信息安全金钥匙 数字证书使用一点通(上)

信息安全金钥匙 数字证书使用一点通(上) - 电脑安全 - 电脑教程网

信息安全金钥匙 数字证书使用一点通(上)

日期:2006-08-06   荐:
  现在,网络欺诈事件层出不穷,通过网络交易损失上万元,或者影响个人职业生涯的案例,早已在国内发生了。比如曾经有9位通过网络炒股的股民在“银广夏”复牌“跳水”时期,被莫名其妙地盗卖而后又盗买了大量股票,总损失超过12万元!也就是说,如果要冒充股民实施盗买盗卖,只需要知道他们的密码就可以。再比如,北京某高校一女生,历尽千辛万苦,考上了美国一家著名大学,并收到了录取通知书,不料,她的一个同学竟然冒她之名,向对方学校发送了一封“放弃入学”的Email,等她发现,对方的录取工作已经结束,留学之路严重受挫!类似的事件还有很多,我们发现,通过密码或其他手段来冒充时,这些事件都可能会成立,于是,人们在网络上的身份安全问题接踵而来。    实际上,通过使用数字证书,这些损失是完全可以避免的。在招商银行http://www.cmbchina.com申请专业个人银行的时候,很多朋友都接触了数字证书。作为一种比较成熟的安全产品,数字证书已经发展到一个较高的技术水平,而且它将在我们将来的网络生活中发挥越来越重要的作用。那么,数字证书能做什么呢?它和网络安全到底有什么关系呢?如何使用数字证书来进行一些具体的操作呢?本文将通过详细而生动的演示,让读者轻松拥有免费数字证书,同时,针对数字证书的具体应用如利用数字证书对邮件和word文档的签名、加密等,让读者对数字证书的操作有一个比较全面和直观的认识。    一、揭开数字证书的神秘面纱  1. 什么是数字证书    数字证书称为数字标识 (Digital Certificate ,Digital ID)。它提供了一种在 Internet 上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关交易操作。通俗地讲,数字证书就是个人或单位在 Internet上的身份证。    比较专业的数字证书定义是,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。有了数字证书,我们在网络上就可以畅通无阻。如图1是一个数字证书在网络应用中的原理图。     图 1    为什么需要数字证书呢?如本文开头所举的例子,由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使顾客、商家和企业等交易各方都具有绝对的信心,因而网络电子商务系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份的确定性。    2. 获得及安装免费数字证书    通过使用免费数字证书,我们可以了解专业数字证书的相关技术。获得免费数字证书的方法有很多,目前国内有很多CA中心提供试用型数字证书,其申请过程在网上即时完成,并可以免费使用。下面提供一个比较好的站点,申请地址为https://testca.netca.net/。登陆后,点击“证书申请”,选择“试用型个人数字证书申请”,特别强调,注意只有安装了根证书(证书链)的计算机,才能完成后面的申请步骤和正常使用读者在CA中心申请的数字证书。    按照提示,通过地址https://testca.netca.net/download/GetRootCertificateIndi.asp选择“安装试用CA证书链”。安装成功出现提示框后,可以看到一个表单。    按照表单上的提示,输入完整的个人资料。选择加密服务提供程序(Cryptographic Service Provider,CSP),其中,CSP 负责创建密钥、吊销密钥,以及使用密钥执行各种加、解密操作。每个 CSP 都提供了不同的实现方式。某些提供了更强大的加密算法,而另一些则包含硬件组件,例如智能 IC 卡或 USB 电子令牌。 当读者使用特别的数字证书存储介质(如:智能 IC 卡或 USB 电子令牌)存储数字证书及其相应的私有密钥时,可以在“加密服务提供程序(CSP)”下拉框中选择该存储介质生产厂商提供的CSP。我们可以选择“Microsoft Base Cryptagraphic Provider V1.0”。    