劉海剛

【摘要】數(shù)字證書的一種加密技術(shù)，在網(wǎng)絡(luò)安全問題預(yù)防中起著重要作用，廣泛應(yīng)用于各機構(gòu)網(wǎng)絡(luò)安全管理工作。本文以**高級技工學(xué)校計算機網(wǎng)絡(luò)安全為研究對象，基于數(shù)字證書的工作原理，從電子郵件、用戶終端、代碼簽名、身份授權(quán)等方面入手，對數(shù)字證書在網(wǎng)絡(luò)安全中的具體應(yīng)用進(jìn)行了簡要分析，僅供參考借鑒。

【關(guān)鍵詞】數(shù)字證書 應(yīng)用原理 下載安裝 網(wǎng)絡(luò)安全 電子郵件

隨著信息時代的到來，計算機技術(shù)快速發(fā)展，在社會生產(chǎn)與生活的各個方面有著廣泛應(yīng)用，無論是工作還是生活，人們愈加離不開計算機。計算機改變工作方式、提升工作效率的同時，也帶來了一系列網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全實際上是網(wǎng)絡(luò)信息方面的安全問題，如信息被竊取、被損壞等，主要危險因素來源于系統(tǒng)漏洞、病毒、黑客、網(wǎng)絡(luò)攻擊等。為保護(hù)網(wǎng)絡(luò)信息安全，需要采用網(wǎng)絡(luò)安全防御技術(shù)，而數(shù)字證書就是其中之一，是計算機網(wǎng)絡(luò)安全技術(shù)不可缺少的一部分。

一、數(shù)字證書簡述

（一）概念

數(shù)字證書，是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗證通信實體身份的方式[1]。實際上，數(shù)字證書是一種電子文檔，由CA中心簽發(fā)，權(quán)威性較高。在互聯(lián)網(wǎng)通訊中用它來識別各方身份，不是簡單的數(shù)字身份證，而是由權(quán)威機構(gòu)在數(shù)字身份證上的章，或簽名，只有經(jīng)過數(shù)字證書簽發(fā)才能正常進(jìn)行網(wǎng)絡(luò)通訊。

數(shù)字證書作為標(biāo)識通訊各方身份信息的數(shù)字信息文件，除了包含通訊各方身份信息內(nèi)容外，還包括了用戶所持有的公開秘鑰和數(shù)字簽名，擔(dān)保通訊各方身份，用于計算機網(wǎng)路信息安全。

（二）工作原理

數(shù)字證書以公鑰體制為基礎(chǔ)，基于相匹配的秘鑰進(jìn)行加密處理，用戶自己可以為自身制動私人秘鑰，建構(gòu)公鑰與私人秘鑰相結(jié)合的加密體系。在互聯(lián)網(wǎng)通訊中，用戶發(fā)送保密文件時主要利用公鑰進(jìn)行信息加密，而接收方接收保密文件時，用私人秘鑰進(jìn)行解密，這樣就可以保證保密文件安全傳遞。

公鑰經(jīng)過服務(wù)器驗證后公開展示給他人，是對外開放的，屬于共享文件，但是私人秘鑰只有本人知道，是信息加密的關(guān)鍵，也是保護(hù)信息安全的重要技術(shù)。保密文件利用數(shù)字證書身份加密后，只有知道私人秘鑰的人才能查看、使用信息，保證數(shù)字加密是一個不可逆轉(zhuǎn)的過程，具有唯一性。

（三）頒發(fā)

CA中心簽發(fā)的數(shù)字證書具有權(quán)威性，用戶想要使用數(shù)字證書，需要下載數(shù)字證書，并向?qū)I(yè)機構(gòu)申請數(shù)字證書。數(shù)字證書由用戶從中國數(shù)字證書網(wǎng)上下載，再安裝在計算機系統(tǒng)中。不同級別的數(shù)字證書由不同級別的機構(gòu)簽發(fā)，用戶申請數(shù)字證書前要先判斷自己所需要的數(shù)字證書級別，再向同級別的權(quán)威機構(gòu)申請，通過后正式簽發(fā)數(shù)字證書。

二、數(shù)字證書在網(wǎng)絡(luò)安全的應(yīng)用

**高級技工學(xué)校計算機系統(tǒng)采用數(shù)字證書，按照先下載數(shù)字證書、后安裝數(shù)字證書，判斷出自己所需要級別的數(shù)字證書后，再向同級別的權(quán)威機構(gòu)申請數(shù)字證書。目前，數(shù)字證書有多種格式版本，如X.509v3（1997）、X509v4（1997）、X.509v1（1988）等，比較常用的主要是TU-Trec.x.509V3，由國際電信聯(lián)盟制定。TU-Trec.x.509V3格式版本的數(shù)字證書有證書序列號、證書辦法者名稱、證書持有者名稱、證書有效期、公鑰等。本學(xué)校計算機系統(tǒng)采用由國際電信聯(lián)名制定格式版本的數(shù)字證書，即TU-Trec.x.509V3。獲得數(shù)字證書后，可將數(shù)字證書用于安全電子郵件、用戶終端、代碼簽名、身份授權(quán)等方面，具體情況入下。

