數字證書構成

⑴ 什麼是pki它由哪些部分組成

1、PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎設施；PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規范。

PKI 的組成部分：

1、認證中心CA CA 是PKI 的核心，CA 負責管理PKI 結構下的所有用戶（包括各種應用程序）的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，CA 還要負責用戶證書的黑名單登記和黑名單發布，後面有CA 的詳細描述。

2、X.500目錄伺服器X.500 目錄伺服器用於發布用戶的證書和黑名單信息，用戶可通過標準的LDAP協議查詢自己或其他人的證書和下載黑名單信息。

3、具有高強度密碼演算法(SSL)的安全WWW伺服器 Secure socket layer(SSL)協議最初由Netscape 企業發展，現已成為網路用來鑒別網站和網頁瀏覽者身份，以及在瀏覽器使用者及網頁伺服器之間進行加密通訊的全球化標准。

4、 Web（安全通信平台） Web 有Web Client 端和Web Server 端兩部分，分別安裝在客戶端和伺服器端，通過具有高強度密碼演算法的SSL 協議保證客戶端和伺服器端數據的機密性、完整性、身份驗證。

5、自開發安全應用系統 自開發安全應用系統是指各行業自開發的各種具體應用系統，例如銀行、證券的應用系統等。

完整的PKI 包括認證政策的制定（包括遵循的技術標准、各CA 之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等）、認證規則、運作制度的制定、所涉及的各方法律關系內容以及技術的實現等。

(1)數字證書構成擴展閱讀：

PKI的優勢：

1、 採用公開密鑰密碼技術，能夠支持可公開驗證並無法仿冒的數字簽名，從而在支持可追究的服務上具有不可替代的優勢。

這種可追究的服務也為原發數據完整性提供了更高級別的擔保。支持可以公開地進行驗證，或者說任意的第三方可驗證，能更好地保護弱勢個體，完善平等的網路系統間的信息和操作的可追究性。

2、 由於密碼技術的採用，保護機密性是PKI最得天獨厚的優點。PKI不僅能夠為相互認識的實體之間提供機密性服務，同時也可以為陌生的用戶之間的通信提供保密支持。

3、 由於數字證書可以由用戶獨立驗證，不需要在線查詢，原理上能夠保證服務范圍的無限制地擴張，這使得PKI能夠成為一種服務巨大用戶群的基礎設施。

PKI採用數字證書方式進行服務，即通過第三方頒發的數字證書證明末端實體的密鑰，而不是在線查詢或在線分發。這種密鑰管理方式突破了過去安全驗證服務必須在線的限制。

4、 PKI提供了證書的撤銷機制，從而使得其應用領域不受具體應用的限制。撤銷機制提供了在意外情況下的補救措施，在各種安全環境下都可以讓用戶更加放心。

另外，因為有撤銷技術，不論是永遠不變的身份、還是經常變換的角色，都可以得到PKI的服務而不用擔心被竊後身份或角色被永遠作廢或被他人惡意盜用。為用戶提供「改正錯誤」或「後悔」的途徑是良好工程設計中必須的一環。

5、 PKI具有極強的互聯能力。不論是上下級的領導關系，還是平等的第三方信任關系，PKI都能夠按照人類世界的信任方式進行多種形式的互聯互通，從而使PKI能夠很好地服務於符合人類習慣的大型網路信息系統。

PKI中各種互聯技術的結合使建設一個復雜的網路信任體系成為可能。PKI的互聯技術為消除網路世界的信任孤島提供了充足的技術保障。

⑵ 數字簽名，電子簽名和數字證書之間的區別是什麼

數字簽來名是電子簽名的一種自形式，是電子簽名的子集。

電子簽名是指任何數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據；而狹義的電子簽名即使用PKI體系進行的數字簽名。

數字證書是由權威公證的第三方認證機構（即CA，Certificate Authority）負責簽發和管理的、個人或企業的網路數字身份證明。

(2)數字證書構成擴展閱讀:

我們個人在現實生活中需要身份證來確認並表明自己的身份，在網路世界也就需要數字證書來確認並表明自己的身份。數字證書以密碼學為基礎，採用數字簽名、數字信封、時間戳服務等技術，在互聯網上建立起有效的信任機制，具體來說，它主要包含證書所有者的信息、證書所有者的公開密鑰和證書頒發機構的簽名等內容。

