數(shù)字證書(Digital Certificate)是網(wǎng)絡(luò)通信中標志通信各方身份信息的一系列數(shù)據(jù),它提供了一種在網(wǎng)絡(luò)上驗證實體身份的方式,其作用類似于日常生活中的駕駛執(zhí)照或身份證。它是一個由權(quán)威機構(gòu)--證書授權(quán)(Certificate Authority)中心,又稱CA中心發(fā)行的,人們可以在交往中用它來識別對方的身份。
數(shù)字證書是由一個獨立的且受信任的第三方(CA中心)數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間,發(fā)證機關(guān)(證書授權(quán)中心)的名稱,該證書的序列號等信息。
個人(公司、機構(gòu))證書和網(wǎng)絡(luò)服務(wù)器的證書使用基本相同的格式,但服務(wù)器證書的“Common Name”屬性通常設(shè)置為域名模式,如web.pphpt.com,而個人(公司、機構(gòu))證書的該屬性設(shè)置為其完整的名稱。
數(shù)字證書的工作過程很容易理解:想發(fā)送加密消息的實體(個人、公司、機構(gòu)或代表它們的網(wǎng)絡(luò)服務(wù)器)向CA機構(gòu)提交申請,CA就向其發(fā)放一個包含了申請者公開密鑰和其他身份信息的加密了的數(shù)字證書。CA必須已經(jīng)將自己的公開密鑰向公眾發(fā)布或可以從Internet上獲取。加密消息的接收方使用CA的公開密鑰來解開附接在消息上的數(shù)字證書,并驗證證書確實是由CA發(fā)放的,然后獲得證書中發(fā)送者的公開密鑰和身份信息。有了這些信息,接收方可以發(fā)送加密的應(yīng)答消息。圖1是認證過程的示意圖。
證書的格式通常遵循ITUT X.509國際標準,但并非一定如此。X.509實際上是一個ITU建議(recommendation),目前是第3版。因此,各家公司可以按不同的方式來實現(xiàn)這個標準。例如,Netscape和Microsoft都在它們的Web服務(wù)器和瀏覽器中使用X.509證書實現(xiàn)SSL(安全套接字層,Secure Sockets Layer),但Netscape生成的X.509證書不能被Microsoft的產(chǎn)品讀取,反之亦然。一個標準的X.509數(shù)字證書包括的內(nèi)容詳見下表1。
那么,為什么要使用數(shù)字證書呢?由于Internet電子商務(wù)系統(tǒng)技術(shù)使在網(wǎng)上購物的顧客能夠極其方便輕松地獲得商家和企業(yè)的信息,但同時也增加了對某些敏感或有價值的數(shù)據(jù)被濫用的風(fēng)險。買方和賣方都必須相信在Internet上進行的一切金融交易運作都是真實可靠的,并且要使顧客、商家和企業(yè)等交易各方都具有絕對的信心,因而Internet電子商務(wù)系統(tǒng)必須保證具有十分可靠的安全保密技術(shù),也就是說,必須保證網(wǎng)絡(luò)安全的四大要素,即信息傳輸?shù)谋C苄浴⒔灰渍呱矸莸拇_定性、發(fā)送信息的不可否認性和交換數(shù)據(jù)的不可修改性。數(shù)字證書是SSL協(xié)議的一部分。
