數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用探析

張省吾 鄭州市第十一中學(xué)

1 數(shù)字證書的基本概述

1.1 數(shù)字證書的概念

數(shù)字證書實(shí)際上是由證書授權(quán)（Certificate Authority），也就是CA機(jī)構(gòu)發(fā)行的一種電子文檔。它是一串能夠表明網(wǎng)絡(luò)用戶身份信息的數(shù)字，提供了一種在計(jì)算機(jī)網(wǎng)絡(luò)上驗(yàn)證網(wǎng)絡(luò)用戶身份的方式，因此數(shù)字證書又稱為數(shù)字標(biāo)識(shí)。數(shù)字證書對(duì)網(wǎng)絡(luò)用戶在計(jì)算機(jī)網(wǎng)絡(luò)交流中的信息和數(shù)據(jù)等以加密或解密的形式保證了信息和數(shù)據(jù)的完整性和安全性。

1.2 數(shù)字證書認(rèn)證中心

數(shù)字證書認(rèn)證中心（Certificate Authority），也就是CA，是具有權(quán)威性和可信度的一個(gè)負(fù)責(zé)數(shù)字證書的發(fā)放和管理的機(jī)構(gòu)。CA機(jī)構(gòu)為每一個(gè)使用公開(kāi)密鑰的人發(fā)放數(shù)字證書來(lái)驗(yàn)證網(wǎng)絡(luò)用戶的身份。以數(shù)字證書為主的核心技術(shù)對(duì)計(jì)算機(jī)上的數(shù)據(jù)信息進(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證來(lái)確保證書持有者身份的真實(shí)性。

1.3 數(shù)字證書的原理

數(shù)字證書的基礎(chǔ)結(jié)構(gòu)是公開(kāi)密鑰PKI，就是采用一對(duì)密鑰對(duì)數(shù)據(jù)信息就行加密和解密。公開(kāi)密鑰是可以多個(gè)網(wǎng)絡(luò)用戶共享的一組文件。如果發(fā)送一份保密文件，網(wǎng)絡(luò)用戶將公開(kāi)密鑰從接收方拷過(guò)來(lái)，再通過(guò)郵件或者是其他方式發(fā)送給其他人，在收件人知道公開(kāi)密鑰的情況下才能對(duì)數(shù)據(jù)信息進(jìn)行解密，這樣數(shù)據(jù)信息就可以安全地傳送到收件人那里。當(dāng)然網(wǎng)絡(luò)用戶也可以根據(jù)自己的實(shí)際需要設(shè)置私人密鑰。私人密鑰只屬于私人享有，它主要是用于私人信息的解密和簽名。

數(shù)字證書中包含很多的英文和數(shù)字。網(wǎng)絡(luò)用戶在利用數(shù)字證書進(jìn)行身份認(rèn)證時(shí)就產(chǎn)生了128位身份碼。不同的數(shù)字證書會(huì)有不同的身份碼，這也加強(qiáng)了數(shù)據(jù)信息傳輸過(guò)程中的安全性。

1.4 數(shù)字證書的安裝與頒發(fā)

數(shù)字證書的安裝，首先要登錄中國(guó)數(shù)字認(rèn)證網(wǎng)。如果是首次登陸，系統(tǒng)就會(huì)提示要先安裝根證書才能繼續(xù)使用，這個(gè)時(shí)候只需要按照步驟安裝即可。如果沒(méi)有任何提示或者是之前安裝的根證書遺失，手動(dòng)安裝即可。根證書安裝成功后，會(huì)進(jìn)行信息的核對(duì)。將用戶信息、公開(kāi)密鑰提交到信息驗(yàn)證中心。信息驗(yàn)證中心完成信息和身份核對(duì)后，用戶就可以得到數(shù)字證書。這個(gè)數(shù)字證書主要包括了用戶的基本信息、公開(kāi)密鑰信息和簽名信息。數(shù)字證書有不同的特點(diǎn)，所以用戶只需要根據(jù)自身的活動(dòng)需要在不同的機(jī)構(gòu)安裝不同的數(shù)字證書即可。

2 數(shù)字證書在網(wǎng)絡(luò)安全中的應(yīng)用

目前來(lái)看，數(shù)字證書有很多格式版本，主要有X.509v3（1997）、X509v4（1997）、X.509v1（1988）等。比較常用的版本是TUTrec.x.509V3，由國(guó)際電信聯(lián)盟制定，內(nèi)容包括證書序列號(hào)、證書有效期和公開(kāi)密鑰等信息。不論是哪一個(gè)版本的數(shù)字證書，只要獲得數(shù)字證書，用戶就可以將其應(yīng)用于網(wǎng)絡(luò)安全中。

