认证中心CA理论与开发技术
挚女女女t糇
_-开发设计?*
讳¥**¥存
认证中心CA理论与开发技术
徐志大南相浩
解放军信息工程大学(郑州450002)北京大学(北京100091)
E-maih<xuzhida@263.net>
摘要CA及公钥证书是PKI(PublieKeyInfrastructure)的核心,是密钥管理理论与技术发展的结晶。文章首先描述在Interact分布式网络环境下CA的总体结构,详细分析了其理论基础、研究进展、各部分的实现方式与开发技术。
美键词X.509公钥证书认证中心LDAP服务器
TheoriesandTechniquesforEstablishingCertificateAuthority
XuZhidaNanXianghao
mInformationand
TechnologyUniversity.Zhengzhou450002)
(BeringUniversity,Beijing100091)
Abstract:CA(certificateauthority)andpublickeycertificatesaretheheanofPKI.theyarethemostadvancedmethod
forkey
management
Inthispaper,theframeworkofCAinritedistributednetworksofInternetis6r8tIvdescribed,andthenitstheoreticalbases,advancesandimplementaleanalyzedindemil.
Keywords:X509PublickeyCertificate,CertificateAuthority,LDAPServer
1基本概念
1.1公钥证书
公钥证书是告有与某个身份相联系之公钥的结构,由CA签发,其目的是为公钥分配提供可扩展性与可管理性.当前公认的标准公钥证书是X509证书,其基本格式如下…
Version版本号
SefialNumber证书序列号
SignatureAlgorithm签名算法
IssuerCA名
PeriodofValidation有效期
Su嘶ect用户名
PublicV81ue用户的公钥,采用的算法
Signature先对以上所有域求hash值.
再对此值用CA的私钥签名
1,2证书验证
收到用户(EndEntities,简称EE)证书后
性,主要步骤如下:次于1988年作为x.500DirectoryRecommendations的一部分出版,其格式叫做vl格式。当X.500于1993年修改时,增加了两个域,产生了V2格式,这两个域用于支持目录访问控制。在实施PKI系统时,发现V1和V2证书格式在几个方面存在不足,例如,基于这两个格式的CA结构仅适合于自顶向下分层树型结构管理模式的应用部门。于是,ISO/IEC和ANSIX9对V2格式进行扩展,开发了X.509V3证书格式,并于1996年6月,完成V3格式标准。这些扩展能载送如用户标识信息、密钥属性信息、策略信息与证书通路约束等数据,同时V3对CRL结构也进行了扩展,这些扩展可完全取代CA分层管理结构的概念,支持一个EE可以有多个父CA,从而满足Interact各类应用的需要。为增加实现的互操作性,ITEFPKIX工作组正着手对X.509V3扩展进行裁剪形成统一的证书格式,用于Internet的各类服务。目前,已研制成功并正在运行的CA系统可为MIME、SSL及电子商务SET等提供公钥证书服务。
应验证其有效2CA总体结构
(1)Subject与Issuer名合法(符合X.500文率规定)。
(2)证书未过期。
(3)证书未被吊销(查当前的证书吊销清单CRL)。
(4)数字签名有效。
从证书中取出Issuer的名字,
确定Issuer的证书或公钥,
使用Issuer的公钥证实签名为Issuer所产生。1.3x.509版本
CA系统主要由证书管理服务器、证书/CRL服务器、证书登记机构RA(RegistrationAuthority)及证书代理等部分组成。证书/CRL服务器通常是一个LDAP目录服务器或ftp服务器,用于存放证书与CRL及响应用户的取证书/CRL请求。证书管理服务器由证书管理和证书生成两部分组成,响应用户证书请求、吊销证书及更新CRL等。RA负责在用户申请证书前对用户进行身份认证与登记。证书代理执行获取、验证证书,在分布式生产模式中生产密钥对等功能。
x.509,正式名称为ITU—TX.509或ISO/1EC9594—8,首3EE证书申请、生成与发布
作者简介:徐志大,博士,主要研究方向:现代密码学与信息安全。南相浩,教授.博士生导师,中国计算机学会信息保密专委会主任。
计算机工程与应用2000.9 万方数据