數(shù)字證書(shū)的概念

非常技術(shù)的說(shuō)法：數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最簡(jiǎn)單的證書(shū)包含一個(gè)公開(kāi)密鑰、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名。數(shù)字證書(shū)還有一個(gè)重要的特征就是只在特定的時(shí)間段內(nèi)有效。

通俗點(diǎn)得說(shuō)法：數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字，提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式，數(shù)字證書(shū)不是數(shù)字身份證，而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字身份證上的一個(gè)章或印（或者說(shuō)加在數(shù)字身份證上的一個(gè)簽名）。它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)，又稱(chēng)為證書(shū)授權(quán)（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。

給廣場(chǎng)舞大媽解釋的說(shuō)法：在網(wǎng)絡(luò)里面標(biāo)識(shí)個(gè)人有效身份的身份證。

數(shù)字證書(shū)的特點(diǎn)

1、安全：數(shù)字證書(shū)是以PKI（公鑰基礎(chǔ)設(shè)施）為技術(shù)核心打造的個(gè)人身份標(biāo)識(shí)基礎(chǔ)設(shè)施，其技術(shù)特點(diǎn)是私鑰為個(gè)人所有，所以在網(wǎng)絡(luò)環(huán)境下，數(shù)字證書(shū)本身是相對(duì)安全的。

2、唯一：由同一個(gè)權(quán)威機(jī)構(gòu)CA，發(fā)出來(lái)的證書(shū)是獨(dú)一無(wú)二的，就像身份證號(hào)碼一樣不會(huì)發(fā)生重復(fù)，同時(shí)該數(shù)字證書(shū)標(biāo)識(shí)的主體在業(yè)務(wù)系統(tǒng)中也是能夠通過(guò)證書(shū)的唯一標(biāo)識(shí)。

3、方便：一般情況下證書(shū)存放在類(lèi)似U盤(pán)的USBkey中，發(fā)放到用戶手中時(shí)數(shù)字證書(shū)已經(jīng)安裝完畢，對(duì)于用戶而言使用非常方便，不需要掌握相關(guān)知識(shí)即可使用。

數(shù)字證書(shū)的應(yīng)用場(chǎng)景分類(lèi)

1、身份認(rèn)證

解釋?zhuān)荷矸菡J(rèn)證也稱(chēng)為“身份驗(yàn)證”或“身份鑒別”，是指在計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中確認(rèn)操作者身份的過(guò)程，從而確定該用戶是否具有對(duì)某種資源的訪問(wèn)和使用權(quán)限，進(jìn)而使計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)策略能夠可靠、有效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問(wèn)權(quán)限，保證系統(tǒng)和數(shù)據(jù)的安全，以及授權(quán)訪問(wèn)者的合法利益。

目前認(rèn)證方法：

1、靜態(tài)密碼 2、UBSkey（智能卡）也叫硬件證書(shū) 3、短信密碼 4、動(dòng)態(tài)口令 5、生物識(shí)別。

數(shù)字證書(shū)的應(yīng)用場(chǎng)景： 

使用證書(shū)登錄業(yè)務(wù)系統(tǒng)

應(yīng)用場(chǎng)景最廣泛的是網(wǎng)銀，數(shù)字證書(shū)也是通過(guò)網(wǎng)銀得到大力推廣。

用戶使用步驟簡(jiǎn)單描述：

1、用戶在柜臺(tái)申請(qǐng)網(wǎng)銀，柜員將預(yù)置的USBkey綁定實(shí)際用戶，發(fā)放USBkey；

2、用戶下載網(wǎng)銀客戶端，下載USBkey驅(qū)動(dòng)，第一次登錄網(wǎng)銀初始化網(wǎng)銀設(shè)備；

3、用戶進(jìn)入網(wǎng)銀，開(kāi)始操作；

4、每年進(jìn)行證書(shū)更新和備份。

商業(yè)模式分析：

1、賣(mài)產(chǎn)品模式：一般是高于成本價(jià)出售給用戶；

2、增值服務(wù)：銀行在推廣的時(shí)候會(huì)免費(fèi)送客戶，通過(guò)廣告、手續(xù)費(fèi)等其它渠道的費(fèi)用來(lái)平攤成本。