（一）電子郵件

在電子郵件中使用數(shù)字證書，建構(gòu)安全電子郵件證書，用于加密電力郵件，保護(hù)電子郵件安全。安全電子郵件證書，主要包括CA中心簽名、公鑰、電子郵件地址等內(nèi)容。將數(shù)字證書用于電子郵件后，在安全電子郵件證書加密保護(hù)下發(fā)送和接收電子郵件，使電子郵件具有保密性、完整性，同時也保證了電子郵件傳方和接收方身份的真實性，可以保護(hù)電子郵件安全。

下載后的數(shù)字證書安裝在計算機中，之后基于數(shù)字證書建構(gòu)安全電子郵件數(shù)字證書。由于安全電子郵件使用了數(shù)字證書中的公鑰，確保電子郵件不被篡改，只有知道私人秘鑰的人才能利用電子郵件。需要注意的是，建構(gòu)后的安全電力郵件要想真正做到保密，必須確保安全電子郵件數(shù)字證書與電子郵件賬戶一致，這樣才能利用數(shù)字證書中的秘鑰對電子郵件進(jìn)行加密。

（二）用戶終端

近年來，**高級技工學(xué)校電子政務(wù)日益增多，用戶終端應(yīng)用越來越多，對用戶終端信息保護(hù)顯得尤為重要。數(shù)字證書作為一種加密技術(shù)，可以用于用戶終端保護(hù)，避免終端信息被竊取、被篡改。

數(shù)字證書在用戶終端保護(hù)中的應(yīng)用，可采用以下措施：第一，使用正版硬件、軟件，正確配置終端和網(wǎng)絡(luò)，對終端、網(wǎng)絡(luò)進(jìn)行定期檢查，防止終端系統(tǒng)配置被非法篡改；第二，設(shè)置防火墻，用戶阻隔非法入侵；第三，及時更新防病毒軟件，定期進(jìn)行終端系統(tǒng)安全漏洞掃描；第四，對終端信息進(jìn)行加密處理，提高終端信息被破解的難度；第五，采用雙網(wǎng)分離方式，減少終端網(wǎng)絡(luò)與主網(wǎng)絡(luò)的信息交叉，規(guī)避遭受來自主網(wǎng)絡(luò)的危險。

（三）代碼簽名

軟件是計算機網(wǎng)絡(luò)系統(tǒng)組成的一部分，也是決定計算機網(wǎng)絡(luò)信息安全的重要因素。一旦計算軟件發(fā)生安全問題，將直接危及計算機網(wǎng)絡(luò)系統(tǒng)安全。所以，加強計算機軟件安全防護(hù)是必要的。軟件供應(yīng)商對所發(fā)行軟件的風(fēng)險負(fù)有責(zé)任，但是在病毒、非法入侵等危險因素干擾下，難以保證軟件使用過程安全。計算機軟件防護(hù)可以采用數(shù)字證書，利用數(shù)字簽名確保軟件供應(yīng)商身份真實可靠，避免使用假冒軟件，杜絕假冒軟件為計算機信息安全帶來的潛在威脅。

（四）身份授權(quán)

授權(quán)管理系統(tǒng)是計算機系統(tǒng)信息安全保護(hù)的重要工具，數(shù)字證書應(yīng)用時需要經(jīng)過計算機授權(quán)管理系統(tǒng)的身份驗證后才能發(fā)揮作用，介于此，應(yīng)當(dāng)保證身份授權(quán)管理系統(tǒng)工具的安全性。身份授權(quán)系統(tǒng)工作基于雙方之間的相互認(rèn)同，只有正確的利用數(shù)字證書，才能正確完整身份授權(quán)，認(rèn)證系統(tǒng)用戶，保護(hù)系統(tǒng)信息安全。具體應(yīng)用中，利用數(shù)字證書對雙方身份進(jìn)行驗證，建立身份認(rèn)同后以建立身份授權(quán)管理系統(tǒng)。

三、結(jié)論

綜上所述，數(shù)字證書是一種秘鑰加密技術(shù)，在計算機系統(tǒng)信息安全保護(hù)中發(fā)揮著重要作用。本學(xué)校計算機系統(tǒng)采用數(shù)字證書，將其用于電子郵件、用戶終端、代碼簽名、身份授權(quán)等方面，建立安全的計算機系統(tǒng)。為提高網(wǎng)絡(luò)安全保護(hù)能力，學(xué)校相關(guān)職工要了解網(wǎng)絡(luò)安全危險因素，了解數(shù)字證書等相關(guān)技術(shù)，正確運用這些技術(shù)保護(hù)計算機系統(tǒng)信息安全。