1.數(shù)字證書基本功能

數(shù)字證書，是由證書認證機構簽名的包含公開密鑰擁有者信息、公開密鑰、簽發(fā)者信息、有效期以及一些擴展信息的數(shù)字文件。

從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進行簽名，以保證信息完整性和行為的不可抵賴；加密證書主要用于對用戶傳送信息進行加密，以保證信息的機密性。以下對數(shù)字證書的基本功能進行原理性描述。

身份認證

在各應用系統(tǒng)中，常常需要完成對使用者的身份認證，以確定誰在使用系統(tǒng)，可以賦予使用者何種操作權限。身份認證技術發(fā)展至今已經(jīng)有了一套成熟的技術體系，其中，利用數(shù)字證書完成身份認證是其中最安全有效的一種技術手段。

利用數(shù)字證書完成身份認證，被認證方（甲）必須先到相關數(shù)字證書運營機構申請數(shù)字證書，然后才能向應用系統(tǒng)認證方（乙）提交證書，完成身份認證。

通常，使用數(shù)字證書的身份認證流程如下圖所示：

被認證方（甲），使用自己的簽名私鑰，對隨機數(shù)進行加密；

被認證方（甲）將自己的簽名證書和密文發(fā)送給認證方（乙）；

乙驗證甲所提供的簽名證書的有效期、證書鏈，并完成黑名單檢查，失敗則放棄；

有效期、證書鏈和黑名單驗證通過后，乙即使用甲的簽名證書對甲所提供的密文進行解密，成功則表明可以接受由甲提交的簽名證書所申明的身份。

在上述流程中，步驟3描述的是對證書本身的驗證，依次分別驗證有效期、證書鏈和黑名單，某個步驟如果驗證失敗，則驗證流程立即終止，不必再執(zhí)行下一個驗證。同時，有效期、證書鏈和黑名單的依次驗證順序是最合理的順序，能夠讓驗證流程達到最佳性能。

通過步驟3的驗證后，甲所提交的證書可以得到驗證，但這與甲本身是否和該證書所申明的實體相等沒有必然聯(lián)系，甲必須表明其是這個簽名證書對應的唯一私鑰的擁有者。因此，當步驟4執(zhí)行成功后，即該簽名證書能夠解密，則說明甲擁有該私鑰，從而完成了對甲所申明身份的認證。

上面具體描述的是單向認證，即只有乙認證甲的身份，而甲沒有認證乙的身份。單向認證不是完善的安全措施，誠實可信的用戶甲可能會碰到類似“釣魚網(wǎng)站”的欺騙。因此在需要高度安全的應用環(huán)境中，還需要實現(xiàn)雙向認證。即乙也需要向甲提供其簽名證書，由甲來完成上述驗證流程，以確認乙的身份。如下圖。

數(shù)字簽名

數(shù)字簽名是數(shù)字證書的重要應用功能之一，所謂數(shù)字簽名是指證書用戶（甲）用自己的簽名私鑰對原始數(shù)據(jù)的雜湊變換后所得消息摘要進行加密所得的數(shù)據(jù)。信息接收者（乙）使用信息發(fā)送者的簽名證書對附在原始信息后的數(shù)字簽名進行解密后獲得消息摘要，并對收到的原始數(shù)據(jù)采用相同的雜湊算法計算其消息摘要，將二者進行對比，即可校驗原始信息是否被篡改。數(shù)字簽名可以完成對數(shù)據(jù)完整性的保護，和傳送數(shù)據(jù)行為不可抵賴性的保護。

使用數(shù)字證書完成數(shù)字簽名功能，需要向相關數(shù)字證書運營機構申請具備數(shù)字簽名功能的數(shù)字證書，然后才能在業(yè)務過程中使用數(shù)字證書的簽名功能。

