数字证书简介.docx

【数字证书】数字证书简介 数据与安全 2010-04-17 17:20:51 阅读 13 评论 0 字号：大中小 ********************************************************************************************************************** ****************** 一、什么是数字证书？ 数字证书（以下简称”证书”）将公钥和实体的一些信息（如个人、组织、帐号或者地点）绑定并且要跟它相关的私钥联合使用，这时这个被绑定的实体被称为证书的主体。 公钥的分发是通过证书进行。这种完整性机制保证公钥及相关的信息不被偷偷的篡改而且保证公钥属于该用户。这种绑定机制使得依托方（即 RFC2527 中定义的声称者绑定的机制）能得到以下的保证：将公钥（及相关的信息）的完整性得到保证；公钥（及相关的信息）以一种可信的方式和它的声称所有者绑 定在一起。 对证书用户的信任程度取决于很多因素。这些因素包括：CA 对用户的认证；CA 的策略、操作程序及安全控制；用户的职责（比如私钥的保护）[1]。X.509 公钥证书有三个版本，版本 1 是版本 2 的子集， 版本 2 又是版本 3 的子集。版本 3 的公钥证书有好几种不同的扩展，如安全电子交易（SET）证书就是 X.509 第三版结合专门为 SET 定制的特别扩展而成的[2]。 （参考文献） [RFC2527]Chokhani,S. And W.Ford, Internet X.509 Public Key Infrastructure Certificate Policy and Certificate Practices Framework. Internet Request for Comments 2527.1999-3。 公开密钥基础设施—概念、标准和实施,Carlisle Adame,Steve Lloyd 著，冯登国等译，人民邮电出版社，2001-1，P48-50。 也许您对数字证书这一概念还很陌生，其实，数字证书就是标志网络用户身份信息的一系列数据， 用来在网络通讯中识别通讯各方的身份，即要在 Internet 上解决我是谁的问题，就如同现实中我们每一个 人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。 数字证书是由权威公正的第三方机构即CA 中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体 身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。 数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开， 用于加密和验证签名。当发送一份必威体育官网网址文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥， 也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开 密钥密码体制中，常用的一种是 RSA 体制。 用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点： （1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认； 保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。 数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。 数字证书的格式一般采用X.509 国际标准。目前，数字证书主要分为安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。 - 二、 PKI/CA 和数字证 书 互联网的发展和信息技术的普及，给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌 现，PKI（Public Key Infrastructure，公开密钥基础设施）即是其中一员。 PKI 产生于二十世纪八十年代，它是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用 PKI 可以方便地建立和维护一个可信的网络计算环