- 浏览: 1504951 次
- 性别:
- 来自: 厦门
文章分类
- 全部博客 (516)
- Java (49)
- Java/Struts 2.0 (25)
- Java/Spring、Spring MVC (11)
- Java/Quartz (3)
- Java/Lucene (6)
- Java/Hibernate (19)
- Java/openJPA (7)
- Java/DWR (7)
- Java/Security、Spring Security/OAuth2 (6)
- Java/Threading (9)
- Java/XML (22)
- java/design pattern (4)
- Android (2)
- JavaScript (46)
- jquery (3)
- DB/MySQL (23)
- DB/Oracle (16)
- PHP (25)
- CSS (20)
- Linux (38)
- C/C++、DLL、Makefile、VC++ (31)
- 正则 (9)
- Eclipse (4)
- 安全、网络等概念 (25)
- 集群 (7)
- 网页 (5)
- 视频\音频 (1)
- HTML (6)
- 计算机数学/算法 (3)
- Virtualbox (1)
- LDAP (2)
- 数据挖掘 (6)
- 工具破解 (1)
- 其他 (13)
- Mail (1)
- 药材 (3)
- 游戏 (2)
- hadoop (13)
- 压力测试 (3)
- 设计模式 (3)
- java/Swing (2)
- 缓存/Memcache (0)
- 缓存/Redis (1)
- OSGI (2)
- OSGI/Gemini (0)
- 文档写作 (0)
- java/Servlet (3)
- MQ/RabbitMQ (2)
- MQ/RocketMQ (0)
- MQ/Kafka (1)
- maven (0)
- SYS/linux (1)
- cache/redis (1)
- DB/Mongodb (2)
- nginx (1)
- postman (1)
- 操作系统/ubuntu (1)
- golang (1)
- dubbo (1)
- 技术管理岗位 (0)
- mybatis-plus (0)
最新评论
-
pgx89112:
大神,请赐我一份这个示例的项目代码吧,万分感谢,1530259 ...
spring的rabbitmq配置 -
string2020:
不使用增强器 怎么弄?
OpenJPA的增强器 -
孟江波:
学习了,楼主,能否提供一份源代码啊,学习一下,十分感谢!!!4 ...
spring的rabbitmq配置 -
eachgray:
...
spring-data-redis配置事务 -
qljoeli:
学习了,楼主,能否提供一份源代码啊,学习一下,十分感谢!!!1 ...
spring的rabbitmq配置
原文连接: http://www.cnblogs.com/bjrmt/archive/2006/08/17/479728.html
在和CA进行一些接触时,我们常常会听到一个名词: X.509。它是一种行业标准或者行业解决方案,在X.509方案中,默认的加密体制是公钥密码体制。为进行身份认证,X.509标准及公共密钥加密系统提供了数字签名的方案。用户可生成一段信息及其摘要(亦称作信息"指纹")。用户用专用密钥对摘要加密以形成签名,接收者用发送者的公共密钥对签名解密, 并将之与收到的信息"指纹"进行比较,以确定其真实性。
此问题的解决方案即X.509标准与公共密钥证书。本质上,证书由公共密钥加密钥拥有者的用户标识组成,整个字块有可信赖的第三方签名。典型的第三方即大型用户群体(如政府机关或金融机构)所信赖的CA。
此外,X.509标准还提供了一种标准格式CRL,下面我们就来看一看 X.509标准下的证书格式极其扩展。
目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,但是都在原有版本(X.509 V1)的基础上进行功能的扩充,其中每一版本必须包含下列信息:
(1) 版本号
(2) 序列号;
(3) 签名算法标识符
(4) 认证机构
(5) 有效期限
(6) 主题信息
(7) 认证机构的数字签名
(8) 公钥信息
1、版本号:
用来区分X.509的不同版本号
2、序列号;
由CA给予每一个证书的分配唯一的数字型编号,当证书被取消时,实际上是将此证书的序列号放入由CA签发的CRL中;这也是序列号唯一的原因。
3、签名算法标识符:
用来指定用CA签发证书时所使用的签名算法。算法标识符用来指定CA签发证书时所使用的公开密钥算法和HASH算法,须向国际指明标准组织(如ISO)注册。
4、认证机构:
即发出该证书的机构唯一的CA的x.500名字;
5、有效期限:
证书有效的时间包括两个日期:证书开始生效期和证书失效的日期和时间。在所指定的这两个时间之间有效;
6、主题信息:
证书持有人的姓名、服务处所等信息;
7、认证机构的数字签名:
以确保这个证书在发放之后没有被撰改过;
8、公钥信息:
包括被证明有效的公钥值和加上使用这个公钥的方法名称;
X.509的扩展(V3)
X.509标准第三版在V2的基础上进行了扩展,V3引进一种机制。这种机制允许通过标准化和类的方式将证书进行扩展包括额外的信息,从而适应下面的一些要求一:
(1)一个证书主体可以有多个证书;