通常，使用數(shù)字證書的簽名和驗證數(shù)字證書簽名的流程如圖所示：

簽名發(fā)送方（甲）對需要發(fā)送的明文使用雜湊算法，計算摘要；

甲使用其簽名私鑰對摘要進行加密，得到密文；

甲將密文、明文和簽名證書發(fā)送給簽名驗證方乙；

乙一方面將甲發(fā)送的密文通過甲的簽名證書解密得到摘要，另一方面將明文采用相同的雜湊算法計算出摘要；

乙對比兩個摘要，如果相同，則可以確認明文在傳輸過程中沒有被更改，并且信息是由證書所申明身份的實體發(fā)送的。

如果需要確認甲的身份是否和證書所申明的身份一致，則需要執(zhí)行身份認證過程，如前一節(jié)所述。

在上述流程中，簽名私鑰配合雜湊算法的使用，可以完成數(shù)字簽名功能。在數(shù)字簽名過程中可以明確數(shù)據(jù)完整性在傳遞過程中是否遭受破壞和數(shù)據(jù)發(fā)送行為是簽名證書所申明的身份的行為，提供數(shù)據(jù)完整性和行為不可抵賴功能。數(shù)字證書和甲的身份的確認，需要通過身份認證過程明確。

數(shù)字信封

數(shù)字信封是數(shù)字證書另一個重要應用功能，其功效類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術保證了只有規(guī)定的接收人才能閱讀“信件”的內(nèi)容。

數(shù)字信封中采用了對稱密碼機制和公鑰密碼機制。信息發(fā)送者（甲）首先利用隨機產(chǎn)生的對稱密鑰對信息進行加密，再利用接收方（乙）的公鑰加密對稱密鑰，被公鑰加密后的對稱密鑰被稱之為數(shù)字信封。在傳遞信息時，信息接收方要解密信息時，必須先用自己的私鑰解密數(shù)字信封，得到對稱密鑰，才能利用對稱密鑰解密所得到的信息。通過數(shù)字信封可以指定數(shù)據(jù)接收者，并保證數(shù)據(jù)傳遞過程的機密性。

使用數(shù)字證書完成數(shù)字信封功能，需要向相關數(shù)字證書運營機構申請具備加密功能的數(shù)字證書，然后才能在業(yè)務過程中使用數(shù)字證書的數(shù)字信封功能。

通常，數(shù)字信封和數(shù)字信封拆解的流程如圖所示：

信息發(fā)送方（甲）生成對稱密鑰；

甲使用對稱密鑰對需要發(fā)送的信息執(zhí)行加密，得到密文；

甲使用信息接收方（乙）的加密證書中的公鑰，加密對稱密鑰，得到數(shù)字信封；

甲將密文和數(shù)字信封發(fā)送給乙；

乙使用自己的加密私鑰拆解數(shù)字信封，得到對稱密鑰；

乙使用對稱密鑰解密密文，得到明文。

在上述流程中，信息發(fā)送方（甲）對用于加密明文信息的對稱密鑰使用接收方（乙）的加密證書進行加密得到數(shù)字信封，利用私鑰的唯一性保證只有擁有對應私鑰的乙才能拆解數(shù)字信封，從而閱讀明文信息。據(jù)此，甲可以確認只有乙才能閱讀信息，乙可以確認信息在傳遞過程中保持機密。

1、證書申請

CFCA授權的證書的注冊審核機構（Registration Authority，簡稱RA）（各商業(yè)銀行、證券公司等機構），面向最終用戶，負責接受各自的持卡人和商戶的證書申請并進行資格審核，具體的證書審批方式和流程由各授權審核機構規(guī)定。

證書申請表直接到RA處領取。

2、證書審批

經(jīng)審批后，RA將審核通過的證書申請信息發(fā)送給CFCA，由CFCA簽發(fā)證書。

● 系統(tǒng)--CFCA將同時產(chǎn)生的二個碼（參考號、授權碼）發(fā)送到RA系統(tǒng)。為安全起見，RA采用兩種途徑將以上兩個碼交到證書申請者手中： RA管理員將其中授權碼打印在密碼信封里當面交給證書申請者；將參考號發(fā)送到證書申請者的電子郵箱里。

● SET系統(tǒng)--持卡人/商戶到RA各網(wǎng)點直接領取專用密碼信封。

3、證書發(fā)放/下載

021yin.com聯(lián)機下載證書或者到銀行領取。

4、證書生成

證書在本地生成，證書由CFCA頒發(fā)，用戶私鑰由客戶自己保管