。在獲得數(shù)字證書后，用戶即可利用數(shù)字證書實(shí)施一些自己想要實(shí)施的活動。但每個數(shù)字證書都是不同的，且每個證書的可信度也存在一定差異，因此，申請者所獲得的數(shù)字證書都是唯一的。

3 數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用

（1）授權(quán)身份管理。授權(quán)管理是網(wǎng)絡(luò)信息系統(tǒng)的重要基礎(chǔ)設(shè)施，有效制約了網(wǎng)絡(luò)的安全性。授權(quán)管理系統(tǒng)則會對用戶身份進(jìn)行驗(yàn)證，以便按照用戶的權(quán)限來給予不同的訪問內(nèi)容、訪問形式等。授權(quán)服務(wù)系統(tǒng)可以使得網(wǎng)絡(luò)應(yīng)用系統(tǒng)的開發(fā)、使用以及后期維護(hù)變得方便快捷。授權(quán)管理系統(tǒng)是運(yùn)作是基于相互認(rèn)同的基層上的，只有正確使用數(shù)字證書，才能實(shí)現(xiàn)系統(tǒng)用戶的誰，從而實(shí)現(xiàn)系統(tǒng)的安全保護(hù)。如某教育云平臺，其就是在利用數(shù)字證書的身份認(rèn)證技術(shù)基礎(chǔ)上研發(fā)的，該證書系統(tǒng)包括簽名驗(yàn)證服務(wù)及安全管理兩個模塊，其中簽名驗(yàn)證服務(wù)利用部署于服務(wù)端的API對應(yīng)用端所發(fā)送的簽名請求進(jìn)行的接收，經(jīng)驗(yàn)證后返回驗(yàn)證結(jié)果及簽名；安全管理則是采取B/S架構(gòu)，后臺管理員可直接利有Web瀏覽器來集中管理并配置系統(tǒng)中的各類證書服務(wù)，從而保障了系統(tǒng)登錄的安全性[3]。（2）可信網(wǎng)站服務(wù)。伴隨互聯(lián)網(wǎng)的發(fā)展，現(xiàn)其應(yīng)用已得到廣泛普及，并在人們的生活當(dāng)中發(fā)揮著越來越重要的作用。各類網(wǎng)站也層出不窮，其中也不乏一些假冒或是釣魚網(wǎng)站，這些網(wǎng)站會通過用戶登錄竊取用戶所擁有的一些價(jià)值較高的賬戶，或是通過獲取用戶信息實(shí)施欺詐活動，嚴(yán)重影響網(wǎng)絡(luò)的安全性。而在安裝數(shù)字證書之后，用戶即可有效辨別并避開釣魚網(wǎng)站，以免遭受經(jīng)濟(jì)損失。如用戶在進(jìn)行電子商務(wù)交易時，若感覺某個網(wǎng)站存一定可靠性問題，即可利用數(shù)字證書將所要傳輸?shù)男畔⑦M(jìn)行加密，以免銀行賬號及支付工具等信息被不法分子所竊取，從而保障用戶的信息安全，同時，用戶還可查看此網(wǎng)站的數(shù)字證書，以鑒別此網(wǎng)站是否為非法網(wǎng)站或是釣魚網(wǎng)站。（3）安全電子郵件。在現(xiàn)實(shí)社會生活當(dāng)中，政府、企業(yè)或是個人都會擁有一些價(jià)值較高或是較為隱私的信息，這些信息的泄露會給政府、企業(yè)或是個人帶來不可預(yù)估的損失。為避免這些信息泄露，人們通常會選擇將這些信息存儲于終端服務(wù)器當(dāng)中，而為預(yù)終端服務(wù)器當(dāng)中所存儲信息非法人員損壞。目前使用的是基于數(shù)字證書為核心的系統(tǒng)登錄發(fā)，使用動態(tài)加密技術(shù)來對信息進(jìn)行保護(hù)。確保服務(wù)器上所存儲的重要信息不會被非法訪問或竊取。經(jīng)數(shù)字證書驗(yàn)證后的系統(tǒng)，不僅可有效阻止非法用戶的訪問，而且還可保障合法用戶對于服務(wù)器上數(shù)據(jù)信息的安全使用。