原创《数字证书在信息化项目中一证多用和实现》:本文是一篇关于数字证书论文范文,可作为相关选题参考,和写作参考文献。
[摘 要]数字证书是互联网应用中身份安全的重要技术保障.证书机构大量签发的数字证书往往都是绑定单一应用系统,在给用户带来不便的同时,也增加了社会成本.本文深入研究了数字证书的结构和安全机制,并提出了一证多用技术,以通过证书服务器解决一证多用中数字证书的多样性和复杂性.
[关键词]数字证书;一证多用;身份安全
doi:10.3969/j.issn.1673 - 0194.2017.06.093
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2017)06-0-03
0 引 言
随着Internet的普及和发展,电子商务活动和电子政务活动已成为大众日常生活的一部分.互联网环境下存在着大量的应用服务和互不相识的众多用户,这些互联网上的“实体”如何识别彼此和保障通讯安全,一直伴随着互联网的发展而存在.
数字证书(CA)是互联网中标志通讯各方身份信息的一串字符,它提供一种在互联网上验证通信实体身份的方式.它是由权威机构证书授权中心签发的,可以用来在互联网上识别通讯对方的身份.数字证书的应用已经十分普遍和广泛,如发送安全电子邮件、访问安全站点、网上招标投标、网上签约、网上购物、公文安全传送、网上缴费、网上缴税和网上报关等.
随着网络安全意识的加强和各类应用的推广,在数字证书授权机构的推动下,数字证书的发行数量越来越多.很多时候一个应用系统就要有一张相应的数字证书,且各个应用的数字证书互不通用.如网银用户使用农业银行网银时,要用农业银行的数字证书,工商银行的网银要使用工商银行的数字证书;在不同城市的公共资源交易服务中心投标时,要*不同的数字证书进行投标.
1 数字证书相关技术分析
1.1 数字证书的格式
数字证书的格式普遍采用的是国际标准X.509格式,一个标准的X.509数字证书一般包含以下信息:①证书的版本信息-Version;②证书的序列号,每张证书有唯一的证书序列号-Serial Number;③证书所使用的签名算法- Algorithm Identifier;④证书的发行机构名称- Issuer,命名规则一般采用X.500格式;⑤证书的有效期- Period of Validity,一般采用UTC时间格式;⑥证书所有人的名称- Subject,命名规则一般采用X.500格式;⑦证书所有人的公开密钥- Subject"s Public Key;⑧证书发行者对证书的签名- Signature.
数字证书存储文件的格式通常有.cer格式文件和.pfx格式文件.PKCS#12标准定义,带有私钥的证书文件一般以.pfx为文件后缀名,以.cer为文件后缀名的是不包含私钥的证书文件,p7b格式文件是证书链存储文件,包含一张或多张数字证书,不包含私钥.证书文件编码可以是DER二进制编码格式或者是BASE64编码格式.
1.2 数字证书的工作原理
数字证书采用PKI(Public Key Infrastructure)公开密钥基础架构技术,即利用一对相互匹配的公、私密钥进行加密和解密.证书用户设定仅为本人所知的私有密钥(以下简称私钥),并用它进行解密和签名.同时对应匹配的这个私钥有一个公开密钥(以下简称公钥),公钥可以发布给通讯相关方,用于对端的加密和验证签名.当需要传递保密信息时,发送方使用接收方的公钥对数据加密,接收方收到加密数据后,使用私钥进行解密.PKI技术保证加、解密过程是一个不可逆的过程,即只能用私钥解密公钥加密的数据.用户也可以用私钥签名要发送的数据,形成数字签名,这个数字签名只能用对应的公钥解密,以验证签名,数字签名有防抵赖性和防篡改性.签名和验证签名流程示意图,如图1所示.
在公开*基础架构技术中,最常用的非对称算法是RSA算法,其数学原理是将一个超大数分解质因数,私钥和公钥是2个匹配的质因数,从数学逻辑上讲,在已知明文、密文和公钥的情况下,很难推导出私钥.在这样的数学原理上数字签名可以保障以下2点:①签名者不能否认自己所发的信息;②信息自签发后到接收方收文的过程中未被修改过,签名的文件是真实文件.数字证书是绑定了公钥和其私钥持有者真实身份的文件,并经过认证中心审核签发的电子数据.可以方便快捷地在互联上做身份识别和传递加密数据.
1.3 数字证书的签发过程
数字证书通常是由CA证书中心(通称CA机构)创建和签发,CA机构为一个称为安全域(security domain)的有限群体发放证书.创建证书时,CA机构首先要获取用户的证书请求信息,其中包括用户公钥(公钥一般由用户端产生,如电子邮件程序、浏览器、U-KEY等),CA机构根据用户的请求信息产生证书,并用CA机构的私钥对证书进行签名.其他用户、应用程序或实体将使用CA机构的公钥对证书进行验证.如果CA机构是可信的机构,则验证证书的用户可以确信,其所验证的证书是代表着一个可信的实体.
国家授权的CA机构同时要负责维护和发布证书废除列表CRL(即证书黑名单).当一个证书的公钥因故无效时或证书需要注销时,CRL提供了一种通知用户和其他应用的管理方式.CA系统生成CRL以后,通常会放到LDAP服务器或Web服务器中,供用户直接查询或下载.
一个典型的CA机构的证书签发系统会包括安全加密服务器、注册RA服务器、CA服务器、LDAP目录服务器和数据库服务器等.如图2所示.
1.4 数字证书的应用
CA机构签发的数据证书大体有个人数字证书、企业数字证书、服务器数字证书、代码签名数字证书等几种类型.数字证书广泛应用在电子政务、电子商务、内部信息化管理等领域.其应用范围涉及需要身份认证及数据安全的各个行业,包括传统的商业、制造业、流通业的网上交易以及行政公共事业、金融服务业、工商税务海关、政府行政辦公、教育科研单位、保险和医疗等网上业务系统.典型的应用场景有网上购物、企业和企业的电子贸易、安全电子邮件、网上证券交易、网上银行、网上招投标、网上报税和行政申报等方面.
数字证书论文参考资料:
结论:数字证书在信息化项目中一证多用和实现为关于对写作数字证书论文范文与课题研究的大学硕士、相关本科毕业论文数字证书有什么作用论文开题报告范文和相关文献综述及职称论文参考文献资料下载有帮助。
