数字证书的概念

非常技术的说法：数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。

通俗点得说法：数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

给广场舞大妈解释的说法：在网络里面标识个人有效身份的身份证。

数字证书的特点

1、安全：数字证书是以PKI（公钥基础设施）为技术核心打造的个人身份标识基础设施，其技术特点是私钥为个人所有，所以在网络环境下，数字证书本身是相对安全的。

2、唯一：由同一个权威机构CA，发出来的证书是独一无二的，就像身份证号码一样不会发生重复，同时该数字证书标识的主体在业务系统中也是能够通过证书的唯一标识。

3、方便：一般情况下证书存放在类似U盘的USBkey中，发放到用户手中时数字证书已经安装完毕，对于用户而言使用非常方便，不需要掌握相关知识即可使用。

数字证书的应用场景分类

1、身份认证

解释：身份认证也称为“身份验证”或“身份鉴别”，是指在计算机及计算机网络系统中确认操作者身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限，进而使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，保证系统和数据的安全，以及授权访问者的合法利益。

目前认证方法：

1、静态密码 2、UBSkey（智能卡）也叫硬件证书 3、短信密码 4、动态口令 5、生物识别。

数字证书的应用场景： 

使用证书登录业务系统

应用场景最广泛的是网银，数字证书也是通过网银得到大力推广。

用户使用步骤简单描述：

1、用户在柜台申请网银，柜员将预置的USBkey绑定实际用户，发放USBkey；

2、用户下载网银客户端，下载USBkey驱动，第一次登录网银初始化网银设备；

3、用户进入网银，开始操作；

4、每年进行证书更新和备份。

商业模式分析：

1、卖产品模式：一般是高于成本价出售给用户；

2、增值服务：银行在推广的时候会免费送客户，通过广告、手续费等其它渠道的费用来平摊成本。

总结：个人的身份认证目前来说推广较好，目前在各种业务系统中使用比如办公OA、财务软件、政务行业、医疗行业、保险行业等等，目前使用较少的是社交软件、游戏以及移动终端。

使用证书登录设备

应用场景最广泛的就数——SSLVPN。

用户使用步骤简述：

1、给VPN颁发设备证书；

2、给用户颁发证书；

3、配置VPN，可以使用SSL进行认证；

4、用户安装USBkey驱动，登录网页版VPN或者客户端VPN，选择自己的证书登录。

商业模式分析：

卖产品模式：一般是和SSLVPN打包卖。

识别钓鱼网站

应用场景：在浏览器中登录网站时，地址栏的最前面有个绿色标识，浏览器不同位置和标识不太一样，点开后能看到网站的具体信息以及网站数字证书的信息。

网站运营：需要提交网站的相关资料给全球服务器证书赛门铁克在中国的代理机构（北京天威诚信），由代理机构审核资料的真实性，审核通过后签发证书，网站运营人员拿到证书后配置在服务器上。

商业模式分析：

1、产品费：按照证书的有效期、加密强度以及增值服务，进行一次性收费，代理机构有代理费增加。

2、更新费用：证书到期后，需要重新审核资料，进行证书的更新，这部分需要收费。

3、代理费用：由于全球服务器证书没有在中国直销，所以国内有很多代理机构，这些机构赚取差价或者代理费。

朔源

应用场景：通过对于移动APP签发流转的各个环节数字证书，就可以确定APP的开发者、APP的分发的应用商店，可以有效的防止盗版APP或者二次打包APP的产生。

由于目前安卓移动APP的分发不是由单一渠道垄断，所以数字证书的使用没有作为标准模式，只是作为可选模式。而苹果APP的是由苹果统一下发数字证书来统一管理，主要还是以免费的方式来发放数字证书。

2、电子签名

解释：电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。

该应用主要基于《电子签名法》，《电子签名法》重点解决了五个方面的问题。一是确立了电子签名的法律效力；二是规范了电子签名的行为；三是明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序；四是规定了电子签名的安全保障措施；五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门。

1）传统模式

场景描述：

1、用户填写文档信息；

2、提交文档信息，开始签名；

3、签名确认，文档生效。

场景举例：

电子订单、电子发票、电子合同、签批、电子病历、电子支付、P2P

商业模式分析：

产品+增值服务。

产品收费：卖给企业数字证书系统、USBkey、签名服务器和产品集成服务。

增值服务收费：当发生纠纷的时候，提取签名结果，给法院提供电子签名取证证明。一般收年费也会根据次数来收费。

2）云签名模式

场景描述：

1、在云端有签名服务，用户开通账户；

2、用户本地集成云服务的SDK，签名结果会上传到云端；

3、可以在云端的管理平台下进行数据结果的管理和统计查询。

场景举例：电子订单、电子发票、电子合同、签批、电子病历、电子支付、P2P

商业模式分析：

SDK收费：面向普通用户免费、面向企业用户收集成费以及针对签名的模式收费。

增值服务：出示第三方电子签名结果报告、个人或者企业征信数据源、有效应收订单、有效应收发票等。

3、加密

数字证书作为加密的应用还没有推广，主要由于用数字证书对体积较大的数据加密效率较低，目前只用在邮件加密上。

针对数字证书加密的特点，后续可以应用在如下几个场景：

1、构建密钥保险箱，对所有的静态密码进行加密本地保存；

2、加密密钥二次加密，对程序中需要产生的加密密钥进行加密后持久化，防止黑客破库后进行撞库。