CA認(rèn)證的基本概念

1、認(rèn)證的基本概念1 認(rèn) 證 中 心認(rèn)證中心是一個負(fù)責(zé)發(fā)放和管理數(shù)字證書的權(quán)威機(jī)構(gòu)。認(rèn)證中心通 常采用多層次的分級結(jié)構(gòu)，上級認(rèn)證中心負(fù)責(zé)簽發(fā)和管理下級認(rèn)證中心的證書，最下一級的認(rèn)證中心直接面向最終用戶認(rèn)證中心證證證證證2 數(shù)的主要功能書的頒發(fā)書的更新書的查詢書的作廢書的歸檔字簽名數(shù)字簽名是通過一個單向函數(shù)對要傳送的信息進(jìn)行處理得到的用以認(rèn)證信息來源并核實(shí)信息在傳送過程中是否發(fā)生變化的一個字母數(shù)字 串。數(shù)字簽名提供了對信息來源的確定并能檢測信息是否被篡改。數(shù)字簽名與數(shù)據(jù)加密完全獨(dú)立。數(shù)據(jù)可以既簽名又加密，只簽名，只加密，當(dāng)然，也可以既不簽名也不加密。發(fā)送方計算出的簽名和數(shù)據(jù) 一起傳送給接收方，簽名值

2、是關(guān)于發(fā)送方的私鑰和要發(fā)送的信息的一個數(shù)學(xué)函數(shù)的值。算法的構(gòu)造保證如果不知道私鑰的話就不可能計算出這個簽名值。接收方可以通過依賴發(fā)送方的公鑰、簽名值和接收到的數(shù)據(jù) 的另一個數(shù)學(xué)算法來驗(yàn)證接收到的信息就是發(fā)送方簽名的信息3 數(shù) 字 證1）數(shù)字證書的概念數(shù)字證書就是網(wǎng)絡(luò)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實(shí)生活中的身份證。它是由一個權(quán)威機(jī)構(gòu)發(fā)行的，人們可以在交往中用它來識別對方的身份2）數(shù)字證書的作用訪 問 需 要 客 戶 驗(yàn) 證 的 安 全 I N T E R N E T 站 點(diǎn)用對方的數(shù)字證書向?qū)Ψ桨l(fā)送加密的郵件給對方發(fā)送帶自己簽名的郵件3）數(shù)字證書的內(nèi)容證書的格式由 ITU

3、 標(biāo)準(zhǔn)來定義。根據(jù)這項(xiàng)標(biāo)準(zhǔn)，證書包括申請證書個 體的信息和發(fā)行證 書 CA 的信息。證書由以 下兩部分組成（1）證書數(shù)版本信息，用來與的將來版本兼容；證書序列號，每一個由 CA 發(fā)行的證書必須有一個唯一的序列號；CA所使用的簽名算法；發(fā)行證書CA的名稱；證書的有效期限；證書主題名稱；被證明的公鑰信息，包括公鑰算法、公鑰的位字符串表示； 包含額外信息的特別擴(kuò)展。 （ 2 ） 發(fā) 行 證 書 的 C A 簽 名 證書第二部分包括發(fā)行證書的 CA 簽名和用來生成數(shù)字簽名的簽名算 法。任何人收到證書后都能使用簽名算法來驗(yàn)證證書是由 CA 的簽名密鑰 簽發(fā)的。4 安 全 套 接 字 層 （ S S L

4、）SSL（ Secure Sockets Layer：安全套接層）是一種提供 INTERNET 上 保密性的在線協(xié)議。它允許客戶 /服務(wù)器應(yīng)用以一種不能被偷聽的方式通 訊。它是 INTERNET 網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。 SSL 協(xié)議使用通訊雙方 的證書，在通訊雙方間建立一條安全的、可信任的通訊通。數(shù)字證書是網(wǎng)絡(luò)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，它提供了在 Internet 上驗(yàn)證通信各 方身份的方法， 它是由由權(quán)威機(jī)構(gòu) CA認(rèn)證機(jī)構(gòu)， 又稱為證書授權(quán) （Certificate Authority） 中心發(fā)行。數(shù)字證書是經(jīng)證書管理中心數(shù)字簽名的包含公開密鑰、 擁有者信息以及公開密鑰的文

5、件。 證書的格 式遵循 ITUT 國際標(biāo)準(zhǔn)。數(shù)字證書通常包含以下內(nèi)容：證書的版本信息；證書的序列號，每個證書都有唯一的證書序列號；證書所使用的簽名算法；證書的發(fā)行機(jī)構(gòu)名稱，命名規(guī)則一般采用格式；證書的有效期，通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049 ；證書所有人的名稱，命名規(guī)則一般采用格式；證書所有人的公開密鑰；證書發(fā)行者對證書的簽名。數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進(jìn)行加密、 解密。 每個客戶可以設(shè)定特定的僅 為本人所知的私有密鑰（私鑰），用它進(jìn)行數(shù)據(jù)解密和簽名；同時設(shè)定一把公共密鑰（公鑰）并由本人 公開，為一組客戶所共享，用于數(shù)據(jù)加密和驗(yàn)證簽名。當(dāng)發(fā)

6、送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密， 這樣信息就可以安全無誤地到達(dá)目的地了。數(shù)字加密是一個不可逆過程，即只有使用私有密鑰才能解密。在公開密鑰密碼體制中，常用的是 RSA體制。其數(shù)學(xué)原理是將一個大數(shù)分解成兩個質(zhì)數(shù)的乘積，加密和解密用的是兩個不同的密鑰。即使 已知明文、密文和加密密鑰（公開密鑰），想要推導(dǎo)出解密密鑰（私密密鑰），在計算上是不可能的。 按現(xiàn)在的計算機(jī)技術(shù)水平，要破解目前采用的 1024 位 RSA密鑰，需要上千年的計算時間。公開密鑰體系解決了密鑰發(fā)布的管理問題， 可以使用接受方的公開密鑰對發(fā)送的信息進(jìn)行加密， 密鑰進(jìn)行解密?？蛻艨梢怨_其

7、公開密鑰，而保留其私有密鑰。 使用者客戶可以采用自己的私鑰對信息加以處理，安全地傳送到對方，由于密鑰僅為本人所有，然后由接受方使用自己的私有這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：（1）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)；（2）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實(shí)文件數(shù)字簽名具體做法是：(1) 將報文按雙方約定的 HASH算法計算得到一個固定位數(shù)的報文摘要。在數(shù)學(xué)上保證，只要改動 報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。(2) 將該報文摘要值用發(fā)送者的私人密鑰加密 , 然后連同原報