也許您對"數字證書"這一概念還很陌生,其實,數字證書就是標志網絡用戶身份信息的一系列數據,用來在網絡通訊中識別通訊各方的身份,即要在 Internet上解決"我是誰"的問題,就如同現實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執照一樣,以表明我們的身份或某種資格。
數字證書是由權威公正的第三方機構即CA中心簽發的,以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網絡應用的安全性。
數字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有 一把公共密鑰(公鑰)並可以對外公開,用於加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這 樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由於沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程,即只有用 私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
用戶也可以采用自己的私鑰對信息加以處理,由於密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。采用數字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
(2)保證信息自簽發後到收到為止未曾作過任何修改,簽發的文件是真實文件。
數字證書可用於:發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。
字證書的格式一般采用X.509國際標准。目前,數字證書認證中心主要簽發安全電子郵件證書、個人和企業身份證書、服務器證書以及代碼簽名證書等幾種類型證書。
數字證書的格式遵循ITUTX.509國際標准。一個標准的X.509數字證書包含以下一些內容:
證書的版本信息;
證書的序列號,每個證書都有一個唯一的證書序列號;
證書所使用的簽名算法,如RSA算法;
證書的發行機構(CA中心)的名稱,命名規則一般采用X.500格式;
證書的有效期,現在通用的證書一般采用UTC時間格式,它的計時范圍為1950年-2049年;
證書擁有者的名稱,命名規則一般采用X.500格式;
證書擁有者的公開密鑰;
證書發行機構(CA中心)對證書的數字簽名。