(2)证书主体可以被多个组织或社团的其他用户识别;
(3)可按特定的应用名(不是X.500名)识别用户,如将公钥同EMAIL地址联系起来;
(4)在不同证书政策和实用下会发放不同的证书,这就要求公钥用户要信赖证书;证书并不限于这些标准扩展,任何人都可以向适当的权利机构注册一种扩展。将来会有更多的适于应用的扩展列入标准扩展集中。值得注意的是这种扩展机制应该是完全可以继承的。
每一种扩展包括三个域:类型、可否缺省、值
类型字段定义了扩展值字段中的数据类型。这个类型可以是简单的字符串,数值,日期,图片或一个复杂的数据类型。为便于交互,所有的数据类型都应该在国际知名组织进行注册。
是否可缺省字段是一比特标识位。当一扩展标识为不可缺省时,说明相应的扩展值非常重要,应用程序不能忽略这个信息。如果使用一特殊证书的应用程序不能处理该字段的内容,就应该拒绝此证书。
扩展值字段包含了这个扩展实际的数据。
公开密钥证书的标准扩展可以分为以下几组:
· 密钥和政策信息,包括机构密钥识别符、主体密钥识别符、密钥用途(如数字签字,不可否认性 、密钥加密、数据加密、密钥协商、证书签字、CRL签字等),密钥使用期限等;
· 主体和发证人属性,包括主体代用名、发证者代用名、主体检索属性等;
· 证书通路约束,包括基本约束,指明是否可以做证书机构。
· 与CRL有关的补充;
X.509是国际标准化组织CCITT建议作为X.500目录检索的一部分提供安全目录检索服务。一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息一种非常通用的证书格式,所有的证书都符合X.509 国际标准。目前X.509有不同的版本,例如 X.509 V2和x.509 v3都是目前比较新的版本,但是都在原有版本基础上进行功能的扩充,其中每一版本必须包含下列信息:
(1) 用来区分X.509的不同版本号既版本号
(2) 由CA给予每一个证书的分配的编号即序列号;
(3) 用于产生证书所用的方法以及一切参数即签名算法
(4) CA的x.500名字即发出该证书的认证机构
(5) 证书有效的时间包括两个日期,在所指定的两个时间之 间有效即有效期限
(6) 证书持有人的姓名、服务处所等信息即主题信息
(7) 认证机构的数字签名
(8) 被证明的公钥值,加上使用这个公钥的方法名称即公钥信息
PKI (Public-Key Infrastructure) 公钥体系基础框架。
PKIX (Public-Key Infrastructure Using X.509)使用X.509的公钥体系基础框架。
X.500 由ISO和ITU提出的用于为大型网络提供目录服务的标准体系。
X.509 为X.500提供验证(Authenticating)体系的标准。
PKCS(Public Key Cryptography Standards)公钥加密标准,为PKI提供一套完善的标准体系。
对于任何基于公钥体系的安全应用,必须确立其PKI。而电子签证机关(CA)是PKI中的一个关键的组成部分,它主要涉及两方面的内容,即公钥证书的发放和公钥证书的有效性证明。在PKIX中,CA遵循 X.509标准规范。
X.509最早的版本X.509v1是在1988年提出的,到现在已升级到X.509v3,现将其涉及到的主要内容以及与前版本的比较列于下表。
X.509 PKI国际标准更新版本对照表
X.509 PKI 主要特性
X.509 v1 & 2 X.509 v3
证书信息 只有X.500 实体名,包括CA、证主(subject)名,证主公钥及其有效期。 充分扩展,可包含任何信息。
CA 规范 CA体系鼓励带交叉的层状树型结构,无信任限制规范。 CA体系鼓励带交叉的层状树型结构,有信任限制规范。
CA "证主 " 用户 CA、证主、用户在概念上严格区分
CA "证主" 用户信任关系 认为每个用户至少信任一个CA。CA无法操纵与其它CA、证主及用户间的信任关系。 认为每个用户至少信任一个CA。CA可以规范与其它CA及证主间的信任关系。
证书有效性验证方式 离线方式,通过检查证书有效期及是否出现在最近的CRL(证书吊销表)上。 支持离线与在线方式。
证书吊销方法 简单CRL。 复杂的CRL,通过功能扩展支持在线方式。
证书形式特点 身份形式的证书。 主要还是身份形式的证书,但支持信任委托形式的证书。
匿名性 匿名程度依赖于 X.500 条目的匿名程度。 扩展功能支持彻底的匿名服务。
X.509证书格式
X.509是另一种非常通用的证书格式。所有的证书都符合ITU-T X.509国际标准;因此(理论上)为一种应用创建的证书可以用于任何其他符合X.509标准的应用。但实际上,不同的公司对X.509证书进行了不同的扩展,不是所有的证书都彼此兼容。在一份证书中,必须证明公钥及其所有者的姓名是一致的。对PGP证书来说,任何人都可以扮演认证者的角色。对X.509 证书来说,认证者总是 CA或由CA指定的人(其实PGP证书也完全支持使用CA来确认证书的体系结构),一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。X.509标准定义了证书中应该包含哪些信息,并描述了这些信息是如何编码的(即数据格式),所有的X.509证书包含以下数据:
<>X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息。目前的版本是3。
