信息系统安全实验指导书

信息系统安全 实 验 指 导 书 黑龙江工程学院计算机系 2008 年 2 月哈尔滨 实验一 PGP 加密试验 本实验需要 2 学时 一实验目的 掌握对文件加密和数字签名的方法，对加密理论知识加深理解。. 二. 实验准备 在网上查找“PGP 教程”，先认识 PGP 软件的安装和使用；然后查找“PGP 加密原理”， 认识 PGP 的加密原理。关于 PGP 的加密原理以及其他的信息可以参见下面这些网页： /pcedu/soft/doc/001218/1.htm 太平洋网 /SoftChannel/72356695560421376/20011108/203842.shtml 天极 网 /www/special/pgp.asp 中国 IT 认证实验室 不过这些网页介绍的 PGP 软件是 PGP6.5 版本甚至更早的版本，截止到撰写该上机 实验时 PGP 已经升级到版本 8 了，因此在某些方面会有一些不同。PGP8.02 版本可以通过 下面地址下载： /html/1/3/dlid=9223&dltypeid=1&pn=0&.html 太平 洋网站； /downloads/freeware/index.html 这是 PGP 网站上提供的。 三. 实验内容及步骤 1、PGP 简介 PGP 软件是一款非常优秀的加密软件。它能实现对文件、邮件、磁盘、以及 ICQ 通信内容实现加密、解密、数字签名的功能，适合企业、政府机构、卫生保健部 门、教育 部门、家庭个人进行安全通信使用。并且，PGP 公司针对不同部门的不同需要，分别推出 了 PGP 不同的解决方案。这次实验，使用的是免费的个人版 本。由于是免费的个人版本， 不能实现邮件的加密签名功能，也不能实现磁盘的加密功能。 PGP 的加密是采用了 RSA 以及杂合传统的加密算法来实现加密的。加密的关键在 于一对密钥，该密钥对包含一个公钥以及一个私钥。公钥和私钥是根据某种数学 函数生成 的，并且通过一个密钥来推测另外一个密钥几乎是不可能的。其中，明文可以用公钥来加 密，然后用私钥解密得到原文，明文也可以用私钥加密，然后用公 钥解密得到原文。并且， 一般来说，公钥用于加密，私钥用于数字签名。而且公钥是发给别人用来加密要发送给自 己的文件的，而私钥是自己保留个人使用，不能供别人使用的。需要注意的是，明文通过 用户 A 的公钥加密后，只能使用用户 A 的私钥解密，不能采用 A 以外的任何其他人的私钥 解密；使用用户 A 的私钥加密的文件 只能用 A 的公钥解密，不能使用 A 以外的任何其他人 的公钥解密。由于私钥是自己保留，不给别人知道，因此，私钥除了加密的功能之外，还 可以具有数字签名的作 用。其机制在于：私钥只有自己才有，别人是没有你的私钥的，你 用私钥可以对文件进行签名，而别人由于没有你的私钥，无法进行同样的签名，这样就能 证明该文 件是从你这里发出去的。而公钥是提供给要和你安全通信的人使用的。例如 A 想 要和你通信，但是希望同新的内容不要被别人看到，就可以用你的公钥来对发送的内 容进 行加密，而你收到 A 发来的信息后就可以用你的私钥解密，可以阅读文件的内容。假设 A 发送的内容在途中被人截获了，但是没有你的私钥的话，一样是看不到 明文的。这样 PGP 就能实现加密以及数字签名的功能。PGP 之所以流行的原因是，加密的安全性非常高，同 时加密速度又很快。 2、PGP 安装 下载软件后，运行 pgp8.exe 文件开始安装，安装的过程很简单，依次按 “next”按钮就可以了，安装过程见图 1、图 2、图 3、图 4 和图 5。 图 2 接受 PGP 公司的协议 图 3 安装时对 PGP8.1.0 Windows 版本的介绍 图 4 选择用户类型 图 5 选择安装路径 接下来选择要安装的组件，其中，第一个选项是关于磁盘加密的功能；第二个选 项是 ICQ 的邮件加密功能；第三四个选项是关于 OUTLOOK 或者 OTLOOK EXPRESS 邮件加密 的功能；最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择， 一般情况下，默认安装就可以了。 见图 6、图 7。 图 6 选择要安装的 PGP 组件，一般按默认的选择即可 图 7 安装正在进行中 3、生成密钥 安装完毕后，运行 PGP 程序。从“开始”菜单中选择“PGP”中的“PGP Keys”。 要使用该软件进行加密的话，首先要生成一对密钥。也就是一个公钥 和一个私钥。其 中公钥是发送给别人用来加密钥发送给自己的文件的，私钥是自己保存，用于解密别 人用公钥 加密的文件，或者起数字签名的作用。 在 PGP Keys 的窗口中，选择 Keys 菜单下的 New Key 选项。见图 8。 图 8 PGP Keys 的工作窗口 PGP 有很好的创建密钥对的向导，跟着向导很容易生成一对密钥。见图 9。 图 9 PGP 密钥对的生成向导 每一对密钥都对应着一个确定的用户。用户名不一定要真实，但是要方便通信者 看到该用户名能知道这个用户名对应的真实的人；邮件地址也是一样不需要真实，但 是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如，大家都熟悉你的 名字叫张三，那你的用户名和地址都含有张三的名字，就很容易让别人知道这个 公钥 是你的；如果你起了一个其他的名字，类似“天天下雨”或者“五月的海”，那其他 与你通信的人很容易 不记得这个名字到底是谁，因此在选择公钥的时候，自 然很难找出你的公钥。