⑶ CA認證分級密鑰的結構,及公式,每一級的結構,及結構圖詳細解釋

----政府上網和電子商務是今年計算機應用領域的兩大熱點。要推廣這兩方面的應用，解決網路安全是其中十分關鍵的一環，例如不久前中國人民銀行籌建的金融認證中心（RootCA）就是為建設我國電子商務提供安全保障的基礎設施。

----那麼，到底什麼是認證中心呢？在回答這個問題之前，我們首先需要介紹數字證書的概念。

----數字證書就是網路通信中標志通信各方身份信息的一系列數據，其作用類似於現實生活中的身份證。它是由一個權威機構發行的，人們可以在交往中用它來識別對方的身份。數字證書的格式一般採用X.509國際標准。一個標準的X.509數字證書包含以下一些內容：

證書的版本信息；
證書的序列號，每個用戶都有一個唯一的證書序列號；
證書所使用的簽名演算法；
證書的發行機構名稱，命名規則一般採用X.400格式；
證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時范圍為1950～2049；
證書所有人的名稱，命名規則一般採用X.400格式；
證書所有人的公開密鑰（關於公開密鑰的信息詳見非對稱密碼演算法的有關內容）；
證書發行者對證書的簽名。
----此外，X.509證書格式還預留了擴展，用戶可以根據自己的需要進行擴展。目前比較典型的擴展如：MicrosoftIE的擴展、Netscape的擴展和SET（SecureElectronicTransaction）的擴展等。

----我們可以使用數字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統，從而保證：信息除發送方和接收方外不被其他人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對於自己發送的信息不能抵賴。

----認證中心就是一個負責發放和管理數字證書的權威機構。對於一個大型的應用環境，認證中心往往採用一種多層次的分級結構，各級的認證中心類似於各級行政機關，上級認證中心負責簽發和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。處在最高層的是金融認證中心（RootCA），它是所有人公認的權威，如人民銀行總行的CA。認證中心的系統結構如下圖所示。

----認證中心主要有以下幾種功能：

----證書的頒發

----中心接收、驗證用戶（包括下級認證中心和最終用戶）的數字證書的申請，將申請的內容進行備案，並根據申請的內容確定是否受理該數字證書申請。如果中心接受該數字證書申請，則進一步確定給用戶頒發何種類型的證書。新證書用認證中心的私鑰簽名以後，發送到目錄伺服器供用戶下載和查詢。為了保證消息的完整性，返回給用戶的所有應答信息都要使用認證中心的簽名。

----證書的更新

----認證中心可以定期更新所有用戶的證書，或者根據用戶的請求來更新用戶的證書。

----證書的查詢

----證書的查詢可以分為兩類，其一是證書申請的查詢，認證中心根據用戶的查詢請求返回當前用戶證書申請的處理過程；其二是用戶證書的查詢，這類查詢由目錄伺服器來完成，目錄伺服器根據用戶的請求返回適當的證書。

----證書的作廢

----當用戶的私鑰由於泄密等原因造成用戶證書需要申請作廢時，用戶需要向認證中心提出證書作廢請求，認證中心根據用戶的請求確定是否將該證書作廢。

----另外一種證書作廢的情況是證書已經過了有效期，認證中心自動將該證書作廢。認證中心通過維護證書作廢列表(CertificateRevocationList，CRL)來完成上述功能。

----證書的歸檔

----證書具有一定的有效期，證書過了有效期之後就將被作廢，但是我們不能將作廢的證書簡單地丟棄，因為有時我們可能需要驗證以前的某個交易過程中產生的數字簽名，這時我們就需要查詢作廢的證書。基於此類考慮，認證中心還應當具備管理作廢證書和作廢私鑰的功能。

