Posted on 2006-07-22 12:08
acooly 閱讀(6858)
評論(2) 編輯 收藏 所屬分類:
移動電子商務 、
技術名詞解釋
數(shù)字證書介紹?
?? 也許您對"數(shù)字證書"這一概念還很陌生,其實����,數(shù)字證書就是標志網(wǎng)絡用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡通訊中識別通訊各方的身份�,即要在Internet上解決"我是誰"的問題����,就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣���,以表明我們的身份或某種資格����。
??? 數(shù)字證書是由權威公正的第三方機構即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術可以對網(wǎng)絡上傳輸?shù)男畔⑦M行加密和解密����、數(shù)字簽名和簽名驗證���,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實體身份的真實性��,簽名信息的不可否認性��,從而保障網(wǎng)絡應用的安全性��。
??? 數(shù)字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密���。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名���。當發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密���,而接收方則使用自己的私鑰解密,這樣�,信息就可以安全無誤地到達目的地了�����,即使被第三方截獲,由于沒有相應的私鑰��,也無法進行解密����。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中����,常用的一種是RSA體制����。
??? 用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有��,這樣就產(chǎn)生了別人無法生成的文件����,也就形成了數(shù)字簽名�����。采用數(shù)字簽名��,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否認���;
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件���。
??? 數(shù)字證書可用于:發(fā)送安全電子郵件、訪問安全站點��、網(wǎng)上證券����、網(wǎng)上招標采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務等網(wǎng)上安全電子事務處理和安全電子交易活動。
??? 數(shù)字證書的格式一般采用X.509國際標準��。目前�,數(shù)字證書認證中心主要簽發(fā)安全電子郵件證書、個人和企業(yè)身份證書、服務器證書以及代碼簽名證書等幾種類型證書���。
|
數(shù)字證書的格式遵循ITUTX.509國際標準。一個標準的X.509數(shù)字證書包含以下一些內(nèi)容:
證書的版本信息;
證書的序列號�����,每個證書都有一個唯一的證書序列號��;
證書所使用的簽名算法�����,如RSA算法�;
證書的發(fā)行機構(CA中心)的名稱,命名規(guī)則一般采用X.500格式�����;
證書的有效期����,現(xiàn)在通用的證書一般采用UTC時間格式,它的計時范圍為1950年-2049年�����;
證書擁有者的名稱�,命名規(guī)則一般采用X.500格式;
證書擁有者的公開密鑰����;
證書發(fā)行機構(CA中心)對證書的數(shù)字簽名��。 ?
|
X.509數(shù)字證書結構
(第三版)
版本號..................證書的版本標識符(例如,版本3)
序列號 .................標識證書的唯一整數(shù)
簽名....................用于簽證書的算法標識
頒發(fā)者 .................證書頒發(fā)者的唯一識別名
有效期 .................證書有效時間段
主體....................證書擁有者的唯一識別名
主體公鑰信息 ...........證書擁有者的公鑰(和算法標識符)
頒發(fā)者唯一標識符........頒發(fā)者的可選唯一標識符
主體唯一標識符 .........主體的唯一識別符
擴展部分 ...............可選的擴展
字段說明:
? ①版本號—標識證書的版本(版本1�、版本2或是版本3)��。
? ②序列號—由證書頒發(fā)者分配的本證書的唯一標識符。
? ③簽名 —簽名算法標識符�����,由對象標識符加上相關的參數(shù)組成���,用于說明本證書所用的數(shù)字簽名算法����。例如,SHA-1和RSA的對象標識符 就用來說明該數(shù)字簽名是利用RSA對SHA-1雜湊加密���。
? ④頒發(fā)者—證書頒發(fā)者的可識別名(DN),這是必須說明����。
? ⑤有效期—證書有效期的時間段�。本字段由”Not Before”和”Not After”兩項組成��,它們分別由UTC時間或一般的時間表示(在RFC2459中有詳細的時間表示規(guī)則)�����。
? ⑥主體 —證書擁有者的可識別名,這個字段必須是非空的��,除非你在證書擴展中有別名���。
? ⑦主體公鑰信息—主體的公鑰(以及算法標識符)����,這一項必須說明。
? ⑧頒發(fā)者唯一標識符—證書頒發(fā)者的唯一標識符�����,僅在版本2和版本3中有要求���,屬于可選項���。
? ⑨主體唯 一標識符—證書擁有者的唯一標識符�,僅在版本2和版本3中有要求,屬于可選項��。
? ⑩擴展 —可選的標準和專用的擴展(僅在版本2和版本3中使用)����,它們包括:
?? ◆Authority密鑰標識符—證書所含密鑰的唯一標識符��,用來區(qū)分同一證書擁有者的多對密鑰���。
?? ◆密鑰使用—一個比特串�,指明(限定)證書的公鑰可以完成的功能或服務�,如:證書簽名、數(shù)據(jù)加密等����。
?? ◆擴展密鑰使用—由一個或多個對象標識符(OIDs)組成�����,可以說明證書密鑰的特殊用途。有Internet策略限定,存取描述符限定[3]等����,請參見RFC2459���。
?? ◆CRL分布點—指明CRL的分布地點�。
?? ◆私鑰的使用期—指明證書中與公鑰相聯(lián)系的私鑰的使用期限�����,它也有Not Before和Not After組成���。若此項不存在時�����,公私鑰的使用期是一樣的���。
?? ◆證書策略—由對象標識符和限定符組成���,這些對象標識符說明證書的頒發(fā)和使用策略有關。
?? ◆策略映射—表明兩個CA域之間的一個或多個策略對象標識符的等價關系,僅在CA證書里存在�����。
?? ◆主體別名—指出證書擁有者的別名�,如電子郵件地址、IP地址等,別名是和DN綁定在一起的��。
?? ◆頒發(fā)者別名--指出證書頒發(fā)者的別名����,如電子郵件地址、IP地址等,但頒發(fā)者的DN必須出現(xiàn)在證書的頒發(fā)者字段�。
?? ◆主體目錄屬性—指出證書擁有者的一系列屬性���?���?梢允褂眠@一項來傳遞訪問控制信息����。s