见图 10。 图 10 输入姓名和 Email 地址以方便他人识别你的公钥 密钥对的私钥还必须进一步用密码加密，这个加密是对你的私钥加密。这个密码 非常重要，切记不要泄漏了，为安全起见，密码长度至少 8 位，而且应该包含非字母 的字符。见图 11。 图 11 为私钥设置密码 接下来，软件生成密钥对。见图 12。 图 12 生成密钥对 至此，密钥对生成完毕。 4、导出并发送公钥 见图 13。 图 13 生成完密钥对 接着导出公钥，把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全 通信的联系人。见图 14。 图 14 导出公钥 公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过 Email 方式 传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过 其他的传送方 式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可 能。为了更加安全，双方可以根据环境选择一个比较安全的环 境来传送公钥。在此实验过 程中，实验者互相通过 Email 传送公钥，例如，用户 A 和用户 B 要互相通信，则 A 需要把 自己的公钥传递给 B，而 B 需要把自己的公 钥传递给 A。 5、文件加密与解密 有了对方的公钥之后就可以用对方公钥对文件进行加密，然后再传送给对方。具体操 作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”。见图 15。 图 15 选择“Encrypt”对文件加密 然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部 列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分 （recipients），点击“OK”，并且为加密文件设置保存路径和文件名。见图 16、图 17。 图 16 选择需要用来加密的公钥 图 17 为加密文件设置保存路径和文件名 此时，你就可以把该加密文件传送给对方。对方接收到该加密文件后，选中该文件， 右键，选择“Decrypt&verify”，见图 18。 图 18 解密文件的菜单 此时，要求输入私钥的密码，输入完后，按“OK”即可。见图 19。 图 19 输入密码，用私钥解密文件 接下来，要为已经解密的明文文件设置保存路径文件名。见图。保存后，明文就可以 被直接查看了。见图 20。 图 20 为明文文件设置保存路经和文件名 四. 实验思考 1、列出 PGP 的功能；并说出 PGP 满足了电子商务中信息安全性要素的哪些要求？ 2、你知道 PGP 使用了那些加密算法吗？每一种算法的思路是什么？ 3、简要阐述 PGP 主要加密原理； 4、简要叙述使用 PGP 软件如何对文件加密； 5、简要叙述使用 PGP 软件如何对文件解密； 6、简要叙述使用 PGP 软件如何对文件数字签名； 7、在对文件进行数字签名时，为什么一定要将文件的明文也一同发送给对方？请用数 字签名的原理进行解释； 8、思考 PGP 存在哪些方面的安全隐患； 实验二 防火墙配置试验 一、实验目的 1、了解防火墙的基本原理； 2、掌握防火墙的基本配置方法。 二、实验准备 首先从网上下载天网防火墙软件，下载地址为： /soft/6958.htm，然后安装到本地硬盘，安全级别设置为中级。 三、实验内容 1、普通应用（默认情况） 下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置： 图一 下面是 IP 规则，一般默认就可以了，其实在未经过修改的自定义 IP 规则是与默认中级的规则一样的。 图二 下面是各个程序使用及监听 端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源， 图三 如木马程序，然后可以根据要求再自定义 IP 规则里封了某些端口以及禁止某些 IP 访问自己的机子等等。 再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被 IP 扫描你端口的情况，供参 考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。 图四 以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或 屏蔽某些端口，或某 些 IP 操作等等，默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。 以下就介绍开放某些端口的设置方法，可以依次类推，完成想要的相关操作。 2、防火墙开放端口应用 如果想开放端口就得新建新的 IP 规则，所以在说开放端口前，我们来说说怎么新建一个新的 IP 规则，如下图五，在自定义 IP 规则里双击进行新规则设置。 图五 点击增加规则后就会出现以下图六所示界面，把它分成四部分来观察 图六 1）图六 1 是新建 IP 规则的说明部分，你可以取有代表性的名字，如“打开 bt6881-6889 端口”，说明 详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。 