數字證書在網絡安全中的應用探析

張省吾 鄭州市第十一中學

1 數字證書的基本概述

1.1 數字證書的概念

數字證書實際上是由證書授權（Certificate Authority），也就是CA機構發行的一種電子文檔。它是一串能夠表明網絡用戶身份信息的數字，提供了一種在計算機網絡上驗證網絡用戶身份的方式，因此數字證書又稱為數字標識。數字證書對網絡用戶在計算機網絡交流中的信息和數據等以加密或解密的形式保證了信息和數據的完整性和安全性。

1.2 數字證書認證中心

數字證書認證中心（Certificate Authority），也就是CA，是具有權威性和可信度的一個負責數字證書的發放和管理的機構。CA機構為每一個使用公開密鑰的人發放數字證書來驗證網絡用戶的身份。以數字證書為主的核心技術對計算機上的數據信息進行加密和解密、數字簽名和簽名驗證來確保證書持有者身份的真實性。

1.3 數字證書的原理

數字證書的基礎結構是公開密鑰PKI，就是采用一對密鑰對數據信息就行加密和解密。公開密鑰是可以多個網絡用戶共享的一組文件。如果發送一份保密文件，網絡用戶將公開密鑰從接收方拷過來，再通過郵件或者是其他方式發送給其他人，在收件人知道公開密鑰的情況下才能對數據信息進行解密，這樣數據信息就可以安全地傳送到收件人那里。當然網絡用戶也可以根據自己的實際需要設置私人密鑰。私人密鑰只屬于私人享有，它主要是用于私人信息的解密和簽名。

數字證書中包含很多的英文和數字。網絡用戶在利用數字證書進行身份認證時就產生了128位身份碼。不同的數字證書會有不同的身份碼，這也加強了數據信息傳輸過程中的安全性。

1.4 數字證書的安裝與頒發

數字證書的安裝，首先要登錄中國數字認證網。如果是首次登陸，系統就會提示要先安裝根證書才能繼續使用，這個時候只需要按照步驟安裝即可。如果沒有任何提示或者是之前安裝的根證書遺失，手動安裝即可。根證書安裝成功后，會進行信息的核對。將用戶信息、公開密鑰提交到信息驗證中心。信息驗證中心完成信息和身份核對后，用戶就可以得到數字證書。這個數字證書主要包括了用戶的基本信息、公開密鑰信息和簽名信息。數字證書有不同的特點，所以用戶只需要根據自身的活動需要在不同的機構安裝不同的數字證書即可。

2 數字證書在網絡安全中的應用

目前來看，數字證書有很多格式版本，主要有X.509v3（1997）、X509v4（1997）、X.509v1（1988）等。比較常用的版本是TUTrec.x.509V3，由國際電信聯盟制定，內容包括證書序列號、證書有效期和公開密鑰等信息。不論是哪一個版本的數字證書，只要獲得數字證書，用戶就可以將其應用于網絡安全中。

2.1 安全電子郵件

電子郵件中使用數字證書可以建構安全電子郵件證書，主要用戶加密電子郵件的傳輸，保護電子郵件在傳輸和接收過程中的安全。安全電子郵件證書主要有證書持有者的CA機構的簽名、電子郵件地址和公開密鑰這些信息。一方面，數字證書與電子郵件結合后，就可以在安全電子郵件證書的加密和數字簽名技術的保護下，實現電子郵件的安全傳輸和接收，保證了電子郵件的安全性和完整度。同時，也保證了電子郵件傳輸方和接收方信息的真實性。另一方面，安全電子郵件證書中包括公開密鑰這一信息，就能夠確保電子郵件不被更改，因為只有知道公開密鑰才能使用電子郵件。

最后需要注意的是，電子郵件與數字證書建構的安全電子郵件證書只有在安全電子郵件證書與電子郵件賬戶信息一致的情況下，才能利用數字證書的公開密鑰的加密，真正做到對電子郵件的保密。

2.2 安全終端保護

隨著計算機網絡技術的發展，電子商務的發展也越來越快，在人們生活和生產中的應用也越來越廣泛，用戶終端和數據的安全問題也日益受到重視。為了避免終端數據信息的損壞或者是泄露，數字證書作為一種加密技術，可以用于終端的保護。

