数字证书简介

【数字证书】数字证书简介

数据与安全2010-04-17 17:20:51 阅读13 评论0 字号：大中小

**********************************************************************************************************************

******************

一、什么是数字证书？

数字证书（以下简称”证书”）将公钥和实体的一些信息（如个人、组织、帐号或者地点）绑定并且要跟它相关的私钥联合使用，这时这个被绑定的实体被称为证书的主体。

公钥的分发是通过证书进行。这种完整性机制保证公钥及相关的信息不被偷偷的篡改而且保证公钥属于该用户。这种绑定机制使得依托方（即RFC2527中定义的声称者绑定的机制）能得到以下的保证：将公钥（及相关的信息）的完整性得到保证；公钥（及相关的信息）以一种可信的方式和它的声称所有者绑

定在一起。

对证书用户的信任程度取决于很多因素。这些因素包括：CA对用户的认证；CA的策略、操作程序及安全控制；用户的职责（比如私钥的保护）[1]。X.509公钥证书有三个版本，版本1是版本2的子集，版本2又是版本3的子集。版本3的公钥证书有好几种不同的扩展，如安全电子交易（SET）证书就是X.509

第三版结合专门为SET定制的特别扩展而成的[2]。

（参考文献）

1. [RFC2527]Chokhani,S. And W.Ford, Internet X.509 Public Key Infrastructure Certificate Policy and

Certificate Practices Framework. Internet Request for Comments 2527.1999-3。

2. <<公开密钥基础设施—概念、标准和实施>>,Carlisle Adame,Steve Lloyd 著，冯登国等译，人民邮电

出版社，2001-1，P48-50。

也许您对"数字证书"这一概念还很陌生，其实，数字证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开

密钥密码体制中，常用的一种是RSA体制。

用户也可以采用自己的私钥对信息加以处理，由于密钥仅为本人所有，这样就产生了别人无法生成的文件，也就形成了数字签名。采用数字签名，能够确认以下两点：

（1）保证信息是由签名者自己签名发送的，签名者不能否认或难以否认；

（2）保证信息自签发后到收到为止未曾作过任何修改，签发的文件是真实文件。

数字证书可用于：发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。

数字证书的格式一般采用X.509国际标准。目前，数字证书主要分为安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。

------------------------------------------------------------------------------------------------------------------------------------------

-

二、PKI/CA和数字证

书

互联网的发展和信息技术的普及，给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI（Public Key Infrastructure，公开密钥基础设施）即是其中一员。

PKI产生于二十世纪八十年代，它是在公开密钥理论和技术基础上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。不难看出，建立以PKI为基础的安全解决方案，无论是对在Intranet上开展的无纸办公等内部业务，还是对电子支付、网上证券交易、网上购物、网上教育、网上娱乐等网络应用，都是一种安全

可靠的选择。

在PKI体系中，CA（Certificate Authority，认证中心）和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。

数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可