導(dǎo)讀數(shù)字證書也稱公鑰證書，是指在互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一個(gè)數(shù)字認(rèn)證，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。因此，數(shù)字證書又稱為數(shù)字標(biāo)識(shí)。數(shù)字證書對(duì)網(wǎng)絡(luò)....

數(shù)字證書也稱公鑰證書，是指在互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一個(gè)數(shù)字認(rèn)證，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。因此，數(shù)字證書又稱為數(shù)字標(biāo)識(shí)。數(shù)字證書對(duì)網(wǎng)絡(luò)用戶在計(jì)算機(jī)網(wǎng)絡(luò)交流中的信息和數(shù)據(jù)等以加密或解密的形式保證了信息和數(shù)據(jù)的完整性和安全性。

例如，以數(shù)字證書為核心的，可對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證的有關(guān)技術(shù)和措施。數(shù)字身份認(rèn)證中使用了數(shù)字證書，即使所發(fā)送的信息在網(wǎng)上被他人截獲、甚至丟失了個(gè)人的賬戶或密碼等信息，也能保障傳遞信息的安全性和完整性。

數(shù)字證書，這一名詞并非是我國(guó)原有，而是來(lái)自于英文digital certificate的翻譯。事實(shí)上，數(shù)字證書是一種權(quán)威性的電子文檔。它提供了一種在Internet上驗(yàn)證用戶身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。

據(jù)了解，數(shù)字證書是由一個(gè)由權(quán)威機(jī)構(gòu)——CA證書授權(quán)（Certificate Authority）中心發(fā)行的，用戶可以在互聯(lián)網(wǎng)的交往中用它來(lái)識(shí)別對(duì)方的身份。其中，由CA簽名的數(shù)字證書包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及擴(kuò)展信息的一種數(shù)據(jù)結(jié)構(gòu)。

通常，最簡(jiǎn)單的數(shù)字證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。而且，一般來(lái)說(shuō)，數(shù)字證書主要包括證書所有者的信息、證書所有者的公鑰、證書頒發(fā)機(jī)構(gòu)的簽名、證書的有效時(shí)間和其他信息等。數(shù)字證書的格式一般采用X.509國(guó)際標(biāo)準(zhǔn)，是廣泛使用的證書格式之一。

說(shuō)白了，數(shù)字證書就相當(dāng)于社會(huì)中的身份證，用戶在進(jìn)行電子商務(wù)活動(dòng)時(shí)可以通過(guò)數(shù)字證書來(lái)證明自己的身份，并識(shí)別對(duì)方的身份。在數(shù)字證書認(rèn)證的過(guò)程中，證書認(rèn)證中心（CA）作為權(quán)威的、公正的、 可信賴的第三方，其作用是至關(guān)重要的。當(dāng)前階段，我國(guó)的CA中心的從業(yè)資格是由國(guó)家工業(yè)與信息化部所頒發(fā)，全國(guó)范圍內(nèi)只有約50家企業(yè)具有數(shù)字認(rèn)證的從業(yè)資格。

數(shù)字證書的驗(yàn)證身份方式，主要采用公開密鑰體制，還包括對(duì)稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。可以使用數(shù)字證書，通過(guò)運(yùn)用對(duì)稱和非對(duì)稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，每個(gè)用戶自己設(shè)定一把特定的僅為本人所知的私有密鑰（私鑰），用它進(jìn)行解密和簽名；同時(shí)設(shè)定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗(yàn)證簽名。

例如，當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，通過(guò)數(shù)字的手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即，只有用私有密鑰才能解密，這樣信息就可以安全無(wú)誤地到達(dá)目的地了。因此，保證了信息除發(fā)送方和接收方外不被其他人竊取；信息在傳輸過(guò)程中不被篡改；發(fā)送方能夠通過(guò)數(shù)字證書來(lái)確認(rèn)接收方的身份；發(fā)送方對(duì)于自己的信息不能抵賴。

為避免中間人攻擊，基于數(shù)字簽名的身份認(rèn)證往往需要結(jié)合數(shù)字證書使用。例如，金融行業(yè)標(biāo)準(zhǔn)JR/T 0025.7《中國(guó)金融集成電路（IC）卡規(guī)范第七部分：借記貸記應(yīng)用安全規(guī)范》規(guī)定了一種基于數(shù)字簽名的動(dòng)態(tài)數(shù)據(jù)認(rèn)證（DDA）過(guò)程。動(dòng)態(tài)數(shù)據(jù)認(rèn)證采用了一個(gè)三層的公鑰證書方案。每一個(gè)IC卡公鑰由它的發(fā)卡行認(rèn)證，而認(rèn)證中心認(rèn)證發(fā)卡行公鑰。這表明為了驗(yàn)證IC卡的簽名，終端需要先通過(guò)驗(yàn)證2個(gè)證書來(lái)恢復(fù)和驗(yàn)證IC卡公鑰，然后用這個(gè)公鑰來(lái)驗(yàn)證IC卡的動(dòng)態(tài)簽名。

也因此，不難發(fā)現(xiàn)，數(shù)字證書采用公鑰密碼體制，公鑰密碼技術(shù)解決了密鑰的分配與管理問(wèn)題。在電子商務(wù)技術(shù)中，商家可以公開其公鑰，而保留其私鑰。購(gòu)物者可以用人人皆知的公鑰對(duì)發(fā)送的消息進(jìn)行加密，然后安全地發(fā)送給商家，商家用自己的私鑰進(jìn)行解密。而用戶也可以用自己的私鑰對(duì)信息進(jìn)行加密，由于私鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，即形成了數(shù)字證書。

采用數(shù)字證書，能夠確認(rèn)這兩點(diǎn)：一是，保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；二是，保證信息自簽發(fā)后至收到為止未曾做過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。這也是數(shù)字簽名的核心會(huì)是數(shù)字證書的原因。

值得一提的是，數(shù)字證書根據(jù)用途的不同，可分為這幾類：服務(wù)器證書（SSL 證書）；電子郵件證書；客戶端個(gè)人證書。