数字证书的分类与作用.doc

数字证书的分类与作用数字证书又称为数字标识，是标志网络用户身份信息的一系列数据。它提供了一种在互联网上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是个人或单位在互联网的身份证。 数字证书是由作为第三方的法定数字认证中心（CA）中心签发，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。分类：从数字证书使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、 企业或机构身份证书 、 支付网关证书 、服务器证书、 安全电子邮件证书、个人代码签名证书。这些数字证书特点各有不同。 从数字证书的技术角度分，CA中心发放的证书分为两类：SSL证书和SET证书。一般地说，SSL证书（安全套接层）是服务于银行对企业或企业对企业的电子商务活动的；而SET（安全电子交易）证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书，但它们的信任体系完全不同，而且所符合的标准也不一样。简单地说，SSL数字证书的功能作用是通过公开密钥证明持证人的身份。而SET证书的作用则是，通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。?下面主要从对象角度说明：个人身份证书 符合 X.509 标准的数字安全证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于 E-key 中，用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 企业或机构身份证书 符合 X.509 标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中，可以用于企业在电子商务方面的对外活动，如合同签定、网上证券交易、交易支付信息等方面。支付网关证书? 支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet 上各种安全协议与银行现有网络数据格式的转换）。 支付网关证书只能在有效状态下使用。 支付网关证书不可被申请者转让。服务器证书 符合 X.509 标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件 进行签名。 安全电子邮件证书 符合 X.509 标准的数字安全证书，通过 IE 或 Netscape 申请，用 IE 申请的证书存储于 WINDOWS 的注册表中，用 NETSCAPE 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 WEB 服务器(https 服务) 表明身份。 个人代码签名证书 个人代码签名证书是 CA 中心签发给软件提供人的数字证书，包含软件提供个人的身份信息、公钥及 CA 的签名。软件提供人使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit .exe 、 .cab 、 .ocx 、 .class 等程序和文件进行签名。 作用：身份认证 身分认证即身份识别与鉴别，就是确认实体即为自己所声明的实体，鉴别身份的真伪。如甲乙双方的认证，甲首先要验证乙的证书的真伪，当乙在网上将证书传送给甲时，甲首先要用权威机构CA的公钥解开证书上CA的数字签名，如签名通过验证，证明乙持有的证书是真的；接着甲还要验证乙身份的真伪，乙可以将自己的口令用自己的私钥进行数字签名传送给甲，甲已经从乙的证书中或从证书库中查得了乙的公钥，甲就可以用乙的公钥来验证乙用自己独有的私钥进行的数字签名。如果该签名通过验证，乙在网上的身份就确凿无疑。数据完整性 数据完整性就是确认数据没有被修改， 即数据无论是在传输或是在存储过程中经过检查确认没有被修改。数据完整性服务的实现主要方法是数字签名技术，它既可以提供实体认证，又可以保障被签名数据的完整性。这是因为密码哈希算法和签名算法提供的保证，哈希算法的特点是输入数据的任何变化都会引起输出数据的不可预测的极大变化；签名是用自己的私钥将该哈希值进行加密，和数据一起传送给接受方。如果敏感数据在传输和处理过程中被篡改，接受方就不会收到完整的数据签名，验证就会失败。反之，如果签名通过了验证，就证明接收方收到的是没经修改的完整性数据。 数据保密性 数据保密性就是确保数据的秘密,除了指定的实体外，其他没经授权的人不能读出或看懂该数据。PKI的保密性服务采用了“数字信封”机制，即发送方先产生一个对称密钥，并用该对称密钥加密敏感数据。同时，发送方还用接收方的公钥加密对称密钥，像装入一个“数字信封”里。然后，将被加密的对称密钥（“数字信封”）和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”，得到对称密钥，用对称密钥解开被加密的敏感数据。其他没经授权的人，因为没有拆开“数字信封”的私钥，看不见或读不懂原数据，起到了数据保密性的作用。图三也说明了数据保密性过程。 不可否认性 不可否认性服务是指从技术上实现保证实体对他们的行为的诚实性，即用数字签名的方法防止其对行为的否认。其中，人们更关注的是数据来源的不可否认性和接收的不可否认性，即用户不能否认敏感信息和文件不是来源于他；以及接收后的不可否认性，即用户不能否认他已接收到了敏感信息和文件。此外还有其他类型的不可否认性，传输的不可否认性、创建的不可否认性和同意的不可否认性等等。数字认证中心的作用：概括地说，认证中心（CA）的作用有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下：（1） 接收验证最终用户数字证书的申请。（2） 确定是否接受最终