CA基本常识:X.509标准
上一篇 / 下一篇 2007-09-14 22:06:17 / 个人分类:其他
%H?-T,M ^051Testing软件测试网Tv RrF6pg
在和CA进行一些接触时,我们常常会听到一个名词: X.509。它是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息"指纹")。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密,并将之与收到的信息"指纹"进行比较,以确定其真实性。51Testing软件测试网6^#u9E*Q?+a3YH
此问题的解决方案即X.509标准与公共密钥证书。本质上,证书由公共密钥加密钥拥有者的用户标识组成,整个字块有可信赖的第三方签名。典型的第三方即大型用户群体(如政府机关或金融机构)所信赖的CA。51Testing软件测试网y2||i:yw
此外,X.509标准还提供了一种标准格式CRL,下面我们就来看一看 X.509标准下的证书格式极其扩展。51Testing软件测试网+RxA/p7]3x@4[
目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,但是都在原有版本(X.509 V1)的基础上进行功能的扩充,其中每一版本必须包含下列信息:
r3XF)O$T;KWDc:G0 (1) 版本号51Testing软件测试网H1_^7q]
(2) 序列号;
3O DO@M0 (3) 签名算法标识符
iFd1Y#J~`c6Ke d@0 (4) 认证机构51Testing软件测试网Dl(O3Ag
(5) 有效期限51Testing软件测试网:jy)rWkHL8y
(6) 主题信息
H.\Y#I^}KH4]O0 (7) 认证机构的数字签名
)h*i$C?D,J2f0M*D0 (8) 公钥信息
Ef&jy%b \he01、版本号:
,Hpu"h)v_a0用来区分X.509的不同版本号
LE9y[ b9b,Kn02、序列号;
A{c|H0由CA给予每一个证书的分配唯一的数字型编号,当证书被取消时,实际上是将此证书的序列号放入由CA签发的CRL中;这也是序列号唯一的原因。
tF;~M9o%^rHO03、签名算法标识符:51Testing软件测试网yK Ebku1Yiw
用来指定用CA签发证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法,须向国际指明标准组织(如ISO)注册。51Testing软件测试网7V*vOk"{Ry4O
4、认证机构:51Testing软件测试网2qa5cV8Q)@q1K
即发出该证书的机构唯一的CA的x.500名字;51Testing软件测试网UW]'Gb ]
5、有效期限:
2V4N}YP0证书有效的时间包括两个日期:证书开始生效期和证书失效的日期和时间。在所指定的这两个时间之间有效;
(T8m,T/m#cs,b06、主题信息:
V'B;p u"|g8]pV0证书持有人的姓名、服务处所等信息;51Testing软件测试网5N2sxhr$]] W*l
7、认证机构的数字签名:51Testing软件测试网G_6W1z'WYk*{
以确保这个证书在发放之后没有被撰改过;51Testing软件测试网X \L LB#Lc1`0~1R*`
8、公钥信息:51Testing软件测试网Le9m8~Kcp3a
包括被证明有效的公钥值和加上使用这个公钥的方法名称;
c1R&b-i7Z|m#I,b/H0 X.509的扩展(V3)51Testing软件测试网 m,~,v!| {H Yd
X.509标准第三版在V2的基础上进行了扩展,V3引进一种机制。这种机制允许通过标准化和类的方式将证书进行扩展包括额外的信息,从而适应下面的一些要求一: 51Testing软件测试网qD&e*VIq&g-h0{3bh
(1)一个证书主体可以有多个证书;51Testing软件测试网6TVQ[#TN}BE
(2)证书主体可以被多个组织或社团的其他用户识别;51Testing软件测试网.W+iW I:~*v
(3)可按特定的应用名(不是X.500名)识别用户,如将公钥同EMAIL地址联系起来;51Testing软件测试网Y/aNpq
(4)在不同证书政策和实用下会发放不同的证书,这就要求公钥用户要信赖证书;证书并不限于这些标准扩展,任何人都可以向适当的权利机构注册一种扩展。将来会有更多的适于应用的扩展列入标准扩展集中。值得注意的是这种扩展机制应该是完全可以继承的。
DlkH|i8W![{T$^0 每一种扩展包括三个域:类型、可否缺省、值
G%p;}5d(sW3S0类型字段定义了扩展值字段中的数据类型。这个类型可以是简单的字符串,数值,日期,图片或一个复杂的数据类型。为便于交互,所有的数据类型都应该在国际知名组织进行注册。
W1?*y)y^0 是否可缺省字段是一比特标识位。当一扩展标识为不可缺省时,说明相应的扩展值非常重要,应用程序不能忽略这个信息。如果使用一特殊证书的应用程序不能处理该字段的内容,就应该拒绝此证书。
Q J!Ut+}0扩展值字段包含了这个扩展实际的数据。
I6O~&l+J-Xj0公开密钥证书的标准扩展可以分为以下几组: 51Testing软件测试网F,?lRo8O6{B7~
· 密钥和政策信息,包括机构密钥识别符、主体密钥识别符、密钥用途(如数字签字,不可否认性 、密钥加密、数据加密、密钥协商、证书签字、CRL签字等),密钥使用期限等;
~#C-]W*y$Yr#k F(p0 · 主体和发证人属性,包括主体代用名、发证者代用名、主体检索属性等;
H)k$Q hu(o-A0N(O0 · 证书通路约束,包括基本约束,指明是否可以做证书机构。 51Testing软件测试网0by7N#o5j
· 与CRL有关的补充;
X.509是国际标准化组织CCITT建议作为X.500目录检索的一部分提供安全目录检索服务。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息一种非常通用的证书格式,所有的证书都符合X.509 国际标准。目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,但是都在原有版本基础上进行功能的扩充,其中每一版本必须包含下列信息:51Testing软件测试网y6EP:P)UFs~6C?