2）就是对方 IP 地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。 3）IP 规则使用的各种协议，有 IP，TCP，UDP ，ICMP，IGMP 五种协议，可以根据具体情况选用并 设置，如开放 IP 地址的是 IP 协议,qq 使用的是 UDP 协议等。 4）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下 一规则，要不要记录，要看实际的情况，具体看后面的实例。 如果设置好了 IP 规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的 IP 规则 的建立，并立即发挥作用。 3、打开端口实例 在介绍完新 IP 规则是怎么建立后，开始举例说明。BT 使用的端口为 68816889 端口这九个端口， 而防火墙的默认设置是不允许访问这些端口的，它只允许 BT 软件访问网络，所以有时在一定程度上影响 了 BT 下载速度。当然关了防火墙就没什么影响了，但机器是不是就不安全了？所以下面以打开 68816889 端口举个实例 1）在图五双击后建立一个新的 IP 规则后在出现的下图七里设置，由于 BT 使用的是 TCP 协议，所以 就按下图七设置就 OK 了，点击确定完成新规则的建立，命名为 BT。 图七 设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否 BT 的连接 端口已经开放的。 图八 4、应用自定义规则防止常见病毒 上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这 些端口时，就可以自己设置。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。 1）、防范冲击波 冲击波是利用 WINDOWS 系统的 RPC 服务漏洞以及开放的 69、135、139、445、4444 端口入侵。 如何防范，就是封主以上端口，首先在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的 起用（就是打勾）就已经禁止了 135 和 139 两个端口。 下边是禁止 4444 端口的图九 下面是禁止 69 和 445 端口的图，上图为 69 下图为 445 建立完后就保存。保存完后就可以防范冲击波了。 2）、防范冰河木马 冰河也是比较狠的病毒，它使用的是 UDP 协议，默认端口为 7626，只要在防火墙里把它给封了，它 就不起作用了。具体见下图 如果掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，可以 参照，可以大大防范病毒和木马的攻击！ 5、怎么打开 WEB 和 FTP 服务 很多人都使用了 FTP 服务器软件和 WEB 服务器，防火墙不仅限制本机访问外部的服务器，也限制外 部计算机访问本机。 所以我们为了 WEB 和 FTP 服务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接” 前的 勾去掉。 以下是 WEB 和 FTP 的 IP 规则供大家参考上图为 WEB，下图为 FTP。 此主题相关图片如下： 6、常见日志的分析 使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，看下图，就是日志记录，上面记录 了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面就来说说日志代表 的意思。 看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者 IP 地址、对方通讯端 口、数据包类型、本机通讯端口等等情况；第二行为 TCP 数据包的标志位，共有六位标志位，分别是： URG、ACK 、PSH、RST、SYN、FIN ，在日志上显示时只标出第一个字母，他们的简单含义如下： ACK：确认标志 提示远端系统已经成功接收所有数据 SYN ：同步标志 该标志仅在建立 TCP 连接时有效，它提示 TCP 连接的服务端检查序列编号 FIN：结束标志 带有该标志位的数据包用来结束一个 TCP 会话，但对应端口还处于开放状态，准备接收后续数据。 RST：复位标志，具体作用未知 第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监 视的数据包会显示为“继续下一规则” 。 下面举些常见典型例子来讲讲： 记录 1：22：30：56 202、121、0、112 尝试用 PING 来探测本机 TCP 标志： S 该操作被拒绝 该记录显示了在 22：30：56 时，从 IP 地址 202、121、0、112 向你的电脑发出 PING 命令来探测主 机信息，但被拒绝了。 人们用 PING 命令来确定一个合法 IP 是否存在，当别人用 PING 命令来探测你的机器时，如果你的电 脑安装了 TCP/IP 协议，就回返回一个回音 ICMP 包，如果你在防火墙规则里设置了“防止别人用 PING 命 令探测主机”如图八里设置，你的电脑就不会返回给对方这种 ICMP 包，这样别人就无法用 PING 命令探 测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，但如果在日志里显示有 N 个来自同一 IP 地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？ 