也许您对"数字证书"这一概念还很陌生,其实,数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。目前,数字证书认证中心主要签发安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。
数字证书的格式遵循ITUTX.509国际标准。一个标准的X.509数字证书包含以下一些内容: 证书的版本信息; |
X.509数字证书结构 (第三版)
版本号..................证书的版本标识符(例如,版本3)
序列号 .................标识证书的唯一整数
签名....................用于签证书的算法标识
颁发者 .................证书颁发者的唯一识别名
有效期 .................证书有效时间段
主体....................证书拥有者的唯一识别名
主体公钥信息 ...........证书拥有者的公钥(和算法标识符)
颁发者唯一标识符........颁发者的可选唯一标识符
主体唯一标识符 .........主体的唯一识别符
扩展部分 ...............可选的扩展
字段说明:
①版本号—标识证书的版本(版本1、版本2或是版本3)。
②序列号—由证书颁发者分配的本证书的唯一标识符。
③签名 —签名算法标识符,由对象标识符加上相关的参数组成,用于说明本证书所用的数字签名算法。例如,SHA-1和RSA的对象标识符 就用来说明该数字签名是利用RSA对SHA-1杂凑加密。
④颁发者—证书颁发者的可识别名(DN),这是必须说明。
⑤有效期—证书有效期的时间段。本字段由”Not Before”和”Not After”两项组成,它们分别由UTC时间或一般的时间表示(在RFC2459中有详细的时间表示规则)。
⑥主体 —证书拥有者的可识别名,这个字段必须是非空的,除非你在证书扩展中有别名。
⑦主体公钥信息—主体的公钥(以及算法标识符),这一项必须说明。
⑧颁发者唯一标识符—证书颁发者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
⑨主体唯 一标识符—证书拥有者的唯一标识符,仅在版本2和版本3中有要求,属于可选项。
⑩扩展 —可选的标准和专用的扩展(仅在版本2和版本3中使用),它们包括:
◆Authority密钥标识符—证书所含密钥的唯一标识符,用来区分同一证书拥有者的多对密钥。
◆密钥使用—一个比特串,指明(限定)证书的公钥可以完成的功能或服务,如:证书签名、数据加密等。
◆扩展密钥使用—由一个或多个对象标识符(OIDs)组成,可以说明证书密钥的特殊用途。有Internet策略限定,存取描述符限定[3]等,请参见RFC2459。
◆CRL分布点—指明CRL的分布地点。
◆私钥的使用期—指明证书中与公钥相联系的私钥的使用期限,它也有Not Before和Not After组成。若此项不存在时,公私钥的使用期是一样的。
◆证书策略—由对象标识符和限定符组成,这些对象标识符说明证书的颁发和使用策略有关。
◆策略映射—表明两个CA域之间的一个或多个策略对象标识符的等价关系,仅在CA证书里存在。
◆主体别名—指出证书拥有者的别名,如电子邮件地址、IP地址等,别名是和DN绑定在一起的。
◆颁发者别名--指出证书颁发者的别名,如电子邮件地址、IP地址等,但颁发者的DN必须出现在证书的颁发者字段。
◆主体目录属性—指出证书拥有者的一系列属性。可以使用这一项来传递访问控制信息。s