1.基於數字證書可實現四種基本安全功能
(1)身份認證
網上交易要成功,先要能辨識對方身份,商家要想客戶不是騙子,而客戶也會考慮網上商店是不是黑店,因此方便��、可靠地辨識對方身份是交易成功的首要。為顧客或用戶召开服務的銀行���、信用卡公司和銷售商店,為做到安全���、保密���、可靠都要實施身份認證。對銷售商店來說,他們不清楚顧客刷卡消費用的信用卡的真偽,只能把信用卡的身份確認交給銀行進行。
數字證書可當做網絡身份證,在網絡世界中交互時,證書持有人只需出示,對方判斷該證書是否偽造���、持證人是否有對應的私鑰����、該證書是否被作廢或凍結等內容就能驗證該持證人身份是否合法。
(2)保密性
交易中的商務信息都須保密。如信用卡的賬號和用戶名被人知悉,就可能被盜用;訂貨和付款的信息被競爭對手獲悉,就可能喪失商機。
用數字證書中的公鑰對靜態或動態數據加密,只有持證人才能用對應的私鑰解密,從而保密各種敏感數據。
(3)完整性
為保障交易的嚴肅���、公正,交易文件不應被修改,如合同或訂單。賣方收到訂單後����,若發現商品大幅漲價,如果能私自改動合同,修改商品價格或訂購數量,就能大幅受益,那麼買方就會蒙受損失。
用私鑰對靜態或動態數據簽名,用對應的數字證書中的公鑰就能驗證該數據是否被篡改,從而實現各種敏感數據和交易記錄的完整性。
(4)抗抵賴性(不可否認性)
交易一旦達成是不能被否認的,否則一定會損害一方利益。例如訂購黃金,訂貨時金價較低,但收到訂單後,金價上漲了,若銷售方能否認收到訂單的實際時間,甚至否認收到訂單,則訂貨方就會蒙受損失。
在交易過程中,可讓對方用其私鑰簽名交易數據,完成後可存儲數據及對方簽名,一旦發生交易糾紛,就可調出存儲的交易數據和對方簽名,用對方數字證書中的公鑰就能證明該交易是對方進行的,從而達到交易過程的抗抵賴性。
2.數字證書如何與應用系統結合
基於證書接口中間件,應用系統可很方便地用數字證書技術,提高應用系統的身份認證強度���、保證應用系統中各種敏感數據的保密性和交易記錄的完整性����、用戶各種操作或交易的不可否認性。
PKI技術經過30多年的开展,已形成較完善的標準規範體系,幾乎覆蓋應用系統的各個方面,如今很多軟件都已支持數字證書技術,如操作系統��、數據庫系統���、Web服務器��、應用服務器等。因受應用環境多樣性和應用技術複雜性的影響,數字證書技術應用的方式可能差異很大。
當前主流的數字證書應用技術主要有Windows域登錄����、操作系統登錄��、電子文件加密��、安全電子郵件���、電子印章���、代碼簽名���、時間戳���、WTLS應用��、SSL/TLS應用(如Web網站安全����、SSL VPN)���、IPSec應用(如IPSec VPN)等。
3.數字證書典型應用
(1)網上報稅
隨着IT技術的迅速开展及在稅收領域的廣泛應用,網上稅收已是不可逆轉的趨勢,它主要有兩類安全隱患是網絡安全問題。重點是身份認證,现在用的用戶名/口令機制易被他人假冒身份;二是紙質報表的事後報表問題。只有加蓋企業公章的紙質報表才能作為法律憑證。
電子簽名法給數字簽名法律效力後,數字證書技術就可有效解決以上兩個問題,使企業網上報稅成為現實,同時提高了企業和稅務部門的工作效率。
事實上,國內多數省份上千萬家企業已顺利获得數字證書網上報稅。
(2)網上銀行
網上銀行是商業銀行基於互聯網為客戶給出安全����、實時服務。作為全新的客戶服務渠道,客戶不必親自去銀行辦理業務,只需在家裏��、辦公室或在旅途中上網,就能24小時安全便捷地管理資產,或辦理查詢��、轉賬����、繳費等銀行業務。
網上銀行以Internet等開放式網絡環境傳輸交易數據,且涉及用戶資金轉移等敏感信息,所以在用戶的身份認證��、資金的秘密傳輸及數據的完整性方面有許多安全問題。網上銀行服務给予者第一时间需確定自己的系統不會被黑客入侵,造成秘密信息泄露���、業務損失或服務中斷。對用戶而言,必須確認在網絡上輸入的秘密信息不會被盜用��、輸入的交易資料不會被篡改且能迅速地傳送到接收端系統。
基於數字證書技術,網上銀行能有效解決用戶身份認證��、敏感數據保密性��、交易數據完整性和交易操作不可抵賴性問題,對銀行企業客戶和個人客戶來說特別方便。
數字證書(俗稱U盾)已成為國內網上銀行的標準配置。若無數字證書,企業用戶是不能用網上銀行。上億個人用戶已顺利获得數字證書訪問網上銀行進行轉賬或匯款等資金操作。
