Posted on 2006-07-22 12:08
acooly 閱讀(6857)
評論(2) 編輯 收藏 所屬分類:
移動電子商務(wù) 、
技術(shù)名詞解釋
數(shù)字證書介紹?
?? 也許您對"數(shù)字證書"這一概念還很陌生,其實,數(shù)字證書就是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù),用來在網(wǎng)絡(luò)通訊中識別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現(xiàn)實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執(zhí)照一樣,以表明我們的身份或某種資格。
??? 數(shù)字證書是由權(quán)威公正的第三方機構(gòu)即CA中心簽發(fā)的,以數(shù)字證書為核心的加密技術(shù)可以對網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗證,確保網(wǎng)上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
??? 數(shù)字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進(jìn)行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進(jìn)行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當(dāng)發(fā)送一份保密文件時,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達(dá)目的地了,即使被第三方截獲,由于沒有相應(yīng)的私鑰,也無法進(jìn)行解密。通過數(shù)字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
??? 用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產(chǎn)生了別人無法生成的文件,也就形成了數(shù)字簽名。采用數(shù)字簽名,能夠確認(rèn)以下兩點:
(1)保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認(rèn)或難以否認(rèn);
(2)保證信息自簽發(fā)后到收到為止未曾作過任何修改,簽發(fā)的文件是真實文件。
??? 數(shù)字證書可用于:發(fā)送安全電子郵件、訪問安全站點、網(wǎng)上證券、網(wǎng)上招標(biāo)采購、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動。
??? 數(shù)字證書的格式一般采用X.509國際標(biāo)準(zhǔn)。目前,數(shù)字證書認(rèn)證中心主要簽發(fā)安全電子郵件證書、個人和企業(yè)身份證書、服務(wù)器證書以及代碼簽名證書等幾種類型證書。
|
數(shù)字證書的格式遵循ITUTX.509國際標(biāo)準(zhǔn)。一個標(biāo)準(zhǔn)的X.509數(shù)字證書包含以下一些內(nèi)容:
證書的版本信息;
證書的序列號,每個證書都有一個唯一的證書序列號;
證書所使用的簽名算法,如RSA算法;
證書的發(fā)行機構(gòu)(CA中心)的名稱,命名規(guī)則一般采用X.500格式;
證書的有效期,現(xiàn)在通用的證書一般采用UTC時間格式,它的計時范圍為1950年-2049年;
證書擁有者的名稱,命名規(guī)則一般采用X.500格式;
證書擁有者的公開密鑰;
證書發(fā)行機構(gòu)(CA中心)對證書的數(shù)字簽名。 ?
|
X.509數(shù)字證書結(jié)構(gòu)
(第三版)
版本號..................證書的版本標(biāo)識符(例如,版本3)
序列號 .................標(biāo)識證書的唯一整數(shù)
簽名....................用于簽證書的算法標(biāo)識
頒發(fā)者 .................證書頒發(fā)者的唯一識別名
有效期 .................證書有效時間段
主體....................證書擁有者的唯一識別名
主體公鑰信息 ...........證書擁有者的公鑰(和算法標(biāo)識符)
頒發(fā)者唯一標(biāo)識符........頒發(fā)者的可選唯一標(biāo)識符
主體唯一標(biāo)識符 .........主體的唯一識別符
擴展部分 ...............可選的擴展
字段說明:
? ①版本號—標(biāo)識證書的版本(版本1、版本2或是版本3)。
? ②序列號—由證書頒發(fā)者分配的本證書的唯一標(biāo)識符。
? ③簽名 —簽名算法標(biāo)識符,由對象標(biāo)識符加上相關(guān)的參數(shù)組成,用于說明本證書所用的數(shù)字簽名算法。例如,SHA-1和RSA的對象標(biāo)識符 就用來說明該數(shù)字簽名是利用RSA對SHA-1雜湊加密。
? ④頒發(fā)者—證書頒發(fā)者的可識別名(DN),這是必須說明。
? ⑤有效期—證書有效期的時間段。本字段由”Not Before”和”Not After”兩項組成,它們分別由UTC時間或一般的時間表示(在RFC2459中有詳細(xì)的時間表示規(guī)則)。
? ⑥主體 —證書擁有者的可識別名,這個字段必須是非空的,除非你在證書擴展中有別名。
? ⑦主體公鑰信息—主體的公鑰(以及算法標(biāo)識符),這一項必須說明。
? ⑧頒發(fā)者唯一標(biāo)識符—證書頒發(fā)者的唯一標(biāo)識符,僅在版本2和版本3中有要求,屬于可選項。
? ⑨主體唯 一標(biāo)識符—證書擁有者的唯一標(biāo)識符,僅在版本2和版本3中有要求,屬于可選項。
? ⑩擴展 —可選的標(biāo)準(zhǔn)和專用的擴展(僅在版本2和版本3中使用),它們包括:
?? ◆Authority密鑰標(biāo)識符—證書所含密鑰的唯一標(biāo)識符,用來區(qū)分同一證書擁有者的多對密鑰。
?? ◆密鑰使用—一個比特串,指明(限定)證書的公鑰可以完成的功能或服務(wù),如:證書簽名、數(shù)據(jù)加密等。
?? ◆擴展密鑰使用—由一個或多個對象標(biāo)識符(OIDs)組成,可以說明證書密鑰的特殊用途。有Internet策略限定,存取描述符限定[3]等,請參見RFC2459。
?? ◆CRL分布點—指明CRL的分布地點。
?? ◆私鑰的使用期—指明證書中與公鑰相聯(lián)系的私鑰的使用期限,它也有Not Before和Not After組成。若此項不存在時,公私鑰的使用期是一樣的。
?? ◆證書策略—由對象標(biāo)識符和限定符組成,這些對象標(biāo)識符說明證書的頒發(fā)和使用策略有關(guān)。
?? ◆策略映射—表明兩個CA域之間的一個或多個策略對象標(biāo)識符的等價關(guān)系,僅在CA證書里存在。
?? ◆主體別名—指出證書擁有者的別名,如電子郵件地址、IP地址等,別名是和DN綁定在一起的。
?? ◆頒發(fā)者別名--指出證書頒發(fā)者的別名,如電子郵件地址、IP地址等,但頒發(fā)者的DN必須出現(xiàn)在證書的頒發(fā)者字段。
?? ◆主體目錄屬性—指出證書擁有者的一系列屬性。可以使用這一項來傳遞訪問控制信息。s