<>证书持有人的公钥:包括证书持有人的公钥,算法(指明密钥属于哪种密码系统)的标示符和其他相关的密钥参数。
<>证书的序列号:创建证书的实体(组织或个人)有责任为该证书指定一个独一无二的序列号,以区别于该实体发布的其他证书。序列号信息有许多用途;比如当一份证书被回收以后,它的序列号就被放入证书回收列表(CRL)之中。
<>证书持有人唯一的标示符:(或称DN-distinguished name)这个名字在 Internet上应该是唯一的。DN由许多部分组成,看起来象这样:
CN=Bob Allen, OU=Total Network Security Division,
O=Network Associates, Inc., C=US
这些信息指出该科目的通用名,组织单位,组织和国家
<>证书的有效期:证书起始日期和时间以及终止日期和时间;指明证书何时失效。
<>证书发布者的唯一名字:这是签发该证书的实体的唯一名字。通常是CA。.使用该证书意味着信任签发证书的实体。(注意:在某些情况下,比如根或顶级CA证书,发布者自己签发证书)
<>发布者的数字签名:这是使用发布者私钥生成的签名。
<>签名算法的标示符:指明CA签署证书所使用的算法。
X.509证书和PGP证书之间有许多不同,最明显的如下所述:
<>用户可以创建自己的PGP证书,但是必须向CA请求才能得到一份X.509证书。
<>X.509证书天生只支持密钥拥有者的一个名字。
<>X.509证书只支持证明密钥合法性的一个数字签名。
要获得一份X.509证书,必须请求CA发给你证书。用户提供自己的公钥,证明自己拥有相应的私钥,并提供有关自己的某些特定信息。然后在这些信息上数字签名,并将整个数据包(称为证书请求)发给CA。CA做一些努力来验证用户提供的信息是正确的,然后就生成证书并返回给用户。
一份X.509证书看起来很象一份带公钥的标准书面证书(类似于基础急救班的结业证书)。证书中包含名字和一些有关的个人信息,加上颁发证书人的签名。
当前X.509证书最广泛的使用大概是在Web浏览器之中。
发表评论
-
客户端用https连接服务器的一点心得
2016-05-11 17:13 491转自:http://dannyyuan.blog.51ct ... -
解决PKIX:unable to find valid certification path to requested target 的问题
2016-05-11 17:11 883转自:http://blog.csdn.net/ ... -
cookie的secure、httponly属性设置
2014-03-04 16:19 17072转载自:http://www.cnblogs ... -
框架注入漏洞
2014-02-27 16:21 72442 详细描述 攻击者有可能注入含有恶 ... -
链接注入漏洞
2014-02-27 16:20 18645详细描述 “链接注入”是修改站点内容的行为,其方式为将外 ... -
XSS跨站脚本攻击在Java开发中防范的方法
2014-02-27 16:14 4150详细描述 跨站脚本攻击(也称为XSS)指利用网站漏洞从用 ... -
XSS跨站脚本攻击在Java开发中防范的方法
2014-02-27 09:48 7705转自:http://hi.baidu.com/hkr_tam ... -
HTTP 1.1状态代码及其含义
2011-10-20 10:16 1442下表显示了常见 ... -
使用X.509数字证书加密解密实务(三)-- 使用RSA证书结合对称加密技术加密长数据
2010-03-03 17:00 2221上一章节讨论了如何 ... -
使用X.509数字证书加密解密实务(二)-- 使用RSA证书加密敏感数据
2010-03-03 16:52 2802源自:http://www.cnblogs.com/chnk ... -
使用X.509数字证书加密解密实务(一)-- 证书的获得和管理
2010-03-03 16:40 3250源自:http://www.cnblogs.com/chnki ... -
X.509 数字证书结构和实例
2010-03-03 16:36 2929源自:http://www.cnblogs.com/chnki ... -
安全认证相关文档
2010-03-02 15:59 1055PKCS#11 中文手册 -
openssl使用手册
2009-08-04 10:28 7353OpenSSL有两种运行模式 ... -
JA-SIG(CAS)学习笔记1
2009-07-15 01:16 1324实验步骤: STEP 1,搭 ... -
公钥系统_数字签名_数字证书工作原理入门 (转)
2009-02-24 07:27 2106公钥系统 / 数字签名 / 数字证书工作原理入 ... -
详解公钥、私钥、数字证书的概念
2009-02-05 15:59 3403http://pepa.iteye.com/blog/2509 ... -
CA系统、证书常识
2009-02-05 15:58 14601.什么是CA CA是Certi ... -
密钥库文件格式(Keystore)和证书文件格式(Certificate)
2009-02-05 15:56 3157密钥库文件格式【Keystore】 格式 : ... -
java 项目的安全学习地址
2009-02-01 16:07 1453java 项目的安全学习地址: http://www.ja-s ...