----總的說來，基於認證中心的安全方案應該很好地解決網上用戶身份認證和信息安全傳輸問題。一般一個完整的安全解決方案包括以下幾個方面：

----認證中心的建立；

----密碼體制的選擇，現在一般都採用混合密碼體制（即對稱密碼和非對稱密碼的結合）；

----安全協議的選擇，目前較常用的安全協議有：SSL（SecureSocketLayer）、S－HTTP（SecureHTTP）和SET等。

----其中，認證中心的建立是實現整個網路安全解決方案的關鍵和基礎，它的建立對Internet上電子商務與政府上網應用的開展具有非常重要的意義。

幾個著名的
電子商務協議
中國科學院數學研究所
周龍驤

--------------------------------------------------------------------------------

一Digicash
----Digicash是一個匿名的數字現金協議。所謂匿名是指消費者在消費中不會暴露其身份，例如現金交易(雖然鈔票有號碼，但交易中一般不會加以記錄)。該協議的步驟如下：
消費者從銀行取款，他收到一個加密的數字錢幣(Token)，此Token可當錢用；
消費者對該Token作加密變換，使之仍能被商家檢驗其有效性，但已不能追蹤消費者的身份；
消費者在某商家消費即使用該Token以購物或購買服務，消費者進一步對該Token用密碼變換以納入商家的身份；
商家檢驗該Token以確認以前未收到過此Token；
商家給消費者發貨；
商家將該電子Token送銀行；
銀行檢驗該Token的唯一性。至此消費者的身份仍保密。除非銀行查出該Token被消費者重復使用，則消費者的身份將會被暴露，消費者的欺詐行為也暴露了。
----在以上的第3步若發生了通信故障，則消費者無法判斷商家究竟是否已收到該電子Token。此時消費者有兩種選擇：

將其電子Token返回給銀行或到另一商家處消費。如果消費者這樣做了，而商家事實上在第3步已收到了該Token，則當商家去銀行將該Token兌現時會發現該Token的重復使用。
消費者不採取行動，既不另行消費也不退還給銀行。如果消費者這樣做了，而商家在第3步事實上未收到該Token，則商家自然不會發貨。這樣一來，消費者既未收到所購之物，也未花費該電子錢幣，肯定受到了損失。
----可見該數字現金協議是有缺陷的。

二FirstVirtual
----FirstVirtual允許客戶自由地購買商品，然後FirstVirtual使用E

⑷ SSL數字證書是由哪些構成的

SSL證書區分3個類型：EV、OV、DV
DV SSL證書：也就是域名型SSL證書，所以該類型SSL證書申請時，CA只審核域名的所有權。由於整個申請流程由系統自動完成，不需人工，所以DV證書往往申請時間快、價格便宜。由於該證書的驗證簡單，其安全等級也就相對較低，適合一些個人站或者博客類網站。
OV SSL證書：被稱之為組織型或者企業型證書，通過證書名稱可以看出適用於企業、政府等機構網站。因為申請OV證書時，域名所有者的身份必須通過人工驗證，否則無法申請。因此OV SSL證書是許多中小企業網站不錯的選擇，但也存在一個不大不小的不足，那就是證書不夠直觀，但安全等級是足夠的。
EV SSL證書：的中文名稱是高級或增強型證書。從字面我們就能了解到，EV證書的功能比DV、OV證書都強大。事實上，EV證書也是安全級別最高的SSL證書。該證書的展示更直觀，不僅地址欄會變綠，而且還會顯示企業名稱等，這樣用戶可以一目瞭然看到企業真實性等。通常這類證書都是大型企業、銀行、金融等網站使用多。
三個類型分別區分：單域名、多域名和通配符、多域名通配符：
單域名型SSL證書：就不需要多講，也就是普通的一張證書只支持一個域名(但網站域名帶www和不帶歸總為一個域名)。
多域名證書：也就是申請一張多域名SSL證書可以實現保護多個網址域名的效果，等你有新的域名需要保護時，添加域名即可。雖然每增加一個域名都要支付一定費用，但價格比重新申請一張證書劃算很多，還省去了重新審核的時間。
通配符型證書：就是能夠保護一個主域名以及其下一級的所有子域名，對於具有大量二級域名的用戶非常適合。但通配符證書有一個缺陷，即出於安全考慮，EV類型不支持通配符證書，EV僅支持多域名或單域名。
通配符多域名SSL證書：是指多個主域名旗下子域名無限制信任，最大化的使用。

⑸ 構成PKI的主要要素

容器雲強勢上線！快速搭建集群，上萬Linux鏡像隨意使用
PKI（Public Key Infrastructure ）即"公開密鑰體系"，是一種遵循既定標準的密鑰管理平台,它能夠為所有網路應用提供加密和數字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。

PKI的基礎技術包括加密、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。

PKI的基本組成

完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用介面（API）等基本構成部分，構建PKI也將圍繞著這五大系統來著手構建。

