数字签名和数字证书

数字签名是一种用于信息 真实性 和 完整性 校验的手段，一套数字签名包含签名和验证两种运算。下面是一套简单的数字签名示意图。

数字签名使用 非对称加密 技术。每个人都有一对钥匙，私钥只有本人知道，公钥公开，私钥签名，公钥验签。

在进行信息传递时，信息发送者用私钥生成签名并将公钥一起发送给信息接收者，接收者使用公钥验签。上述过程中信息完整性得到校验，但发送者的身份是否合法无法得知（因为任何人都可以声称自己是合法的），因此引入了 身份认证机构 。

身份认证机构是 信息接收者 能信任的机构，所有的公钥必须向该机构进行注册。注册后身份认证机构给发送者颁发一 数字证书 。对文件签名后，发送者把此数字证书连同文件及签名一起发给信息接收者，接收者向身份认证机构求证是否真地是用发送者密钥签发的文件。

数字证书是一种电子档案，用来证明公钥拥有者的身份。此档案包含了公钥信息、拥有者身份信息（主体）、以及数字证书认证机构（发行者）对该文件的数字签名。

证书的本质就是对公钥加数字签名，认证机构用自己的私钥对需要认证的人（或组织机构）的公钥进行数字签名并生成证书。

我们需要了解以下几种类型的证书

自签证书

用户可以自己生成数字证书，不过没有任何可信赖的人签名，它主要用于小范围测试，这种自签名证书通常不会被广泛信任，使用时可能会遇到电脑软件的安全警告。

根证书

根证书获得广泛认可，通常已预先安装在各种软体（包括 *** 作系统、浏览器、电邮软件等），作为信任链的起点，来自于公认可靠的政府机关、证书颁发机构公司、非营利组织等，与各大软件商透过严谨的核认程序才在不同的软件广泛部署。由于部署程序复杂费时，需要行政人员的授权及机构法人身份的核认，一张根证书有效期可能长达二十年以上。在某些企业，也可能会在内部电脑自行安装企业自签的根证书，以支援内部网的企业级软件；但是这些证书可能未被广泛认可，只在企业内部适用。

中介证书

认证机构的一个重要任务就是为客户签发证书，虽然广泛认可的认证机构都已拥有根证书，相对应的私钥可用以签署其他证书，但因为密钥管理和行政考虑，一般会先行签发中介证书，才为客户作数位签署。中介证书的有效期会较根证书为短，并可能对不同类别的客户有不同的中介证书作分工。

TLS服务器证书

网站在互联网上提供服务时，域名就是服务器证书上主体，相关机构名称则写在组织或单位一栏上。证书和私钥会安装在服务器。客户端的软件（如浏览器）会执行认证路径验证算（Certification path validation algorithm）以确保安全，如果未能肯定加密通道是否安全（例如证书上的主体名称不对应网站域名、伺服器使用了自签证书、或加密算法不够强），可能会警告用户。

TLS客户端证书

客户端证书包含电子邮件地址或个人姓名，而不是主机名。客户端证书比较不常见，因为考虑到技术门槛及成本因素，通常都是由服务提供者验证客户身份，而不是依赖第三方认证机构。通常，需要使用到客户端证书的服务都是内部网的企业级软件，他们会设立自己的内部根证书，由企业的技术人员在企业内部的电脑安装相关客户端证书以便使用。在公开的互联网，大多数网站都是使用登入密码和Cookie来验证用户，而不是客户端证书。

根证书（自签证书）、中介证书和终端实体（TLS服务器/客户端）证书的形成如下信任链

证书一般遵从X509格式规范

证书可以二进制或 Base64 形式储存，常见的文件扩展名有cer、crt、der和pem。如果把证书和私钥一起储存，则可以使用PKCS#12（p12）格式。

我们在写对外 API 时，针对信息传递的安全考虑，做如下设计

我们使用 SHA256withRSA 进行签名，下面是一个Java简单例子

SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如沃通CA)在验证服务器身份后颁发的一种数字证书。

SSL证书作用

(1)网站实现加密传输

用户通过>

网站安装SSL证书后，使用>

(2)认证服务器真实身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站还是安全网站网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

安装SSL证书好处

(1)保障用户隐私信息安全

SSL证书让网站实现加密传输，可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。比如电商网站安装SSL证书，就可以有效保障你登录电商网站支付时提交的用户名密码的安全。

(2)帮助用户识别钓鱼网站

SSL证书可以认证服务器真实身份，可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

(3)利于网站SEO优化

因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信，更加安全，可以有效的保障用户的利益不受侵害。因此搜索引擎如谷歌，百度站在确保用户信息安全的角度，都在大力倡导网站部署SSL证书实现>

