點擊上方“藍字”關注我們吧??

在上節《網絡安全技術——加密技術、數字簽名技術》中研究了數據通信中的加密和簽名技術，在非對稱加密體系中，A用戶拿到B用戶的公鑰后便可以用這個公鑰進行加密數據與B通信，如何保證A用戶拿到的是B的公鑰，而不是其他中間人（攻擊者）的一個公鑰呢？如下圖的中間人攻擊：

數字證書

數字證書就是互聯網通訊中標志通訊各方身份信息的一串數字，提供了一種在Internet上驗證通信實體身份的方式，數字證書不是數字身份證，而是身份認證機構蓋在數字身份證上的一個章或印（或者說加在數字身份證上的一個簽名）。它是由權威機構——CA，又稱為證書授權（Certificate Authority）中心發行的，人們可以在網上用它來識別對方的身份。

數字證書是一個經證書授權中心CA數字簽名的包含公開秘鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特征就是只在特定的時間段內有效。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA（例如中國各地方的CA公司）中心簽發的證書，也可以由企業級CA系統進行簽發。

以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

數字證書的基本內容

證書至少需要包括如下內容：

頒證機構

證書持有者的名字

證書持有者的公鑰

證書有效期

證書頒發機構的簽名

數字證書原理

數字證書采用公鑰體制，即利用一對互相匹配的秘鑰進行加密、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）并由本人公開，為一組用戶所共享，用于加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，常用的一種是RSA體制。

數字證書里存有很多數字和英文，當使用數字證書進行身份認證時，它將隨機生成128位的身份碼，每份數字證書都能生成相應但都不可能相同的身份碼，從而保證數據傳輸的保密性，即相當于生成一個復雜的密碼。

數字證書的規范標準

證書是由認證機構頒發的，使用者需要對證書進行驗證，因此如果證書的格式千奇百怪那就不方便了。于是，人們制定了證書的標準規范，其中使用最廣泛的是由ITU（International TelecommumcationUnion，國際電信聯盟）和ISO（IntemationalOrganizationforStandardization, 國際標準化組織）制定的X.509規范。很多應用程序都支持x.509并將其作為證書生成和交換的標準規范。

X.509是一種非常通用的證書格式。所有的證書都符合ITU-T X.509國際標準，因此(理論上)為一種應用創建的證書可以用于任何其他符合X.509標準的應用。X.509證書的結構是用ASN1(Abstract Syntax Notation One)進行描述數據結構，并使用ASN.1語法進行編碼。

在一份證書中，必須證明公鑰及其所有者的姓名是一致的。對X.509證書來說，認證者總是CA或由CA指定的人，一份X.509證書是一些標準字段的集合，這些字段包含有關用戶或設備及其相應公鑰的信息。X.509標準定義了證書中應該包含哪些信息，并描述了這些信息是如何編碼的(即數據格式)

一般來說，一個數字證書內容可能包括基本數據（版本、序列號) 、所簽名對象信息（ 簽名算法類型、簽發者信息、有效期、被簽發人、簽發的公開密鑰）、CA的數字簽名，等等。

數字證書的信任

證書直接是可以有信任關系的, 通過一個證書可以證明另一個證書也是真實可信的. 實際上，證書之間的信任關系，是可以嵌套的。比如，C 信任 A1，A1 信任 A2，A2 信任 A3…這個叫做證書的信任鏈。只要你信任鏈上的頭一個證書，那后續的證書，都是可以信任滴。

處于最頂上的樹根位置的那個證書，就是“根證書”。除了根證書，其它證書都要依靠上一級的證書，來證明自己。那誰來證明“根證書”可靠？實際上，根證書自己證明自己是可靠的（或者換句話說，根證書是不需要被證明滴）。根證書是整個證書體系安全的根本。所以，如果某個證書體系中，根證書出了問題（不再可信了），那么所有被根證書所信任的其它證書，也就不再可信了。

公鑰基礎設施PKI

公鑰基礎設施（Public-Key infrastructure）是為了能夠更有效地運用公鑰而制定的一系列規范和規格的總稱。公鑰基礎設施一般根據其英語縮寫而簡稱為PKI。PKI只是一個總稱，而并非指某一個單獨的規范或規格。

一個典型的PKI系統包括PKI策略、軟硬件系統、證書機構CA、注冊機構RA、證書發布系統和PKI應用等。

數字證書的注冊生成

網絡安全技術——加密技術、數字簽名技術

網絡安全技術——入侵防御系統（IPS）技術介紹

網絡安全技術——常見網絡攻擊介紹

網絡安全技術—— 防火墻DDos攻擊防范技術

關注我

一起學習IT知識技能

微信公眾號：itediter

網絡安全 | 自學開發 | 運營管理

分享收藏點贊在看

總結

以上是生活随笔為你收集整理的网络安全技术——数字证书技术原理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。