Chinaunix首页 | 论坛 | 博客
  • 博客访问: 15537841
  • 博文数量: 2005
  • 博客积分: 11986
  • 博客等级: 上将
  • 技术积分: 22535
  • 用 户 组: 普通用户
  • 注册时间: 2007-05-17 13:56
文章分类

全部博文(2005)

文章存档

2014年(2)

2013年(2)

2012年(16)

2011年(66)

2010年(368)

2009年(743)

2008年(491)

2007年(317)

分类:

2010-02-21 10:19:01

    数字证书简称证书,是PKI的核心元素,由认证机构服务者签发,它是数字签名的技术基础保障;符合X。509标准,是网上实体身份的证明,证明某 一实体的身份以及其公钥的合法性,及该实体与公钥二者之间的匹配关系,证书是公钥的载体,证书上的公钥唯一与实体身份相绑定。现行的PKI机制一般为双证 书机制,即一个实体应具有两个证书,两个密钥对,一个是加密证书,一个是签名证书,加密证书原则上是不能用于签名的。

    证书在公钥体制中是密钥管理的媒介,不同的实体可通过证书来互相传递公钥,证书由权威性、可信任性和公正性的第三方机构签发。是权威性电子文档。证书的主要内容,按X.509标准规定其逻辑表达式为:

    CA《A》=CA﹛V,SN,AI,CA,UCA,A,UA,Ap,Ta﹜

    其中:CA《A》---认证机构CA为用户A颁发的证书

    CA﹛, , ,﹜---认证机构CA对花括弧内证书内容进行的数字签名

    V---证书版本号

    SN---证书序列号

    AI---用于对证书进行签名的算法标识

    CA---签发证书的CA机构的名字

    UCA---签发证书的CA的惟一标识符

    A---用户A的名字 UA---用户A的惟一标识

    Ap---用户A的公钥 Ta---证书的有效期

    从V到Ta是证书在标准域中的主要内容。图二给出了一般证书的例子。

    证书的这些内容主要用于身份认证、签名的验证和有效期的检查。CA签发证书时,要对上述内容进行签名,以示对所签发证书内容的完整性、准确性负责并证明该证书的合法性和有效性,将网上身份与证书绑定。CA对证书的签名如图三所示。

    CA 颁发的上述证书与对应的私钥存放在一个保密文件里,最好的办法是存放在IC卡和USBKey介质中,可以保证私钥不出卡,证书不能被拷贝、安全性高、携带 方便、便于管理。这就是《电子签名法》中所说的“电子签名生成数据,属于电子签名人所有并由电子签名人控制….”。的具体作法。
阅读(2078) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~