總結(jié)：個(gè)人的身份認(rèn)證目前來(lái)說(shuō)推廣較好，目前在各種業(yè)務(wù)系統(tǒng)中使用比如辦公OA、財(cái)務(wù)軟件、政務(wù)行業(yè)、醫(yī)療行業(yè)、保險(xiǎn)行業(yè)等等，目前使用較少的是社交軟件、游戲以及移動(dòng)終端。

使用證書(shū)登錄設(shè)備

應(yīng)用場(chǎng)景最廣泛的就數(shù)——SSLVPN。

用戶使用步驟簡(jiǎn)述：

1、給VPN頒發(fā)設(shè)備證書(shū)；

2、給用戶頒發(fā)證書(shū)；

3、配置VPN，可以使用SSL進(jìn)行認(rèn)證；

4、用戶安裝USBkey驅(qū)動(dòng)，登錄網(wǎng)頁(yè)版VPN或者客戶端VPN，選擇自己的證書(shū)登錄。

商業(yè)模式分析：

賣(mài)產(chǎn)品模式：一般是和SSLVPN打包賣(mài)。

識(shí)別釣魚(yú)網(wǎng)站

應(yīng)用場(chǎng)景：在瀏覽器中登錄網(wǎng)站時(shí)，地址欄的最前面有個(gè)綠色標(biāo)識(shí)，瀏覽器不同位置和標(biāo)識(shí)不太一樣，點(diǎn)開(kāi)后能看到網(wǎng)站的具體信息以及網(wǎng)站數(shù)字證書(shū)的信息。

網(wǎng)站運(yùn)營(yíng)：需要提交網(wǎng)站的相關(guān)資料給全球服務(wù)器證書(shū)賽門(mén)鐵克在中國(guó)的代理機(jī)構(gòu)（北京天威誠(chéng)信），由代理機(jī)構(gòu)審核資料的真實(shí)性，審核通過(guò)后簽發(fā)證書(shū)，網(wǎng)站運(yùn)營(yíng)人員拿到證書(shū)后配置在服務(wù)器上。

商業(yè)模式分析：

1、產(chǎn)品費(fèi)：按照證書(shū)的有效期、加密強(qiáng)度以及增值服務(wù)，進(jìn)行一次性收費(fèi)，代理機(jī)構(gòu)有代理費(fèi)增加。

2、更新費(fèi)用：證書(shū)到期后，需要重新審核資料，進(jìn)行證書(shū)的更新，這部分需要收費(fèi)。

3、代理費(fèi)用：由于全球服務(wù)器證書(shū)沒(méi)有在中國(guó)直銷(xiāo)，所以國(guó)內(nèi)有很多代理機(jī)構(gòu)，這些機(jī)構(gòu)賺取差價(jià)或者代理費(fèi)。

朔源

應(yīng)用場(chǎng)景：通過(guò)對(duì)于移動(dòng)APP簽發(fā)流轉(zhuǎn)的各個(gè)環(huán)節(jié)數(shù)字證書(shū)，就可以確定APP的開(kāi)發(fā)者、APP的分發(fā)的應(yīng)用商店，可以有效的防止盜版APP或者二次打包APP的產(chǎn)生。

由于目前安卓移動(dòng)APP的分發(fā)不是由單一渠道壟斷，所以數(shù)字證書(shū)的使用沒(méi)有作為標(biāo)準(zhǔn)模式，只是作為可選模式。而蘋(píng)果APP的是由蘋(píng)果統(tǒng)一下發(fā)數(shù)字證書(shū)來(lái)統(tǒng)一管理，主要還是以免費(fèi)的方式來(lái)發(fā)放數(shù)字證書(shū)。

