|
数字证书技术确保上网安全
深圳市沃通电子商务服务有限公司 符海燕
现在,人们日常工作、学习和生活都已经离不开网络了,也正是由于网络的普及性和重要性,所以,网络欺诈和网络犯罪也出现了快速上升的势头,严重影响了和谐社会的建设,普及广大网民的安全上网知识和鼓励网络服务提供商积极部署安全措施已经显得刻不容缓。本文就从这两个方面着手,论述数字证书技术如何确保上网安全,让广大用户具有安全防范意识和防范知识,让让广大服务提供商能充分了解数字证书技术如何改善和提升信息系统安全水平。
一、代码签名证书保护软件开发商合法权益,确保用户不会受到恶意软件的侵害
在通过精美的包装盒销售软件的时代,大家使用一些防伪标志等来让用户识别什么是正版软件。但在当今的网络时代,有利的一面是软件开发商可以通过网络不受时间、地域的限制而快速发行软件,但不利的一面,则是用户无法辨认软件的真伪,根本无法确认软件代码的真实身份。在没有间谍软件和木马程序之前,大家可能还都信任某个软件就是软件中声称的开发商开发的软件,但是在今天就不应该这样认为了,互联网的匿名性使得用户根本无法确认此软件是否真的是软件中声称的开发商开发的软件!怎么办?软件代码签名证书来解决!软件开发商可以使用代码签名证书为其所有代码签名(包括 .exe 、 .dll 、 .cab 、 .ocx 等),这样才能让用户可以非常容易地确信此软件确实是软件中声称的开发商开发的软件,而且没有被任何人篡改过,因为一旦哪怕有一个字节的修改,则代码上附加的数字签名就无效了,用户不能查看到有效的签名就能确信此代码已经被非法修改。软件的数字签名不仅保护了软件开发商自己的利益(确保正版软件不会被非法篡改和非法捆绑),同时也保护了最终用户的合法权益,以免遭到恶意软件的侵害。
无论是从网站上下载软件还是从光盘上安装软件,在安装软件之前,用户一定要检查一下此安装文件是否已经数字签名,鼠标右击安装文件后再点击“属性”看是否有“数字签名”属性 。
如果有“数字签名”属性,再检查数字签名显示的软件开发商名称。 而对于 Windows XP 用户,点击安装时就会显示已经数字签名的软件开发商信息。
无论是查看文件属性有数字签名还是在XP安装时显示发行者名称,就表明此软件确实来自数字签名中所显示的公司,并且表明此软件没有被非法篡改或非法捆绑其他软件,如果您信任此软件开发商,您就可以放心安装了。
二、 SSL证书提升网站经营者信任度,确保用户网上机密信息的安全
在当今一切都网络化的互联网时代,面临的最大问题是信任与安全,消费者在享受网上购物的便利的同时,也在担心其个人机密信息以及银行卡信息的安全,人们放弃网上购物的唯一理由是担心交易的安全,不信任网站,因为已经发生了太多的网上欺诈案件。这对于电子商务的健康快速发展非常不利。
但是,这绝对不是商家和消费者所希望看到的,因为电子商务的确能降低成本,增加销售额,同时也大大方便消费者,关键在于如何让消费者在浏览网上商店时也能象逛商店一样获得信任感,从而促使消费者决定购物。
让我们先来分析一下现实世界的信任从何而来,人们在逛商场时愿意选择大商场、名牌商品的专买店,特别是挂满了许多认证和奖励的牌匾的商场,因为人们相信通过第三方权威机构认定的荣誉牌匾的商店是可以信任的。同时,在刷卡时由于卡并没有离开消费者的视线,使得消费者能放心刷卡。而网上商店、各种网上购物网站的确是琳琅满目,有些也挂满了荣誉牌匾,但是由于抄袭一个网站非常容易(包括荣誉牌匾),使得人们不知道如何信任其真实性,可能该网站声称是著名的某某公司或某某银行的网站,但如何确认确实是声称的网站的真实身份。同时,由于消费者担心在线刷卡或输入的个人机密信息会被泄露而放弃注册用户和放弃购物。特别是有些网站为了逃避责任,要求用户自己保管好密码,否则一切损失由用户自负。而实际上丢失密码很有可能就是由于网站本身没有采取任何加密措施而在传输过程中被非法窃获,这应该是商家的责任,但却要消费者自己负责,明智的消费者当然不会信任此商家而放弃注册和购物。
参考现实世界的成功模式,电子商务网站要想获得网上消费者的信任,一定要有权威的第三方身份验证和信息加密措施,只有这样才能获得消费者的信任(当然,还有一个大前提是产品要好,但这不在文讨论之列) 。