認證機構（CA）：即數字證書的申請及簽發機關，CA必須具備權威性的特徵；

數字證書庫：用於存儲已簽發的數字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰；

密鑰備份及恢復系統：如果用戶丟失了用於解密數據的密鑰，則數據將無法被解密，這將造成合法數據丟失。為避免這種情況，PKI提供備份與恢復密鑰的機制。但須注意，密鑰的備份與恢復必須由可信的機構來完成。並且，密鑰備份與恢復只能針對解密密鑰，簽名私鑰為確保其唯一性而不能夠作備份。

證書作廢系統：證書作廢處理系統是PKI的一個必備的組件。與日常生活中的各種身份證件一樣,證書有效期以內也可能需要作廢，原因可能是密鑰介質丟失或用戶身份變更等。為實現這一點,PKI必須提供作廢證書的一系列機制。

應用介面（API）：PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用介面系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保安全網路環境的完整性和易用性。

通常來說，CA是證書的簽發機構,它是PKI的核心。眾所周知，構建密碼服務系統的核心內容是如何實現密鑰管理。公鑰體制涉及到一對密鑰（即私鑰和公鑰），私鑰只由用戶獨立掌握，無須在網上傳輸，而公鑰則是公開的，需要在網上傳送，故公鑰體制的密鑰管理主要是針對公鑰的管理問題，目前較好的解決方案是數字證書機制。

⑹ 數字證書,電子簽名,電子簽章他們之間的關系是什麼

一、性質不同

1．數碼證書：指由核證機關發出的電子文件。它是一組數字，可以指示網路用戶的身份信息，並提供一種在計算機網路上驗證網路用戶身份的方法。

2．電子簽章：指電子形式的數據，用來識別簽名者的身份，表明簽名者能夠識別與電子信息相關的電子信息的內容（電子文件、電子信息）。

3．電子簽名：是指在數據的電子報文中以電子形式包含的數據。附加的目的是識別簽名者並顯示簽名者對內容的批准。

二、使用特點不同

1．數字證書：證書用戶應用程序將有兩個不同的證書，計算機工作和用於驗證用戶的信息交互，如果使用電腦，用戶將需要用於驗證用戶使用計算機的證書，做一個備份這樣即使別人盜取證書，也不能獲得用戶帳戶的信息,確保賬戶信息。

2．電子印章：電子印章克服了傳統印章的許多缺陷，提供了更好的安全性。電子印章符合傳統習俗，使得電子簽名可見，促進了電子簽名在從傳統辦公風格向信息辦公風格轉變的過程中得到普及和應用。

3．電子簽名：是通過計算機來轉換成手工簽名的。

(6)數字證書構成擴展閱讀：

簡單地說，電子簽名是一種利用哈希演算法和加密演算法直接對電子文件進行簽名和蓋章的技術。為了保證所簽署的電子文件的法律效力，使用電子簽名簽署的電子文件還需要具備識別簽名身份、不篡改簽名內容的特點。

然而上述技術術語的解釋並不能直接、簡單地解釋電子簽名的原理，以下是通過還原電子簽名的過程介紹的實現原理：

場景：由於業務需要，您和我需要簽署合作協議，為了方便，可以把電子版的合同發到網上讓簽字。

⑺ 簡述PKI的目的、組成和功能

PKI的利用公鑰密碼學的理論基礎，建立起一種普遍適用的基礎設施，為各種網路應用提供全面的安全服務。PKI功能包括管理加密密鑰和證書的公布，提供密鑰管理、證書管理和策略管理等。

應用PKI技術的完整的系統主要包括：CA數字認證中心、數字證書目錄伺服器、具有高強度密碼演算法(SSL)的安全伺服器、Web(安全通信平台)、應用PKI技術的信息化系統。

(7)數字證書構成擴展閱讀：

PKI是目前應用最為廣泛的一種加密和認證體系，其安全性建立在負載的數學運算方式上，能夠有效解決身份認證、訪問控制、數據安全、數字簽名及驗證等諸多安全問題。PKI中核心載體為數字證書，即由具有公信力的機構為個人頒發的身份證明，其可看作個人在虛擬網路世界的身份證。

典型、完整、有效的PKI體系一般包括數字證書認證系統（CA）、證書注冊系統（RA）、密鑰管理系統（KM）、目錄服務系統（LDAP）及在線證書狀態驗證系統（OCSP）等。