肯定是不怀好意的。 记录 2：5：29：11 61、114、155、11 试图连接本机的 http80端口 TCP 标志：S 该操作被拒绝 本机的 http80端口是 HTTP 协议的端口，主要用来进行 HTTP 协议数据交换，比如网页浏览，提供 WEB 服务。对于服务器，该记录表示有人通过此端口访问服务器的网页，而对于个人用户一般没这项服 务，如果个人用户在日志里见到大量来自不同 IP 和端口号的此类记录，而 TCP 标志都为 S（即连接请求） 的话，完了，你可能是受到 SYN 洪水攻击了。还有就是如“红色代码”类的病毒，主要是攻击服务器，也 会出现上面的情况。 记录 3：5：49：55 31、14、78、110 试图连接本机的木马冰河 7626端口 TCP 标志：S 该操作被拒绝 这就是个害怕的记录啦，假如本机没有中木马，也就没有打开 7626 端口，当然没什么事。而木马如 果已植入你的机子，你已中了冰河，木马程序自动打开 7626 端口，迎接远方黑客的到来并控制你的机子， 这时你就完了，但你装了防火墙以后，即使你中了木马，该操作也被禁止，黑客拿你也没办法。但这是常 见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得以 你的经验和资料来分析该端口的是和哪种木马程序相关联，从而判断对方的企图，并采取相应措施，封了 那个端口。 记录 4：6：12：33 接收到 228、121、22、55 的 IGMP 数据包 该包被拦截 这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于 组播的一种协议，实际上是对 Windows 的用户是没什么用途的，但由于 Windows 中存在 IGMP 漏洞，当 向安装有 Windows 9X 操作系统的机子发送长度和数量较大的 IGMP 数据包时，会导致系统 TCP/IP 栈崩 溃，系统直接蓝屏或死机，这就是所谓的 IGMP 攻击。在标志中表现为大量来自同一 IP 的 IGMP 数据包。 一般在自定义 IP 规则里已经设定了该规则，只要选中就可以了。 记录 5：6：14：20 192、168、0、110 的 1294 端口停止对本机发送数据包 TCP 标志：F A 继续下一规则 6：14：20 本机应答 192、168、0、110 的 1294 端口 TCP 标志：A 继续下一规则 从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明 此条数据的传输是符合规则的。为何有此记录，那是你在图八里防火墙规则中选了“TCP 数据包监视”，这 样通过 TCP 传输的数据包都会被记录下来，所以大家没要以为有新的记录就是人家在攻击你，上面的日 志是正常的。 防火墙的日志内容远不只上面几种，如果你碰到一些不正常的连接，自己手头资料和网上资料就是 你寻找问题的法宝，或上防火墙主页上看看，这有助于你改进防火墙规则的设置，使你上网更安全。 7、在线升级功能 现在天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面点 击一下在线升级，不到 2 分钟就可以完成整个升级过程，即快捷又方便。 点击后出现一个在线升级网络设置的提示框，如果你没有使用代理上网的就不用设置，直接下一步安 装规则包，这样就完成升级了。 IP 规则选勾保存规则，这样日志才会有记录的。 8、保护 SQL Server 如果机器上装了 SQL Server，怕别人从互联网上入侵，也得保护它，来设置一条“ 禁止其他人从互联 网连接我的 SQL Server”的规则吧。数据包方向设置成“接收”，对方的地址设置为“任何地址”，协议类型是 TCP，本机端口是 1433，满足这个条件的时候就拦截，同时记录。可是这样一来，和我在同一个局域网 内的其他本来允许连接的人就连接不上了，得为他们设一条允许通行的规则才行。数据包方向设置为“接 收”，对方的地址设置为“局域网的网络地址”，协议类型和本机端口同上，满足这个条件的时候通行。有了 这两条记录我就可以控制谁可以连接我的 SQL Server。要注意的是这两条规则的顺序一定要放对，不然 就达不到你的预期想法了。 9、允许迅雷访问网络 第一步： 鼠标右键单击桌面右下角的“天网防火墙” 图标，然后选择“系统设置”。 第二步： 在打开的窗口中选择左上角的第一个图标“应用程序规则” ，然后在窗口下方打开的列表中找到 “迅雷 5” 的图标。 第三步： 我们看到“迅雷 5”的标志后显示了一个红色的“ 叉”，我们现在用鼠标左键单击上面的 “钩”，然后会立即 弹出一个“ 应用程序规则高级设置 ”，不必理会他，直接点击“确定” 。 实验三 基于数字证书的身份验证实验 本实验需要 2 学时 一实验目的 1、 掌握数字证书的基本概念。 2、 利用公开密钥算法特性设计一种身份验证方法。 3、 掌握 windows 系统登录机制，利用本试验所设计的登录方法替换 windwos 的口令 登录方法。 二实验内容 1、设计一种基于公开密钥算法的集中式登录机制。 