网络安全技术——数字证书技术原理

点击上方“蓝字”关注我们吧  

在上节《网络安全技术——加密技术、数字签名技术》中研究了数据通信中的加密和签名技术，在非对称加密体系中，A用户拿到B用户的公钥后便可以用这个公钥进行加密数据与B通信，如何保证A用户拿到的是B的公钥，而不是其他中间人（攻击者）的一个公钥呢？如下图的中间人攻击：

数字证书

数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心CA数字签名的包含公开秘钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。

数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。

以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。

数字证书的基本内容

证书至少需要包括如下内容：

颁证机构

证书持有者的名字

证书持有者的公钥

证书有效期

证书颁发机构的签名

数字证书原理

数字证书采用公钥体制，即利用一对互相匹配的秘钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时&#x