參考資料來源：網路-PKI

⑻ ssl的組成有哪幾部分，他們的作用是什麼

1、SSL記錄協議

建立在可靠的傳輸協議（如TCP）之上，具有實現壓縮/解壓縮、加密/解密、計算機MAC等與安全有關的操作。

2、SSL握手協議

建立在SSL記錄協議之上，用來在客戶端和服務端傳輸應用數據而建立的。用於實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密密鑰等。

(8)數字證書構成擴展閱讀

SSL安全優勢

1、監聽和中間人式攻擊

SSL使用一個經過通信雙方協商確定的加密演算法和密鑰，對不同的安全級別應用都可找到不同的加密演算法，從而用於數據加密。具有較好的密鑰保護性能，以及頻繁更換密鑰的特點，因此對監聽和中間人式攻擊而言，具有較高的防範性。

2、流量數據分析式攻擊

流量數據分析式攻擊的核心是通過檢查數據包的未加密欄位或未加保護的數據包屬性，試圖進行攻擊。在一般情況下該攻擊是無害的，SSL無法阻止這種攻擊。

3、截取再拼接式攻擊

對需要較強的連接加密，需要考慮這種安全性。SSL V3.0基本上可阻止這種攻擊。

4、報文重發式攻擊

報文重發式攻擊比較容易阻止，SSL通過在MAC數據包中包含「系列號」來防止該攻擊。

⑼ 數字證書包括哪些內容

數字證書包括：公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數字簽名。數字證書還有一個重要的特徵就是只在特定的時間段內有效。

數字證書是一種權威性的電子文檔，可以由權威公正的第三方機構，即CA(例如中國各地方的CA公司)中心簽發的證書，也可以由企業級CA系統進行簽發。

它以數字證書為核心的加密技術(加密傳輸、數字簽名、數字信封等安全技術)可以對網路上傳輸的信息進行加密和解密、數字簽名和簽名驗證，確保網上傳遞信息的機密性、完整性及交易的不可抵賴性。使用了數字證書，即使您發送的信息在網上被他人截獲，甚至您丟失了個人的賬戶、密碼等信息，仍可以保證您的賬戶、資金安全。

它是能提供在 Internet 上進行身份驗證的一種權威性電子文檔，人們可以在互聯網交往中用它來證明自己的身份和識別對方的身份。當然在數字證書認證的過程中證書認證中心(CA)作為權威的，公正的，可信賴的第三方，其作用是至關重要的。如何判斷數字認證中心公正第三方的地位是權威可信的?截至2014年3月11日，國家工業和信息化部以資質合規的方式，陸續向30多家相關機構頒發了從業資質。

由於 Internet 電子商務系統技術使得顧客在網上購物時能夠極其方便地獲得商家和企業的信息,但同時也增加了對某些敏感或有價值的數據被濫用的風險。為了保證互聯網上電子交易及支付的安全性，保密性等，防範交易及支付過程中的欺詐行為，必須在網上建立一種信任機制。這就要求參加電子商務的買方和賣方都必須擁有合法的身份，並且在網上能夠有效無誤的被進行驗證。

數字證書可用於:發送安全電子郵件、訪問安全站點、網上證券交易、網上招標采購、網上辦公、網上保險、網上稅務、網上簽約和網上銀行等安全電子事務處理和安全電子交易活動。

⑽ 可靠電子簽名的構成要件

根據《電子簽名法》的規定，以我們為例說一下電子簽名需要滿足的條件主體確認：在中國，工業和信息化部頒布《電子認證服務管理辦法》規定「電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務」。

聯合國《電子商務示範法》中規定，電子簽名是包含、附加在某一數據電文內，或邏輯上與某一數據電文相聯系的電子形式的數據，它能被用來證實與此數據電文有關的簽名人的身份。

並表明該簽名人認可該數據電文所載信息;歐盟的《電子簽名指令》規定，「電子簽名」泛指「與其他電子記錄相連的或在邏輯上相連並以此作為認證方法的電子形式數據。」

發件人使用CA發布的收件人的公鑰對文件加密，並用自己的密鑰對文件進行簽名。當收件人收到文件後，先用發件人的公鑰對解析簽名，證明此文件確為發件人發的。接著用自己的私鑰對文件解密並閱讀。

電子簽名是現代認證技術的泛稱，美國《統一電子交易法》規定，「電子簽名」泛指「與電子記錄相聯的或在邏輯上相聯的電子聲音、符號或程序，而該電子聲音、符號或程序是某人為簽署電子記錄的目的而簽訂或採用的」。