2.1 安全電子郵件

電子郵件中使用數(shù)字證書可以建構(gòu)安全電子郵件證書，主要用戶加密電子郵件的傳輸，保護(hù)電子郵件在傳輸和接收過(guò)程中的安全。安全電子郵件證書主要有證書持有者的CA機(jī)構(gòu)的簽名、電子郵件地址和公開(kāi)密鑰這些信息。一方面，數(shù)字證書與電子郵件結(jié)合后，就可以在安全電子郵件證書的加密和數(shù)字簽名技術(shù)的保護(hù)下，實(shí)現(xiàn)電子郵件的安全傳輸和接收，保證了電子郵件的安全性和完整度。同時(shí)，也保證了電子郵件傳輸方和接收方信息的真實(shí)性。另一方面，安全電子郵件證書中包括公開(kāi)密鑰這一信息，就能夠確保電子郵件不被更改，因?yàn)橹挥兄拦_(kāi)密鑰才能使用電子郵件。

最后需要注意的是，電子郵件與數(shù)字證書建構(gòu)的安全電子郵件證書只有在安全電子郵件證書與電子郵件賬戶信息一致的情況下，才能利用數(shù)字證書的公開(kāi)密鑰的加密，真正做到對(duì)電子郵件的保密。

2.2 安全終端保護(hù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，電子商務(wù)的發(fā)展也越來(lái)越快，在人們生活和生產(chǎn)中的應(yīng)用也越來(lái)越廣泛，用戶終端和數(shù)據(jù)的安全問(wèn)題也日益受到重視。為了避免終端數(shù)據(jù)信息的損壞或者是泄露，數(shù)字證書作為一種加密技術(shù)，可以用于終端的保護(hù)。

首先，使用正版的軟件和硬件，正確配置系統(tǒng)和網(wǎng)絡(luò)并定期進(jìn)行檢查，防止終端配置被非法篡改。其次，利用網(wǎng)絡(luò)安全技術(shù)如防火墻對(duì)內(nèi)外網(wǎng)絡(luò)進(jìn)行實(shí)質(zhì)性的隔離。同時(shí)，及時(shí)更新病毒庫(kù)和防病毒軟件，對(duì)終端系統(tǒng)實(shí)時(shí)進(jìn)行病毒和安全漏洞的掃描，加強(qiáng)對(duì)終端系統(tǒng)的安全保護(hù)。一旦發(fā)現(xiàn)可疑信息，就要立即重點(diǎn)監(jiān)控，防止其帶來(lái)的影響和破壞。最后，加強(qiáng)訪問(wèn)終端的控制，利用加密和認(rèn)證等手段加強(qiáng)信息破解的難度。用戶可以設(shè)置一個(gè)以數(shù)字證書為主的系統(tǒng)登錄方式，加上動(dòng)態(tài)加密，就可以實(shí)現(xiàn)對(duì)系統(tǒng)的驗(yàn)證，沒(méi)有權(quán)限的用戶就無(wú)法進(jìn)入終端系統(tǒng)的訪問(wèn)，擁有權(quán)限的用戶就符合了訪問(wèn)的要求，保證了訪問(wèn)終端的一致性。另外還要做到終端網(wǎng)絡(luò)和主網(wǎng)絡(luò)的分離，減少兩者之間的數(shù)據(jù)交叉和結(jié)合，也避免了終端網(wǎng)絡(luò)和主網(wǎng)絡(luò)的相互影響，減少風(fēng)險(xiǎn)。

2.3 代碼簽名保護(hù)

網(wǎng)絡(luò)信息推廣對(duì)很多用戶來(lái)說(shuō)，便捷有經(jīng)濟(jì)，但對(duì)軟件的安全是不確定的。比如，用戶對(duì)軟件進(jìn)行分享時(shí)，軟件的接收和使用過(guò)程中存在著很多不安全因素，即使軟件供應(yīng)商能夠保證軟件自身的安全性，但也無(wú)法抵制盜版軟件和網(wǎng)絡(luò)本身存在的不安全因素帶來(lái)的不利影響。