首先，使用正版的軟件和硬件，正確配置系統和網絡并定期進行檢查，防止終端配置被非法篡改。其次，利用網絡安全技術如防火墻對內外網絡進行實質性的隔離。同時，及時更新病毒庫和防病毒軟件，對終端系統實時進行病毒和安全漏洞的掃描，加強對終端系統的安全保護。一旦發現可疑信息，就要立即重點監控，防止其帶來的影響和破壞。最后，加強訪問終端的控制，利用加密和認證等手段加強信息破解的難度。用戶可以設置一個以數字證書為主的系統登錄方式，加上動態加密，就可以實現對系統的驗證，沒有權限的用戶就無法進入終端系統的訪問，擁有權限的用戶就符合了訪問的要求，保證了訪問終端的一致性。另外還要做到終端網絡和主網絡的分離，減少兩者之間的數據交叉和結合，也避免了終端網絡和主網絡的相互影響，減少風險。

2.3 代碼簽名保護

網絡信息推廣對很多用戶來說，便捷有經濟，但對軟件的安全是不確定的。比如，用戶對軟件進行分享時，軟件的接收和使用過程中存在著很多不安全因素，即使軟件供應商能夠保證軟件自身的安全性，但也無法抵制盜版軟件和網絡本身存在的不安全因素帶來的不利影響。

我們知道，軟件是計算機網絡的重要組成部分，也是確保計算機網絡安全的重要因素。如果軟件出現問題，就會直接威脅到計算機網絡的安全。因此，加強計算機軟件的安全防護是非常必要的。通過數字證書技術的使用，利用數字證書的簽名就可以確保軟件供應商身份的真實性和可信度，確認軟件沒有被非法篡改和被植入病毒。因為未使用數字證書簽名的軟件是無法正常運行的，以WINDOWS系統為例，如果用戶下載了未被簽名的軟件，系統就會發出紅色警告或者是直接攔截不讓其運行，這就避免了使用假冒軟件或者是盜版軟件對計算機網絡帶來的風險。

2.4 可信網站服務

我國網站的數量伴隨著計算機網絡技術的發展呈現出日益增長的趨勢，其中的惡意網站、釣魚網站和假冒網站也越來越多，這就增加了用戶對它們識別的難度，一不小心就會將自身的數據信息泄漏，嚴重影響了網絡的安全。當用戶對所使用的網站存在疑慮，不確定其中是否有被篡改和侵襲時，就可以利用數字證書的技術。通過數字證書技術，就可以對不確定的網站先進行驗證和檢查，增加了使用安全網站的機率，也避免了惡意網站、釣魚網站和假冒網站等對網絡造成的損失。

2.5 身份授權管理

授權管理系統是信息系統安全的重要內容，對用戶和程序提供相對應的授權服務，授權訪問和應用的方法，而數字證書必須通過計算機網絡的身份授權管理后才能被應用。因此，要保證身份授權管理工具的安全性。當系統雙方相互認同時，身份授權系統的工作才能展開。同時，正確使用數字證書，適當授權，完成系統的用戶認證，才能切實保護身份授權管理系統的安全性。

3 總結

在信息化時代和計算機網絡發展的帶動下，網絡在人們的生活和生產中的重要性日益凸顯。不可忽視的是網絡環境中也存在著很多不確定因素，網絡安全問題成為制約計算機網絡發展的因素之一。但是，利用數字證書技術，就可以解決計算機網絡安全中存在的問題。數字證書在網絡安全中發揮著重要的作用，主要體現在安全電子郵件、安全終端保護、代碼簽名保護、可信網站服務和身份授權管理這幾個方面，保證了數據信息的完整性和安全性。

隨著網絡技術的發展，數字證書通過與其他網絡安全技術的結合，在計算機網絡安全中的應用會越來越廣泛。

[1]薛天龍、安慶權，數字證書原理及應用[M]，中國標準出版社2014

[2]付海麗、楊宇、毛忠東、饒俊，數字證書對于提升網絡安全的效果[J]，信息與電腦:理論版2015 (1) :42-43