2、利用后台数据库保存所有用户的登陆信息和数字证书。实现对用户数字证书的集中 管理和访问； 3、编写用户注册模块，为用户颁发智能卡，并将用户的私钥存放在智能卡中，以后智 能卡可以利用该私钥进行加密、签名等运算，但该私钥不能从智能卡中取出。 4、编写 GINA 模块，该模块替换 windows 默认的 GINA 模块，使用智能卡进行身份验证， 并负责与认证模块进行交互。 5、编写认证模块，负责处理 GINA 的请求，并返回认证结果。 6、进行系统测试，用户能成功使用智能卡进行登录。 三实验环境 1、 PC1 台，安装 Windows 2000 pro 操作系统。 2、 用户的数字证书和对应的 PKCS12 文件多套。 四实验步骤 1、基于数字证书的身份验证算法设计 以下是一种使用数字证书的身份验证方式，本试验可参考该方式实现身份验证过程。 由于登录系统的特殊性，建议进行单向验证既可。 单向验证是从甲到乙的单向通信。它建立了甲和乙双方身份的证明以及从甲到乙的任 何通信信息的完整性。它还可以防止通信过程中的任何攻击。 双向验证与单向验证类似，但它增加了来自乙的应答。它保证是乙而不是冒名者发送 来的应答。它还保证双方通信的机密性并可防止攻击。 单向和双向验证都使用了时间标记。 单向验证如下： （1） 甲产生一个随机数 Ra。 （2） 甲构造一条消息，M=（Ta ，Ra，Ib ，d） ，其中 Ta 是甲的时间标记，Ib 是乙的 身份证明，d 为任意的一条数据信息。为安全起见，数据可用乙的公开密钥 Eb 加密。 （3） 甲将（Ca，Da（M） ）发送给乙。 （Ca 为甲的证书， Da 为甲的私人密钥） （4） 乙确认 Ca 并得到 Ea。他确认这些密钥没有过期。 （Ea 为甲的公开密钥） （5） 乙用 Ea 去解密 Da（M） ，这样既证明了甲的签名又证明了所签发信息的完整性。 （6） 为准确起见，乙检查 M 中的 Ib。 （7） 乙检查 M 中的 Ta 以证实消息是刚发来的。 （8） 作为一个可选项，乙对照旧随机数数据库检查 M 中的 Ra 以确保消息不是旧消 息重放。双向验证包括一个单向验证和一个从乙到甲的类似的单向验证。除了完成单向验 证的（1）到（8）步外，双向验证还包括： （9） 乙产生另一个随机数，Rb。 （10）乙构造一条消息，Mm=（Tb，Rb ，Ia，Ra，d） ，其中 Tb 是乙的时间标记，Ia 是甲的身份，d 为任意的数据。为确 保安全，可用甲的公开密钥对数据加密。Ra 是甲在 第 （1） 步中产生的随机数。 （11）乙将 Db（Mm）发送给甲。 （12）甲用 Ea 解密 Db（Mm） ，以确认乙的签名和消息的完整 性。 （13）为准确起见，甲检查 Mm 中 Ia。 （14）甲检查 Mm 中的 Tb，并证实消息是刚发送来的。 （15）作为可选项，甲可检查 Mm 中的 Rb 以确保消息不是重放的旧消息。 2、编写自己的 GINA 模块和验证模块，利用上述算法进行处理。 3、使用自己的 GINA 模块替换 windows 的默认模块，注意要在自定义 DLL 中实现 18 个接口才能完全替换。 可以有两种方式进行替换 （1）写注册表: 打开 regedit, 找到:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 在其中添加一个字符串项:ginadll,值为自己的 GINA 模块名(*.dll)。 （2）直接替换 MSGINA.DLL 在命令行方式下,更改 c:/windows/system32/msgina.dll 为在自己的 GINA 模块的名字。 复制自己的 GINA 模块到 c:/windows/system32 中，并更名成 msgina.dll。 4、完成配置后，重启系统，验证替换是否成功，是否能够使用数字证书进行成功的身 份认证。 【实验预备知识】 1、数字证书: 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的 文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下 证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息， 证书的格式遵循 ITUT X.509 国际标准。 一个标准的 X.509 数字证书包含以下一些内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称，命名规则一般采用 X.500 格式； 证书的有效期，现在通用的证书一般采用 UTC 时间格式，它的计时范围为 1950- 2049； 证书所有人的名称，命名规则一般采用 X.500 格式； 证书所有人的公开密钥； 证书发行者对证书的签名。 2、数字认证原理 数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。 每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥） ，用它进行解密和签名； 同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。 当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己 的私钥解密，这样信息就可