我們知道，軟件是計(jì)算機(jī)網(wǎng)絡(luò)的重要組成部分，也是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的重要因素。如果軟件出現(xiàn)問(wèn)題，就會(huì)直接威脅到計(jì)算機(jī)網(wǎng)絡(luò)的安全。因此，加強(qiáng)計(jì)算機(jī)軟件的安全防護(hù)是非常必要的。通過(guò)數(shù)字證書技術(shù)的使用，利用數(shù)字證書的簽名就可以確保軟件供應(yīng)商身份的真實(shí)性和可信度，確認(rèn)軟件沒(méi)有被非法篡改和被植入病毒。因?yàn)槲词褂脭?shù)字證書簽名的軟件是無(wú)法正常運(yùn)行的，以WINDOWS系統(tǒng)為例，如果用戶下載了未被簽名的軟件，系統(tǒng)就會(huì)發(fā)出紅色警告或者是直接攔截不讓其運(yùn)行，這就避免了使用假冒軟件或者是盜版軟件對(duì)計(jì)算機(jī)網(wǎng)絡(luò)帶來(lái)的風(fēng)險(xiǎn)。

2.4 可信網(wǎng)站服務(wù)

我國(guó)網(wǎng)站的數(shù)量伴隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展呈現(xiàn)出日益增長(zhǎng)的趨勢(shì)，其中的惡意網(wǎng)站、釣魚(yú)網(wǎng)站和假冒網(wǎng)站也越來(lái)越多，這就增加了用戶對(duì)它們識(shí)別的難度，一不小心就會(huì)將自身的數(shù)據(jù)信息泄漏，嚴(yán)重影響了網(wǎng)絡(luò)的安全。當(dāng)用戶對(duì)所使用的網(wǎng)站存在疑慮，不確定其中是否有被篡改和侵襲時(shí)，就可以利用數(shù)字證書的技術(shù)。通過(guò)數(shù)字證書技術(shù)，就可以對(duì)不確定的網(wǎng)站先進(jìn)行驗(yàn)證和檢查，增加了使用安全網(wǎng)站的機(jī)率，也避免了惡意網(wǎng)站、釣魚(yú)網(wǎng)站和假冒網(wǎng)站等對(duì)網(wǎng)絡(luò)造成的損失。

2.5 身份授權(quán)管理

授權(quán)管理系統(tǒng)是信息系統(tǒng)安全的重要內(nèi)容，對(duì)用戶和程序提供相對(duì)應(yīng)的授權(quán)服務(wù)，授權(quán)訪問(wèn)和應(yīng)用的方法，而數(shù)字證書必須通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)的身份授權(quán)管理后才能被應(yīng)用。因此，要保證身份授權(quán)管理工具的安全性。當(dāng)系統(tǒng)雙方相互認(rèn)同時(shí)，身份授權(quán)系統(tǒng)的工作才能展開(kāi)。同時(shí)，正確使用數(shù)字證書，適當(dāng)授權(quán)，完成系統(tǒng)的用戶認(rèn)證，才能切實(shí)保護(hù)身份授權(quán)管理系統(tǒng)的安全性。

3 總結(jié)

在信息化時(shí)代和計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的帶動(dòng)下，網(wǎng)絡(luò)在人們的生活和生產(chǎn)中的重要性日益凸顯。不可忽視的是網(wǎng)絡(luò)環(huán)境中也存在著很多不確定因素，網(wǎng)絡(luò)安全問(wèn)題成為制約計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的因素之一。但是，利用數(shù)字證書技術(shù)，就可以解決計(jì)算機(jī)網(wǎng)絡(luò)安全中存在的問(wèn)題。數(shù)字證書在網(wǎng)絡(luò)安全中發(fā)揮著重要的作用，主要體現(xiàn)在安全電子郵件、安全終端保護(hù)、代碼簽名保護(hù)、可信網(wǎng)站服務(wù)和身份授權(quán)管理這幾個(gè)方面，保證了數(shù)據(jù)信息的完整性和安全性。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，數(shù)字證書通過(guò)與其他網(wǎng)絡(luò)安全技術(shù)的結(jié)合，在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用會(huì)越來(lái)越廣泛。

[1]薛天龍、安慶權(quán)，數(shù)字證書原理及應(yīng)用[M]，中國(guó)標(biāo)準(zhǔn)出版社2014

[2]付海麗、楊宇、毛忠東、饒俊，數(shù)字證書對(duì)于提升網(wǎng)絡(luò)安全的效果[J]，信息與電腦:理論版2015 (1) :42-43