相关推荐
作为 X.500 目录服务的一部分,X.509 证书将一个 X.500 节点名 DN(Distributed Name)和一个公钥绑定起来用于控制对目录的访 问操作。虽然 X.500 的全局目录并未真正建立起来,但 X.509 却得到了一定的发展。IETF 的 ...
第三章X.500 目录服务标准...............................................22 3 1 X.500 目录服务标准简介...........................................22 3 2 X.500 标准的内容.....................................
ExtendedcertificateOrCertificate类型指定一个PKCS#6扩展证书或者一个X.509证书。这一类 型见PKCS=6第6节推荐的语法 ExtendedCertificate OrCertificate ::=CHOICE I certificate Certificate.--.509 ...
证书服务的基本概念 广泛应用的证书格式基于国际电信联盟电信标准部门(ITU-T)建议的X.509v3 标准。 X.509 证书包括公钥和有关证书授予的人员或实体的信息、有关证书的有效期、用途等信息,以及有关颁发证书的CA的...
好了,通过第三章的学习,我们已经了解了一些XML和DTD的基本术语,但是我们还不知道怎样来写这些文件,需要遵循什么样的语法,在下一章,将重点介绍有关撰写XML和DTD文档的语法。 第四章 XML语法 七.DTD的语法...
执行风险评估时的五个基本问题: 1. 您希望保护哪些内容? 2. 您希望保护哪些人? 3. 实施保护的需求程度? 4. 失败的后果有多严重? 5. 为了避免这些后果, 您愿意付出哪些努力? ISO 27000 信息保护标准提到资产...
根据业主的基本设计要求,此次综合布线系统的核心要求如下: 满足相关的国际标准和国家标准; 能够支持各种计算机网络设备和电话系统; 具有先进性、可靠性、可互换性和可扩充性; 所有信息点全部采用超五类非屏蔽...
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。 事实...
Windows XP操作系统 选择题 ADA(CA)B CBCBD D 操作题(略) 文字处理软件 Word 2003 选择题 BDABD DBBCD BDDDA CBDDD AAADD 填空题 普通视图、页面视图、Web版式视图、阅读版式视图、大纲视图 "视图"、工具栏、格式 ...
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。 事实...
术语和定义标准 用于统一智能网联汽车相关的基本概念,为各相关行业协调兼容奠定基础,同时为其他各部分标准的制订提供支撑。 用于帮助各方统一认识和理解智能网联标准化的对象、边界以及各部分的层级关系和内在...
面向对象计算始于这个基本概念,即现实世界可以被描绘成一系列完全自治、封装的对象,这些对象通过一个受保护的接口访问其他对象。 4. 多态性: 多态性是指允许不同类的对象对同一消息作出响应。多态性包括参数化多...
到 2025 年,5G-V2X 基本满足智能汽车发展需要。 主流车企规划 2020 年前后实现智能网联汽车量产。目前传统汽车厂 商车型处于 1-2 级智能驾驶阶段,3 级综合辅助智能驾驶已有充分技术 — 3 — 储备,预计 2020 年前...
面向对象计算始于这个基本概念,即现实世界可以被描绘成一系列完全自治、封装的对象,这些对象通过一个受保护的接口访问其他对象。 4. 多态性: 多态性是指允许不同类的对象对同一消息作出响应。多态性包括参数化...
GB2423.1-89 电工电子产品基本环境试验规程试验A:低温试验方 法 GB2423.2-89 电工电子产品基本环境试验规程试验B: 高温试验方法 GB2423.3-89 电工电子产品基本环境试验规程试验Ca 恒定湿热试验方 法 GB4943-95 ...