(4)提升公司品牌形象和可信度

网站部署SSL证书，让您的网站与其他网站与众不同。部署了SSL证书的网站会在浏览器地址栏显示>

网站如何获得SSL证书

安全可信的SSL证书需要向CA机构(证书授权颁发中心)申请，通过严格的审查后才给予颁发。网站如何获得SSL证书请参考：网页链接

您好，签名验证服务器是一种用于验证数字签名的服务器，它可以确保数字签名的真实性和完整性。在实验签名验证服务器时，可以尝试以下服务：
1 验证数字证书：数字证书是一种用于验证数字签名的工具，可以确保签名的真实性和完整性。签名验证服务器可以验证数字证书，以确保签名的有效性。
2 验证签名算法：签名算法是用于创建数字签名的算法。签名验证服务器可以验证签名算法，以确保签名的安全性和可靠性。
3 验证签名时间戳：签名时间戳是用于验证数字签名的时间戳，可以确保签名的有效期。签名验证服务器可以验证签名时间戳，以确保签名的有效性和完整性。
4 验证签名证书链：签名证书链是用于验证数字签名的证书链，可以确保签名的真实性和完整性。签名验证服务器可以验证签名证书链，以确保签名的有效性和安全性。
总之，签名验证服务器是一种非常重要的工具，可以确保数字签名的真实性和完整性。在实验签名验证服务器时，需要尝试不同的服务，以确保签名的有效性和安全性。

权威的数字证书颁发机构有：GlobalSign，wosign。
比如：SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。
SSL 证书就是遵守 SSL协议，由受信任的数字证书颁发机构CA（如GlobalSign，wosign），在验证服务器身份后颁发，具有服务器身份验证和数据传输加密功能。
SSL证书通过在客户端浏览器和Web服务器之
间建立一条SSL安全通道（Secure socket layer(SSL)安全协议是由Netscape
Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证；对传送的数据进行加密和隐藏；确保数据在传送中不被改变，即数据
的完整性，现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此，仅需安装服务器证书就可以激活该
功能了），即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。保证了双方传递信息的安全性，而且用户可
以通过服务器证书验证他所访问的网站是否是真实可靠。数位签名又名数字标识、签章 (即 Digital Certificate，Digital ID
)，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份z相似。
数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等
安全的网上电子交易活动。

数字认证DC--Digital Certificate
数字认证
数字认证是一个电子xyk，它在您进行网上商务活动时帮助建立您的信用。它由认证权威机关（CA）发送，它包括您的名字，一个序列号，过期日期，持有者的公共密钥（它用于打包，解包和数字签名）和发证机关的数字签名，以确保这个证书是真实的。一些数字认证符合X509标准。
DDB--Digital Data Broadcasting
数字数据广播系统
以 HFC 网为主要传输媒介的高速数据网，支持广播式的单向数据传输业务为主，是一种针对非对称应用的宽带接入方案。系统在下行方向选用现有的有线网络提供一条"海量"数据通道，而上行方向的数据通道则利用外交互的方式实现，因此也可以通过外交互方式支持双向Internet接入业务。
DDN--Digital Data Network
数字数据网络
数字数据网络(Digital Data Network)，DDN即数字数据网。它是利用光纤（数字微波和卫星）数字传输通道和数字交叉复用节点组成的数字数据传输网，可以为用户提供各种速率的高质量数字专用电路和其它新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。
DHCP--Dynamic Host Configuration Protocol
动态主机配置协议
HCP提供了一种在局域网内为主机动态指定IP地址的方法。系统管理员指定一定范围的IP地址，用户机则通过相应的TCP/IP软件从DHCP服务器获得TCP/IP配置信息
DICOM --Digital Imaging and Communications in Medicine
医学中的数字图象和通信
DICOM是一个应用层网络协议，它主要是用来传输医学图象，声音和其它辅助信息。它最初由NEMA开发。它现在则是由DICOM标准委员会掌握其标准，它支持许多种类似的医学图象的传输。DICOM使用TCP/IP作为其底层通信协议。
DIVB --Digital Information Video Broadcasting
数字信息视频点播系统
指利用现有的单向有线电视系统实现数字信息和视频点播功能。为一种全新的概念,在线路上利用有线电视网的单向通道,既不需利用电话线和另外的调制解调器,也不必进行双向网改造。