补充信息可以选填:有效证件类型,证件号码,读者的出生日期,读者的性别, 读者的住址,通信地址,通信所在地邮政编码,联系电话,传真号码,存储介质等。然后点击按钮提交。    下载证书。进行上述步骤后,系统将发一封申请成功的信件到读者申请时使用的邮箱内,其中包括业务受理号和密码, 数字证书下载的地址。点击数字证书下载地址,填写业务受理号和密码。    提交后,可以得到如图2所示的信息。     图 2    然后点击下方的“安装证书”按钮,当系统提示“证书成功下载”和“证书已成功装入应用程序中”后,表明读者的证书已经成功安装。    3. 在IE中查看数字证书    现在很多读者朋友可能要问了,数字证书在哪里呢?其实,微软的IE浏览器自带一个数字证书管理器,通过这个管理器我们可以查看数字证书。    首先在打开Internet Explorer,在Internet Explorer的菜单上,单击 “工具”菜单中的 “Internet选项”。选取“内容”选项卡,点击“证书”按钮来查看读者信任的当前证书的列表。     点击“个人”选项卡可以查看读者已经申请的个人数字证书;下面是申请的免费数字证书,读者朋友可以参考。如图3所示。     图 3    选定读者要查看的个人数字证书,然后单击 “查看” 按钮,可以查看证书的详细信息。如图4是一个数字证书的详细信息列表。     图 4    下面就是在证书中所包含的元素的列表,读者朋友可以根据自己的体会进行理解。    版本:它用来区别X.509的各种连续的版本。默认值是1988版本。  序列号:序列号是一个整数值,在发行的证书颁发机构中是唯一的。序列号与证书有明确联系,就像身份证号码和公民日常登记有明确联系一样。  算法识别符:算法识别符识别证书颁发机构用来签署证书的算法。证书颁发机构使用它的私钥对每个证书进行签名。  发行者或证书颁发机构:证书颁发机构是创建这个证书的机构。  有效期:提供证书有效的起止日期,类似于信用卡的期限。  主体:证书对他的身份进行验证。  公钥信息:为证书识别的主体提供公钥和算法识别符。  签名:证书签名覆盖了证书的所有其他字段。签名是其他字段的哈希代码,使用证书颁发机构的私钥进行加密,保证整个证书中信息的完整性。如果有人使用了证书颁发机构的公钥来解密这个哈希代码,同时计算了证书的哈希代码,而两者并不相同,那么证书的某一部分就肯定被非法更改了。    有了数字证书以后,我们可以进行发送安全的电子邮件,实现网上邮件的加密和签名电子邮件,它还可以应用于公众网络上的商务活动和行政作业活动,应用范围涉及需要身份认证及数据安全的各个行业,如访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税、网上购物等网上的安全电子事务处理和安全电子交易活动等。随着电子商务和电子政务的不断发展,数字证书的颁发机构CA中心将作为一种基础设施为电子商务的发展提供可靠的保障。所以,网络发展的越快,人们对网络安全的要求也越来越高,了解数字证书并学会一些数字证书的操作将有利于我们更加安全的在网上冲浪。    二、电子邮件与数字证书  安全电子邮件证书中包含证书持有者的电子邮件地址、公钥及CA中心的签名。使用安全电子邮件证书可以收发加密和数字签名邮件,保证电子邮件传输中的机密性、完整性和不可否认性,确保电子邮件通信各方身份的真实性。证书可以存贮在硬盘、USB中。安全电子邮件利用公钥算法保证你的签名邮件不会被篡改,而你的加密邮件除了邮件接收者以外(甚至你自己)的任何人无法阅读其中的内容。需要注意的是,证书中的邮件地址必须同绑定的邮件帐号一致。这样就可以对自己的邮件签名和加密了。    下面,通过一个存储在硬盘中的数字证书进行相关操作的演示。    1. 在Outlook Express中设定邮件    首先,打开Outlook Express,然后选择菜单中的“工具”菜单中的“帐户”选项,出现“Internet帐户”对话框,我们点击右边的“添加”按钮,选择“邮件”选项,如图5所示。     图 5    输入读者的邮件显示姓名,如“彭文波”;点击“下一步” ,输入读者的电子邮件地址(如[email protected]);点击“下一步” ,系统让读者分别输入接收邮件服务器和发送邮件服务器的域名或IP地址,如本例为:163.net,smtp.163.net;关于163的邮件设置,我们可以参考www.163.net 的站点邮件设置帮助文件。如图6所示。<
标签: