Posted on 2006-07-22 12:08
acooly 閱讀(6857)
評論(2) 編輯 收藏 所屬分類:
移動電子商務 、
技術名詞解釋
數字證書介紹?
?? 也許您對"數字證書"這一概念還很陌生,其實,數字證書就是標志網絡用戶身份信息的一系列數據,用來在網絡通訊中識別通訊各方的身份,即要在Internet上解決"我是誰"的問題,就如同現實中我們每一個人都要擁有一張證明個人身份的身份證或駕駛執照一樣,以表明我們的身份或某種資格。
??? 數字證書是由權威公正的第三方機構即CA中心簽發的,以數字證書為核心的加密技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證,確保網上傳遞信息的機密性、完整性,以及交易實體身份的真實性,簽名信息的不可否認性,從而保障網絡應用的安全性。
??? 數字證書采用公鑰密碼體制,即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一把僅為本人所掌握的私有密鑰(私鑰),用它進行解密和簽名;同時擁有一把公共密鑰(公鑰)并可以對外公開,用于加密和驗證簽名。當發送一份保密文件時,發送方使用接收方的公鑰對數據加密,而接收方則使用自己的私鑰解密,這樣,信息就可以安全無誤地到達目的地了,即使被第三方截獲,由于沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是一個不可逆過程,即只有用私有密鑰才能解密。在公開密鑰密碼體制中,常用的一種是RSA體制。
??? 用戶也可以采用自己的私鑰對信息加以處理,由于密鑰僅為本人所有,這樣就產生了別人無法生成的文件,也就形成了數字簽名。采用數字簽名,能夠確認以下兩點:
(1)保證信息是由簽名者自己簽名發送的,簽名者不能否認或難以否認;
(2)保證信息自簽發后到收到為止未曾作過任何修改,簽發的文件是真實文件。
??? 數字證書可用于:發送安全電子郵件、訪問安全站點、網上證券、網上招標采購、網上簽約、網上辦公、網上繳費、網上稅務等網上安全電子事務處理和安全電子交易活動。
??? 數字證書的格式一般采用X.509國際標準。目前,數字證書認證中心主要簽發安全電子郵件證書、個人和企業身份證書、服務器證書以及代碼簽名證書等幾種類型證書。
|
數字證書的格式遵循ITUTX.509國際標準。一個標準的X.509數字證書包含以下一些內容:
證書的版本信息;
證書的序列號,每個證書都有一個唯一的證書序列號;
證書所使用的簽名算法,如RSA算法;
證書的發行機構(CA中心)的名稱,命名規則一般采用X.500格式;
證書的有效期,現在通用的證書一般采用UTC時間格式,它的計時范圍為1950年-2049年;
證書擁有者的名稱,命名規則一般采用X.500格式;
證書擁有者的公開密鑰;
證書發行機構(CA中心)對證書的數字簽名。 ?
|
X.509數字證書結構
(第三版)
版本號..................證書的版本標識符(例如,版本3)
序列號 .................標識證書的唯一整數
簽名....................用于簽證書的算法標識
頒發者 .................證書頒發者的唯一識別名
有效期 .................證書有效時間段
主體....................證書擁有者的唯一識別名
主體公鑰信息 ...........證書擁有者的公鑰(和算法標識符)
頒發者唯一標識符........頒發者的可選唯一標識符
主體唯一標識符 .........主體的唯一識別符
擴展部分 ...............可選的擴展
字段說明:
? ①版本號—標識證書的版本(版本1、版本2或是版本3)。
? ②序列號—由證書頒發者分配的本證書的唯一標識符。
? ③簽名 —簽名算法標識符,由對象標識符加上相關的參數組成,用于說明本證書所用的數字簽名算法。例如,SHA-1和RSA的對象標識符 就用來說明該數字簽名是利用RSA對SHA-1雜湊加密。
? ④頒發者—證書頒發者的可識別名(DN),這是必須說明。
? ⑤有效期—證書有效期的時間段。本字段由”Not Before”和”Not After”兩項組成,它們分別由UTC時間或一般的時間表示(在RFC2459中有詳細的時間表示規則)。
? ⑥主體 —證書擁有者的可識別名,這個字段必須是非空的,除非你在證書擴展中有別名。
? ⑦主體公鑰信息—主體的公鑰(以及算法標識符),這一項必須說明。
? ⑧頒發者唯一標識符—證書頒發者的唯一標識符,僅在版本2和版本3中有要求,屬于可選項。
? ⑨主體唯 一標識符—證書擁有者的唯一標識符,僅在版本2和版本3中有要求,屬于可選項。
? ⑩擴展 —可選的標準和專用的擴展(僅在版本2和版本3中使用),它們包括:
?? ◆Authority密鑰標識符—證書所含密鑰的唯一標識符,用來區分同一證書擁有者的多對密鑰。
?? ◆密鑰使用—一個比特串,指明(限定)證書的公鑰可以完成的功能或服務,如:證書簽名、數據加密等。
?? ◆擴展密鑰使用—由一個或多個對象標識符(OIDs)組成,可以說明證書密鑰的特殊用途。有Internet策略限定,存取描述符限定[3]等,請參見RFC2459。
?? ◆CRL分布點—指明CRL的分布地點。
?? ◆私鑰的使用期—指明證書中與公鑰相聯系的私鑰的使用期限,它也有Not Before和Not After組成。若此項不存在時,公私鑰的使用期是一樣的。
?? ◆證書策略—由對象標識符和限定符組成,這些對象標識符說明證書的頒發和使用策略有關。
?? ◆策略映射—表明兩個CA域之間的一個或多個策略對象標識符的等價關系,僅在CA證書里存在。
?? ◆主體別名—指出證書擁有者的別名,如電子郵件地址、IP地址等,別名是和DN綁定在一起的。
?? ◆頒發者別名--指出證書頒發者的別名,如電子郵件地址、IP地址等,但頒發者的DN必須出現在證書的頒發者字段。
?? ◆主體目錄屬性—指出證書擁有者的一系列屬性。可以使用這一項來傳遞訪問控制信息。s