作为数字信息点播时,该系统在有线电视台的播出端收集和组织有关信息,并将其变换为简化的HTML文本,插入彩色、声音等各种多媒体信息后,调制成为电视信号,利用一个模拟电视频道将信息发到用户。经过用户端的DIVB机顶盒,配合遥控器的使用,就可以在普通的电视机上看到相应的信息,本地各种日常生活信息都被分门别类地组织在各个相关的目录和子目录中,用户只需要利用遥控器上相关的键,就可以通过一层层目录进入相关的网页。
DLC--Data Link Control
数据链接控制
DLC 的服务由数据链路层提供。数据链路层负责在网络内的物理连接之上提供可靠的数据传输。它的一些重要功能包括定义帧格式，进行差错控制和流控制（来阻止一快速的传输者长时间占用线路）。在LAN中，连接是多点的而不是点对点的，这就需要线路共享管理，数据链路层分为两个子层：逻辑链路控制子层（LLC）和介质访问控制子层（MAC）。LLC协议执行的功能与上述的功能差不多。MAC协议支持在多个计算机之间共享线路，在这个协议族中有下面几个比较著名的： Ethernet (IEEE 8023), 令牌总线 (IEEE 8024)的令牌环 (IEEE 8025)和它们的变种。
DNA--Distributed interNet Applications Architecture
分布式网络应用程序体系结构
DNA是Microsoft提出一种利用Windows进行桌面处理同时又能够适应商务处理中数据远程处理的需要而提出的一个三层体系结构。
DNIS--Dialed Number Identification Service
拔号识别服务
DNIS 是一种让受话方可以知道呼叫方电话号码的业务。DNIS通过一种机制将一种特殊信号送到接收方来识别呼叫者。
DNS--Domain Name Service
域名服务
DNS是一个Internet和TCP／IP的服务，用于映射网络地址号码。例如，191．31．140．115映射为好记的名字，如tbones．acme．com．Internet。TCP／IP的实用工具如telnet文件传输协议（FTP）和简单邮件传输协议（SMTP）也通过访问DNS来确定你所指定的名字，并将其分解为网络地址。
DQDB--Distributed Queue Dual Bus
分布式队列双总线
DQDB是IEEE 802．6委员会定义的城域网标准的访问技术。MAN是为基于光缆的范围可达50公里的大范围高速度网络设计的。DQDB与基于令牌的网络有相似之处，但令牌这个东西总是传输速度的一个瓶颈。DQDB在其总线拓朴结构中扩展了令牌环网络思想，它将占用总线的时间分成时间片，任何工作站都可在任何时刻将数据分组放到时间片中，犹如一列有许多可容车厢的列车。DQDB是真正的共享总线技术，因为所有节点都可按需要访问总线直至网络的饱和点。
DRP
通过互联网将供应商与经销商有机地联系在一起，DRP为企业的业务经营及与贸易伙伴的合作提供了一种全新的模式。DRP是管理企业的分销网络的系统，目的是使企业具有对订单和供货具有快速反应和持续补充库存的能力。
DSL
数字用户环线
一种可以显著提高普通电话线数字容量的技术。DSL有两种类型的用途：一种是ADSL（非对称数字用户环线），用于要求很快的下载速度，但上传速度较慢可以接受的互联网接入领域；还有一种是SDSL（对称数字用户环线），用于对下载和上传速度都有较高要求的短距离网络连接。
DoS--Denial Of Service
拒绝服务攻击
指网络上的恶意用户向服务器发送多个认证请求,使其满负载,并且所有请求的返回地址都是伪造的。当服务器企图将认证结果返回给用户时,它将无法找到这些用户。在这种情况下,服务器只好等待,有时甚至会等待1分钟才能关闭此次连接。当服务器关闭连接之后,攻击者又发送新的一批虚假请求,以上过程又重复发生,直到服务器因过载而拒绝提供服务。
Dot Address
点分地址
我们熟悉的IP地址的每个数字是不能大于255的，这是为什么呢？这是因为IP地址的这种表示形式实际上是将32位的IP地址分为四组，每组是两个16进制数，这样组成的结构下，每个数字当然不能大于255了。而这种形式的地址格式就称为点分十进制地址。而真正的地址，真正计算机认识的地址却是那32位二进制数。
Dynamic Fonts
动态字体
动态字体是Netscape的一个特点，它可以让网页或整个网站使用特定的字体。相应的字体文件作为一个插件文件下载到本地机上，这样就可以实现它的功能。

认证中心是电子商务的一个核心环节，是在电子交易中承担网上安全电子交易认证服务，签发数字证书，确认用户身份等工作的具有权威性和公正性的第三方服务机构。认证中心可官方将某个公钥授权给用户。如果一个公司在内部或同可靠的商业伙伴交往时使用了数字证书，就可能会出现这样一个机构。
认证中心的作用是
认证中心承担网上安全电子交易认证服务，能签发数字证书，并确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发以及对数字凭证的管理。
认证中心通过向电子商务各参与方发放数字证书，来确认各方的身份，保证网上支付的安全性。认证中心主要包括三个组成部分：注册服务器（RS）、注册管理机构（RA）和证书管理机构（CA）。注册管理机构（RA）负责证书申请的审批，是持卡人的发卡行或商户的收单行。因此，认证中心离不开银行的参与。

服务器证书是SSL数字证书的一种形式，通过使用服务器证书可为不同站点提供身份鉴定并保证该站点拥有高强度加密安全。它的用处归纳如下：
1）实现信息加密传输
用户通过>