第2篇 加密技术.pptVIP

§2.9 .4 数字证书 数字证书是一种能在完全开放系统，例如：互联网络的用户群决不是几个人互相信任的小集体，在这个用户群中，从法律角度讲用户彼此之间都不能轻易信任。所以公钥加密体系采取了另一个办法，将公钥和公钥的主人名字联系在一起，再请一个大家都信得过有信誉的公正、权威机构确认，并加上这个权威机构的签名。这就形成了证书。 由于证书上有权威机构的签字，所以大家都认为证书上的内容是可信任的；又由于证书上有主人的名字等身份信息，别人就很容易地知道公钥的主人是谁。构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥，即私钥和公钥。私钥只由持有者秘密掌握，无须在网上传送，而公钥是公开的，需要在网上传送，故公钥体制的密钥管理主要是公钥的管理问题。目前较好的解决方案是引进证书机制。 1. 证书的格式与证书发放 数字证书格式的通用标准是X.509。证书由CA根据X.509协议产生，应具备的信息有：版本号（用来区分X.509的不同版本）、序列号（由CA给予每一个证书的特殊编码）、签名算法（用于产生证书所用的方法以及一切参数）、发出该证书的认证机构（CA的识别名字）、有效期限（包括2个日期，在所指定的2个时间之间有效）、主题信息（证书持有人的姓名、服务处所等信息）、公钥信息（被证明的公钥值，加上使用这个公钥的方法名称）以及认证机构的数字签名。 用户想获得认证机构的证书时，首