2、電子簽名

解釋?zhuān)弘娮雍灻侵笖?shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。通俗點(diǎn)說(shuō)，電子簽名就是通過(guò)密碼技術(shù)對(duì)電子文檔的電子形式的簽名，并非是書(shū)面簽名的數(shù)字圖像化，它類(lèi)似于手寫(xiě)簽名或印章，也可以說(shuō)它就是電子印章。

該應(yīng)用主要基于《電子簽名法》，《電子簽名法》重點(diǎn)解決了五個(gè)方面的問(wèn)題。一是確立了電子簽名的法律效力；二是規(guī)范了電子簽名的行為；三是明確了認(rèn)證機(jī)構(gòu)的法律地位及認(rèn)證程序，并給認(rèn)證機(jī)構(gòu)設(shè)置了市場(chǎng)準(zhǔn)入條件和行政許可的程序；四是規(guī)定了電子簽名的安全保障措施；五是明確了認(rèn)證機(jī)構(gòu)行政許可的實(shí)施主體是國(guó)務(wù)院信息產(chǎn)業(yè)主管部門(mén)。

1）傳統(tǒng)模式

場(chǎng)景描述：

1、用戶填寫(xiě)文檔信息；

2、提交文檔信息，開(kāi)始簽名；

3、簽名確認(rèn)，文檔生效。

場(chǎng)景舉例：

電子訂單、電子發(fā)票、電子合同、簽批、電子病歷、電子支付、P2P

商業(yè)模式分析：

產(chǎn)品+增值服務(wù)。

產(chǎn)品收費(fèi)：賣(mài)給企業(yè)數(shù)字證書(shū)系統(tǒng)、USBkey、簽名服務(wù)器和產(chǎn)品集成服務(wù)。

增值服務(wù)收費(fèi)：當(dāng)發(fā)生糾紛的時(shí)候，提取簽名結(jié)果，給法院提供電子簽名取證證明。一般收年費(fèi)也會(huì)根據(jù)次數(shù)來(lái)收費(fèi)。

2）云簽名模式

場(chǎng)景描述：

1、在云端有簽名服務(wù)，用戶開(kāi)通賬戶；

2、用戶本地集成云服務(wù)的SDK，簽名結(jié)果會(huì)上傳到云端；

3、可以在云端的管理平臺(tái)下進(jìn)行數(shù)據(jù)結(jié)果的管理和統(tǒng)計(jì)查詢(xún)。

場(chǎng)景舉例：電子訂單、電子發(fā)票、電子合同、簽批、電子病歷、電子支付、P2P

商業(yè)模式分析：

SDK收費(fèi)：面向普通用戶免費(fèi)、面向企業(yè)用戶收集成費(fèi)以及針對(duì)簽名的模式收費(fèi)。

增值服務(wù)：出示第三方電子簽名結(jié)果報(bào)告、個(gè)人或者企業(yè)征信數(shù)據(jù)源、有效應(yīng)收訂單、有效應(yīng)收發(fā)票等。

3、加密

數(shù)字證書(shū)作為加密的應(yīng)用還沒(méi)有推廣，主要由于用數(shù)字證書(shū)對(duì)體積較大的數(shù)據(jù)加密效率較低，目前只用在郵件加密上。

針對(duì)數(shù)字證書(shū)加密的特點(diǎn)，后續(xù)可以應(yīng)用在如下幾個(gè)場(chǎng)景：

1、構(gòu)建密鑰保險(xiǎn)箱，對(duì)所有的靜態(tài)密碼進(jìn)行加密本地保存；

2、加密密鑰二次加密，對(duì)程序中需要產(chǎn)生的加密密鑰進(jìn)行加密后持久化，防止黑客破庫(kù)后進(jìn)行撞庫(kù)。