若用戶引入數(shù)字信封技術(shù)，還可加密服務(wù)器中所存儲的重要信息，用戶只有應(yīng)用指定證書后方可訪問信息，從而保證了數(shù)據(jù)信息的完整性和機(jī)密性。（4）安全終端保護(hù)。應(yīng)用數(shù)字證書的安全電子郵件經(jīng)由用戶CA中心簽名，同時包括公鑰和電子郵箱地址。在使用電子郵件時，利用加密技術(shù)及經(jīng)數(shù)字簽名的證書可保證電子郵件在進(jìn)行傳輸過程當(dāng)中信息內(nèi)容的安全性和完整性，也使得通信雙方能確認(rèn)對方身份，從而判定電子郵件信息內(nèi)容的真實(shí)性和可靠性。電子郵件所使用的數(shù)字證書可利用U盤是硬盤進(jìn)行存儲，利用公鑰算法，還可有效預(yù)防署簽名郵件被篡改為加密郵件。要注意的是，不是所有郵箱均可對文件實(shí)施簽名或是加密處理，而是只有當(dāng)電子郵件所擁有的數(shù)字 證書與賬戶信息相符時才可實(shí)現(xiàn)電子郵箱文件的簽名及加密處理。（5）代碼簽名保護(hù)。伴隨搜索引擎技術(shù)的迅速發(fā)展，現(xiàn)電子商務(wù)領(lǐng)域常見各類網(wǎng)絡(luò)推廣技術(shù)，有效促進(jìn)了網(wǎng)絡(luò)銷售的向前發(fā)展。網(wǎng)絡(luò)推廣技術(shù)的引入，雖然極大地方便了用戶的使用，但也給網(wǎng)絡(luò)安全帶來了一定不良影響。利用網(wǎng)絡(luò)推廣技術(shù)，結(jié)合互聯(lián)網(wǎng)，用戶可隨意將各類軟件分享于網(wǎng)絡(luò)平臺上，但對于軟件的安全性，分享者卻并不了解，軟件的安全性主要是由軟件開發(fā)方來負(fù)責(zé)，而非分享者。互聯(lián)網(wǎng)又為人們創(chuàng)造了一個極具開放性的生活環(huán)境，在這種情況下，網(wǎng)絡(luò)中不乏很多盜版甚至是非法軟件，若用戶使用這些軟件，將會在一定程度上影響信息的安全性。而利用數(shù)字簽名技術(shù)，則可對軟件供應(yīng)商的真實(shí)身份進(jìn)行確認(rèn)，保障所使用軟件的安全性和可靠性。

為促進(jìn)互聯(lián)網(wǎng)的進(jìn)一步發(fā)展，就有必要解決網(wǎng)絡(luò)安全問題。數(shù)字證書作為網(wǎng)絡(luò)安全的有效保障措施，現(xiàn)已廣泛應(yīng)用于人們的生活當(dāng)中，如電子政務(wù)、電子商務(wù)、網(wǎng)上銀行等，保障了信息傳輸?shù)娜嫘浴⒔灰椎陌踩裕ㄟ^結(jié)合其他網(wǎng)絡(luò)安全技術(shù)，有效確保了網(wǎng)絡(luò)的使用安全，有力的推動了互聯(lián)網(wǎng)的向前發(fā)展。相信隨著互聯(lián)網(wǎng)的不斷普及，數(shù)字證書將在網(wǎng)絡(luò)安全的保障當(dāng)中發(fā)揮著更加重要的作用。

參考文獻(xiàn)：

[1]楊齊成，王錦，胡北辰.數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用分析[J].江漢大學(xué)學(xué)報(bào)（自然科學(xué)版），2017，45（03）：278-282.

[2]王慶輝.數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用[J].電腦迷，2016（11）：39.

[3]梁穎琳.數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用[J].信息化建設(shè)，2015（06）：107.endprint