证书的基本结构与编码.ppt

随着数字证书的结构、说明和编码、前言、计算机和网络技术的发展，人类进入信息社会，引起了关注的信息安全问题。现代密码学已成为信息安全技术的核心，基于数字签名的数字证书是现代密码学的主要研究内容之一。数字证书技术在身份和认证、数据完整性、拒绝等方面起着不可替代的作用，在军事、电子商务和电子政府领域应用非常广泛。数字证书在信息传输中具有确认用户身份、确保信息传递的安全性、合法性和完整性的作用，是公钥基础设施的重要组成部分。第三方软件在数字证书验证方面的应用存在很多问题，如安全性不够彻底、证据信息分析不够彻底等，因此，对数字证书验证过程的研究分析、数字证书验证代码的全面自行开发，建立有效的公钥基础设施，对信息传输安全具有重要作用。本文的目的是彻底分析数字证书的基本结构、描述方法、编码、X.509数字证书实例等数字证书。主要内容、数字证书的基本结构数字证书的说明方法数字证书的编码X.509数字证书结构X.509数字证书详细说明X.509数字证书实例、数字证书的基本结构、一个数字证书的内容、由签名算法和签名结果组成、证书的基本结构、数字证书的基本结构、证书实例：internet选项-内容、数字证书的基本结构、数字证书的基本结构要使所有应用程序都能正确识别证书内容，必须考虑向后和向后兼容性。因此，通过在证书中显示自己的格式版本，应用程序可以根据不同的格式定义正确读取不同的证书。证书主体1)证书持有者(订户)2)证书许可证以及证书所有权3)证书可以复制或转发给其他人。具体而言，证书主体应首先表示证书id、公钥及其私钥主体公钥内容1)PKI独立于算法，实际上可以使用多种算法2)在公钥信息中使用的公钥算法。公共密钥信息自签发者证书管理机构-CA注意：如果PKI系统中信任的第三方(TrustedThirdParty，TTP)、数字证书的基本结构、序列号1)证书编号2)颁发者命名可以满足唯一性要求，则CA将显示以下消息：“颁发者(3)长期使用同一密钥不安全，证书持有者的信息可能会随着时间的推移而发生变化，因此，必须为证书设置包含开始和结束时间的“有效期”。4)本质上，CA负责保持证书状态的时间范围。在此期间，CA必须正确扩展证书持有者和公钥绑定关系，以提供用户或公钥与证书管理评级系统相结合的其他属性，数字证书的说明方法，证书的说明必须以正确的语言表示，以便PKI系统的各个组件正确处理证书，并使各种应用程序系统能够从证书中正确获取公钥和持有者的信息。基本要求1)简洁的2)没有模糊的自然语言和编程语言不能满足要求的情况下，1)自然语言a .多语言b .同一语言的多元性和多义性2)编程语言a .更严格的语法和更明确的数据结构表达b .但是，根据平台相关的编译器，相同的数据类型在不同的系统上可以不同地实现。节目语言对内容的顺序也没有严格规定。abstract syntax notitione(ASN.1)抽象语法表达可以满足ASN . 1的要求。法律标准是一种简单而无歧义的内容说明语言。数字证书说明方法，ASN.1语法表示法标准1) abstracctsynctaxnetationone抽象语法表示法2)是描述数据的表示法、编码、传输和解码的灵活表示法。此外，描述独立于特定计算机硬件的对象结构没有公式和模糊性，并提供了精确的规则集。3)ASN.1是ISO和ITU-T的联合标准，最初是1984年ccitx.409636013的一部分。由于广泛使用，1988年ASN.1转移到了独立标准X.208，1995年进行了全面修订，成为了X.680系列标准。4)ASN.1本身仅定义表示信息的抽象语法，但没有限定其编码的方法。ASN.1首先定义一定数量的“简单类型”，然后使用更复杂的“配置类型”1)简单类型2)配置类型3)其他关键字、数字证书说明方法、简单类型、数字证书说明方法、配置类型、其他关键字、数字证书的编码、ASN.1ASN.1定义证书中应包含的内容的确切类型。无异议内容类型的实际聚合可以说是ASN.1解决了高级设计师之间的交流问题，编码方式解决了机器之间的交流问题。编码将定义为ASN.1的各种数据类型的值映射到位流，在不同通信对象之间传递，并对每个通信对象所传递的信息有模糊的理解。1)“TLV”方法可以完全表示特定类型的数据2)类型type、长度和值3)解码时，可以首先确定数据的类型并选择处理方法。然后，可以获取数据长度并准备处理。最后，可以正确获取数据本身的值。数字证书的编码、简单类型的编码、数字证书的编码、配置类型和其他、X.509数字证书结构、X.509数字证书结构的基本部分版本号是标识证书版本序列号的证书的唯一整数，是证书颁发者分配的此证书的唯一标识符。签名是签证书中使用的算法id，由对象标识符和相关参数组成，用于说明此证书中使用的数字签名算法。例如，SHA-1和RSA中的对象标识符用于指示数字签名使用RSA加密SHA-1散列。颁发者证书颁发者的可识别名称(DN)。有效证书的有效期。此字段包含“NotBefore”和“NotAfter”，分别显示为UTC时间或正常时间(RFC2459具有详细的时间显示规则)。主体证书所有者的可标识名称，如果证书扩展没有别名，则此字段必须为空。主体公钥信息主体的公钥(和算法标识符)。颁发者唯一标识符-证书发行者的唯一标识符主体唯一标识符证书所有者的唯一标识符，X.509数字证书结构，X.509数字证书结构的扩展部分发行者密钥标识符证书中包含的密钥的唯一标识符，用于区分同一证书所有者的多个密钥对。密钥使用位字符串来表示证书的公钥可以执行的功能或服务(例如证书签名、数据加密等)。如果证书将KeyUsage扩展标记为“重要”，并将keyCertSign设置为“重要”，则在SSL通信期间出现证书时将拒绝证书扩展，因为证书扩展表明相关私钥(而不是SSL)应仅用于写入证书。CRL分发点CRL的分发位置私钥的有效期表示与证书中公钥相关联的私钥的有效期，由NotBefore和NotAfter组成。如果此条目不存在，则公共私钥的有效期由描述证书颁发和策略使用相关策略映射的对象标识符和限定符组成。CA证书中只存在代表证书所有者的别名(如电子邮件地址、IP地址等)的主体别名。别名是与DN绑定的发布者别名，表示证书发布者的别名，例如电子邮件地址、IP地址等。但是，发布者的DN必须表示证书的发布者字段主体目录属性中证书所有者的一组属性，您可以使用此条目来传递访问控制信息。X.509证书详细说明，certificate 3336363603360=sequence tbscrtficatetbscsitate，signatural goritthmalgoritthmidentifier，signatural goritthmalgoritthmidentifier 证书全部内容开始且未结构化的长代码证书主体证书签名算法仅存在于证书签名值(注1)证书版本号证书序列号(注2)证书签名算法标识证书颁发者名称证书有效期证书主体名称证书公钥证书颁发者ID(可选)，证书主体ID仅存在于证书版本2、3中(可选)，仅存在于证书版本2和3中注：证书签名值是使用signatureAlgorithm部分中指定的签名算法在tbsCertifiCAte证书主题部分中签名的值。注：证书序列号、由同一ca颁发的证书、序列号唯一标识证书、X.509证书详细资料说明、parameters : DSS-parms 33363603360=Sequence p integer，q integer DSA(DSS)算法中的参数，如果RSA算法没有此参数sha1DSA签名算法，则为签名值，X.509证