首先是信息加密措施,目前通用的成熟的技术就是为网站部署 SSL证书了,可以实现高强度 128 位的加密,部署了 SSL证书,表明从用户电脑端的浏览器到网站服务器之间的网络传输的所有信息是加密的,是不可能被非法窃取和非法篡改的,可以安全到达网站服务器,从而确保了用户的机密信息安全。但请注意:必须是 128 位或以上的加密才是安全的,因为 40 位和 56 位非常容易被破解。而由于我国目前大多数电脑的浏览器还只支持 56 位或 40 位加密,所以部署支持 SGC技术的强制 128 位加密的 SSL证书则显得非常重要。不要以为有 SSL证书就安全了, 40 位的加密只要几秒钟就能破解,这样的加密强度只能误导用户以为安全其实不安全。如下图4所示,浏览器在访问部署了SSL证书的网站时浏览器的右下角(IE6)或地址栏的右边会有一个安全锁标志:
但是,光有信息加密措施还远远不够,更重要的是,消费者想了解正要交易的对方是谁,交易对方是否确实是网站上所声称的公司(机构)。现实世界的交易,可能消费者看看该商店是否有合法营业执照,是否有权威机构颁发的信誉牌匾等。但在网上不见面的交易,消费者该如何确认对方的真实身份呢?一个非常经济和方便的方式是由权威第三方来验证网站的真实身份,并出具已经通过身份验证的证明文件供消费者在线查验。这就是数字证书颁发机构(CA)所做的工作,CA在验证网站所属商家的真实身份后颁发一个 SSL证书,在 SSL证书中写上商家的合法单位名称以及其他相关信息,来证明此商家的真实身份,消费者可以点击 SSL证书和安全认证签章来查验。这也是一种社会分工的表现,大大节省了社会资源,因为每个消费者不可能都能象证书颁发机构那样严格地审查和验证商家的真实身份,而一旦商家已经通过身份验证,则消费者是可以信任其真实身份的。
这就是说,只有严格的身份验证加上信息加密措施才能使得消费者能信任商家是一个现实世界中真实存在的商家,是一个采取了加密技术措施来确保消费者输入的机密信息安全的商家,只有这样才能使网上消费者信任该商家,才有可能进一步达成交易。
我们还是来实际了解一下全球著名的 SSL证书颁发机构(如:VeriSign)是如何对颁发SSL证书进行严格身份验证的:商家在申请 SSL证书时需要填写详细的申请单位商务联系人和技术联系人信息,还有单位地址、电话和传真等信息。证书颁发机构首先会人工验证域名注册信息中域名所有权是否是 SSL证书申请单位所拥有;紧接着就验证提交的证明材料(如:营业执照)的真实性,是否已经通过年检,证书颁发机构会通过自己的数据库和其他第三方权威数据库来查询验证;最后一步就是人工电话联系申请表中的商务联系人。为了确保申请表中所填写的联系人确实是申请单位的员工, 证书颁发机构会在申请单位所在地的电话黄页(或其他权威数据库) 中查询和核实申请单位的电话号码来验证申请表中所填的电话确实是申请单位的电话,只有查真后证书颁发机构才会人工打电话联系商务联系人,确认确实是本单位在向证书颁发机构申请 SSL证书。如果电话黄页(或其他权威数据库)中不能查到此单位,则需要申请单位提供电信局(电话公司)的最近 3 个月的任何月份的电话收费发票,发票上一定要有申请单位的名称和电话号码,这样才能证实此电话号码确实是该单位的。一旦完成以上严格验证,证书颁发机构才会颁发SSL证书,商家安装成功后还可以安装证书颁发机构免费提供的安全认证签章。
相信任何电子商务网站的在线购物用户如果了解了以上严格的身份验证过程,一定会信任已经部署了权威的证书颁发机构(如:VeriSign、Thawte和WoSign等)的SSL证书的网站了。毕竟,所有购物用户不可能都象以上步骤一样严格验证网站的身份,就应该由第三方权威机构来进行严格验证。部署了严格身份验证的SSL证书后,对于广大在线购物用户来说,有两点是可以保证的:一是该网站的真实身份已经被权威第三方严格验证过,不会是假冒网站;二是用户在线输入的机密信息通过https协议自动加密传输,不会被非法窃取和非法篡改。
还有一种数字证书就是客户端证书,用于证明客户端个人的身份,可以用于电子邮件的数字签名和加密,这里就不多讲了。总之,数字证书技术是非常成熟的技术,只有服务器端部署SSL证书才能提升网站经营者信任度,确保用户网上机密信息的安全,而所有软件代码只有数字签名才能保护软件开发商的合法权益,确保用户不会受到恶意软件的侵害。只有这样才能确保电子商务的健康发展,从而提升人们的生活质量和创建一个更加和谐的社会。
|
