证书的格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。为了提供公用网络用户目录信息服务,ITU于1988年制定了X.500系列标准。其中X.500和X.509是安全认证系统的核心,X.500定义了一种区别命名规则,以命名树来确保用户名称的唯一性;X.509则为X.500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X.509称之为证书。
X.509给出的鉴别框架是一种基于公开密钥体制的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录款项中获得相应的公开密钥,用于各种安全服务。
最初的X.509版本公布于1988年,版本3的建议稿1994年公布,在1995年获得批准。本质上,X.509证书由用户公共密钥与用户标识符组成,此外还包括版本号、证书序列号、、CA标识符、签名算法标识、签发者名称、证书有效期等。用户可通过安全可靠的方式向CA提供其公共密钥以获得证书,这样用户就可公开其证书,而任何需要此用户的公共密钥者都能得到此证书,并通过CA检验密钥是否正确。这一标准的最新版本-- X.509版本3是针对包含扩展信息的数字证书,提供一个扩展字段,以提供更多的灵活性及特殊环境下所需的信息传送。
目前,X。509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等。
3. 密钥管理机制(PKI)
密钥管理是电子商务安全业务中共同存在的问题,为解决在INTERNET上开展电子商务的安全问题,世界各国在经多年研究后,初步形成了一套完整的解决方案,即目前被广泛应用的公钥基础结构(Public Key Infrastructure,简称PKI)。
PKI体系结构采用证书管理公钥,即结合X.509标准中的鉴别框架(Authentication Framework)来实现密钥管理,通过CA把用户的公钥及其它标识信息捆绑在一起,在INTERNET上验证用户的身份,保证网上数据的保密性和完整性。
PKIX(Public Key Infrastracture on X.509,简称PKIX)系列标准由IETF PKIX工作小组制定,定义了X.509证书在INTERNET上的使用,证书的生成、发布和获取,各种产生和分发密钥的机制,以及怎样实现这些标准的轮廓结构等。
与PKI标准最相关的建议是:
X.208(1988)抽象语法说明1(ASN.1)规范; X.209(1988)ASN.1基本编码规则的规范; X.500(1993)信息技术开放系统互联目录:概念、模型及服务简述; X.509(1993)信息技术开放系统互联目录:鉴别框架。
4. 证书管理机制(CA)
证书管理机构(Certificate Authority,简称CA)是大型用户群体(如政府机关或金融机构)所信赖的第三方,负责证书的颁发和管理。在证书申请被审批部门批准后,CA通过登记服务器将证书发放给申请者。CA通过向电子商务各参与方发放数字证书,来确认各方的身份,保证在INTERNET及内部网上传送数据的安全,及网上支付的安全性。
电子商务CA体系包括两大部分,即符合SET标准的SET CA认证体系(又叫“金融CA”体系)和基于X.509的 PKI CA体系(又叫“非金融CA”体系)。下面分别介绍这两种重要的CA机制。
(1)SET CA
1997年2月19日,由MasterCard和Visa发起成立SETCO公司,被授权作为SET(Secure ElectronicTransaction)根CA。从SET协议中可以看出,由于采用公开密钥加密算法,认证中心(CA)就成为整个系统的安全核心。SET中CA的层次结构依次为:根认证中心(RCA)、区域性认证中心(GCA),GCA再下设持卡人认证中心(CCA)、商户认证中心(MCA)、支付网关认证中心(PCA),在SET中,CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。在证书中,利用X.500识别名来确定SET交易中所涉及的各参与方, |
