数字证书简称证书,是PKI的核心元素,由认证机构服务者签发,它是数字签名的技术基础保障;符合X。509标准,是网上实体身份的证明,证明某
一实体的身份以及其公钥的合法性,及该实体与公钥二者之间的匹配关系,证书是公钥的载体,证书上的公钥唯一与实体身份相绑定。现行的PKI机制一般为双证
书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一个是签名证书,加密证书原则上是不能用于签名的。
证书在公钥体制中是密钥管理的媒介,不同的实体可通过证书来互相传递公钥,证书由权威性、可信任性和公正性的第三方机构签发。是权威性电子文档。证书的主要内容,按X.509标准规定其逻辑表达式为:
CA《A》=CA﹛V,SN,AI,CA,UCA,A,UA,Ap,Ta﹜
其中:CA《A》---认证机构CA为用户A颁发的证书
CA﹛, , ,﹜---认证机构CA对花括弧内证书内容进行的数字签名
V---证书版本号
SN---证书序列号
AI---用于对证书进行签名的算法标识
CA---签发证书的CA机构的名字
UCA---签发证书的CA的惟一标识符
A---用户A的名字 UA---用户A的惟一标识
Ap---用户A的公钥 Ta---证书的有效期
从V到Ta是证书在标准域中的主要内容。图二给出了一般证书的例子。
证书的这些内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时,要对上述内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,将网上身份与证书绑定。CA对证书的签名如图三所示。
CA
颁发的上述证书与对应的私钥存放在一个保密文件里,最好的办法是存放在IC卡和USBKey介质中,可以保证私钥不出卡,证书不能被拷贝、安全性高、携带
方便、便于管理。这就是《电子签名法》中所说的“电子签名生成数据,属于电子签名人所有并由电子签名人控制….”。的具体作法。
阅读(1993) | 评论(0) | 转发(0) |