(1) 用来区分X.509的不同版本号既版本号51Testing软件测试网1~(zao3Id)W2`
(2) 由CA给予每一个证书的分配的编号即序列号;
-jU_)|-}?k?5|5l0 (3) 用于产生证书所用的方法以及一切参数即签名算法
`w/I![.@\Lg0 (4) CA的x.500名字即发出该证书的认证机构51Testing软件测试网
a mV6|*{wMY
(5) 证书有效的时间包括两个日期,在所指定的两个时间之 间有效即有效期限
|*e~
^![1I"S%o^U0 (6) 证书持有人的姓名、服务处所等信息即主题信息51Testing软件测试网+b"x.j!L|yVH
(7) 认证机构的数字签名51Testing软件测试网du@.}.N)^
(8) 被证明的公钥值,加上使用这个公钥的方法名称即公钥信息
PKI (Public-Key Infrastructure) 公钥体系基础框架。51Testing软件测试网SP)qk.mL
PKIX (Public-Key Infrastructure Using X.509)使用X.509的公钥体系基础框架。51Testing软件测试网:K|7uvy,XHv
X.500 由ISO和ITU提出的用于为大型网络提供目录服务的标准体系。
I*si&~8x'a s0 X.509 为X.500提供验证(Authenticating)体系的标准。51Testing软件测试网1]J[Y4Bcp%Z-e
PKCS(Public Key Cryptography Standards)公钥加密标准,为PKI提供一套完善的标准体系。
(JQ3M;|(tV*aV
m0 对于任何基于公钥体系的安全应用,必须确立其PKI。而电子签证机关(CA)是PKI中的一个关键的组成部分,它主要涉及两方面的内容,即公钥证书的发放和公钥证书的有效性证明。在PKIX中,CA遵循 X.509标准规范。51Testing软件测试网0b%_%|y^UU
X.509最早的版本X.509v1是在1988年提出的,到现在已升级到X.509v3,现将其涉及到的主要内容以及与前版本的比较列于下表。
FDef)h5e&jpr0 X.509 PKI国际标准更新版本对照表51Testing软件测试网;s.I\6UNY;z
X.509 PKI 主要特性51Testing软件测试网 {%s[}0I_4P+F#e"z z
X.509 v1 & 2 X.509 v3
khOQE!ZIy4Y0证书信息 只有X.500 实体名,包括CA、证主(subject)名,证主公钥及其有效期。 充分扩展,可包含任何信息。
}$[.M?6t3M2MQM0 CA 规范 CA体系鼓励带交叉的层状树型结构,无信任限制规范。 CA体系鼓励带交叉的层状树型结构,有信任限制规范。51Testing软件测试网)Jxbu9y
[
CA "证主 " 用户 CA、证主、用户在概念上严格区分51Testing软件测试网1_Uz!\^T
CA "证主" 用户信任关系 认为每个用户至少信任一个CA。CA无法操纵与其它CA、证主及用户间的信任关系。 认为每个用户至少信任一个CA。CA可以规范与其它CA及证主间的信任关系。
A,qDe6{0证书有效性验证方式 离线方式,通过检查证书有效期及是否出现在最近的CRL(证书吊销表)上。 支持离线与在线方式。51Testing软件测试网Wox}v
证书吊销方法 简单CRL。 复杂的CRL,通过功能扩展支持在线方式。
*u9q CFAP0证书形式特点 身份形式的证书。 主要还是身份形式的证书,但支持信任委托形式的证书。