`
csbison
  • 浏览: 154895 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

x509数字证书介绍

阅读更多

一、什么是数字证书
数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authorit y)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权 中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一 个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有 效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循 ITUT X.509国际标准。

一个标准的X.509数字证书包含以下一些内容:

 
证书的版本信息;

 
证书的序列号,每个证书都有一个唯一的证书序列号;

 
证书所使用的签名算法;

 
证书的发行机构名称,命名规则一般采用X.500格式;

 
证书的有效期,现在通用的证书一般采用UTC时间格式,它的计时范围为
1950-2049;
 
证书所有人的名称,命名规则一般采用X.500格式;

 
证书所有人的公开密钥;

 
证书发行者对证书的签名。


二、为什么要用数字证书

基于Internet网的电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险。买 方和卖方都必须对于在因特网上进行的一切金融交易运作都是真实可靠的,并且要使 顾客、商家和企业等交易各方都具有绝对的信心,因而因特网(Internet)电子商务 系统必须保证具有十分可靠的安全保密技术,也就是说,必须保证网络安全的四大要 素,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、交易者身份 的确定性。


1
、信息的保密性

交易中的商务信息均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能 被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信 息传播中一般均有加密的要求。

2
、交易者身份的确定性

网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的 身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺 诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展 服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动, 都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码 是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。银行和信用卡公司 可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款 问题以及确认订货和订货收据信息等。

3
、不可否认性

由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利 益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认 受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子 交易通信过程的各个环节都必须是不可否认的。

4
、不可修改性

交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后, 发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1,则可大幅受益, 那么订货单位可能就会因此而蒙受损失。因此电子交易文件也要能做到不可修改,以 保障交易的严肃和公正。

人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面 的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交 易双方身份的真实性。国际上已经有比较成熟的安全解决方案, 那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采 用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。

我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。


三、数字证书原理介绍

数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用 自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加 密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密钥 进行解密。


用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:

1)保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;

2)保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。

数字签名具体做法是
:
1)将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。

2)将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。

3)接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。 


四、证书与证书授权中心

CA
机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥(公钥)的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。


由此可见,建设证书授权(CA)中心,是山西省开拓和规范电子商务市场必不可少的一步。为保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对用户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子 交易协议标准的电子商务安全证书。


五、数字证书的应用

数字证书可以应用于互联网上的电子商务活动和电子政务活动,其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易,以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统

分享到:
评论

相关推荐

    X509数字证书结构和实例

    ### X509数字证书结构和实例 #### X509数字证书的编码 X.509证书标准被广泛应用于网络安全中,特别是在HTTPS、电子邮件加密等场景中扮演着重要角色。X.509证书的结构是通过ASN1(Abstract Syntax Notation One)进行...

    vc++生成x509证书

    在IT行业中,X.509证书是一种标准格式的数字证书,主要用于验证网络通信中实体的身份,例如在HTTPS协议中确保网站的安全性。VC++(Visual C++)是微软提供的C++开发环境,用于创建Windows应用程序。在描述中提到的...

    基于X_509证书PKI认证系统的研究.pdf

    X.509标准定义了一种用于公钥基础设施(PKI)中的数字证书格式。每份X.509证书都包含了一系列固定字段,如版本号、序列号、签名算法标识符、签发者名称、有效期、主体名称、公钥信息等。这些信息共同构成了证书主体...

    cer.rar_X509Certificate2_cer_certificate_pki X509Certificate2_证书

    在IT行业中,尤其是在网络安全和数据保护领域,X509Certificate2是.NET Framework提供的一种用于处理X.509数字证书的类。X.509是一种标准格式,用于存储公钥基础设施(PKI)中的公开密钥证书。在"cer.rar_X509...

    数字证书详解

    本文对X.509数字证书进行了全面深入的介绍,包括其基本概念、标准规范、关键特性及应用场景等方面。通过对X.509 v3证书格式和CRL的详细分析,我们不仅了解了数字证书的工作原理,还掌握了如何利用它们来加强网络安全...

    java获取数字证书信息

    ### Java 获取数字证书信息 ...总之,本文介绍了如何使用Java和相关工具(如TOMCAT、JDK、OpenSSL)来搭建SSL服务、签发和管理数字证书以及如何在Java程序中处理客户端证书。这些技术对于实现安全的网络通信至关重要。

    数字证书制作工具

    `makecert`是一个命令行工具,它允许开发者自定义创建X.509数字证书,用于测试和开发目的。通过`makecert`,你可以指定证书的主题、密钥对类型、有效期等参数,生成自签名证书或者请求CA签发的证书。这个工具在开发...

    安卓android数字证书及扩展项解释生成类库

    安卓系统支持多种类型的数字证书,包括X.509证书,它是互联网上最常用的证书格式。X.509证书包含公钥、私钥的持有者的身份信息,以及证书颁发机构的数字签名。在安卓开发中,开发者可以使用Java的关键库(KeyStore)...

    CA 基础知识讲座 数字证书 PPT

    总的来说,这份PPT涵盖了CA、数字证书、加密算法(特别是RSA)、X.509标准以及相关基础设施的介绍,对于理解网络通信中的安全机制和实践是非常宝贵的资源。学习这些知识有助于深入理解网络安全,保护个人和企业的...

    keystore转x509.pem、pk8工具,兼容windows、linux

    在IT行业中,数字证书是确保网络安全和数据完整性的关键组件,特别是在HTTPS通信、代码...通过理解keystore、x509.pem和pk8之间的关系,以及如何使用这些工具,可以更有效地管理数字证书,从而保障网络通信的安全性。

    数字证书X.509的OpenSSL代码实现Demo

    1 开发环境 - OpenSSL 1.0.2l - Visual Studio 2015 - Windows 10 Pro x64 2 功能介绍 演示程序主界面如下图所示,包括生成子签名X.509,X.509提取公钥和X.509提取指纹等功能。

    数字证书X.509的MbedTLS代码实现Demo

    1 开发环境 - MbedTLS 3.5.2 - Visual Studio 2015 - Windows 10 Pro x64 ...演示程序主界面如下图所示,用于X.509证书解析,包括版本、序列号、使用者、颁发者、签名算法、公钥、thumbprint等功能。

    遵循X_509标准的CA认证中心设计与实现

    X.509标准是由国际电信联盟(ITU)制定的一套用于数字证书的标准。它定义了证书的数据格式、证书的验证过程以及其他相关的操作规则。X.509证书包含了一系列信息,如证书持有者的名称、公钥、证书的有效期、颁发者的...

    Openssl与数字证书

    下面简要介绍如何使用OpenSSL来生成客户端和服务器端的数字证书: 1. **生成私钥**:使用`openssl genpkey`命令生成私钥。 2. **创建证书请求**:使用`openssl req`命令创建证书请求文件。 3. **自签名证书**:如果...

    windows下数字证书工具

    1. **makecert.exe**:这是一个Windows内置的命令行工具,用于创建自签名的X.509数字证书。用户可以使用它来为个人、组织或服务生成测试证书,以便在开发和测试环境中模拟真实环境。例如,你可以用makecert创建一个...

    自信数字证书工具165

    - **zxca.html**:可能是一个帮助文档或用户指南,详细介绍了如何使用该工具来创建和管理数字证书。 - **oids.txt**:对象标识符(OID)是证书中特定属性的唯一标识,用于区分不同的证书扩展和标准。 - **eku.txt**...

Global site tag (gtag.js) - Google Analytics