x.509 的不足和缺陷
发布网友
发布时间:2022-05-12 21:38
共1个回答
热心网友
时间:2023-10-24 04:52
数字证书的格式遵循X.509标准。X.509是由国际电信联盟(ITU-T)制定的数字证书标准。为了提供公用网络用户目录信息服务,ITU于1988年制定了X.500系列标准。其中X.500和X.509是安全认证系统的核心,X.500定义了一种区别命名规则,以命名树来确保用户名称的唯一性;X.509则为X.500用户名称提供了通信实体鉴别机制,并规定了实体鉴别过程中广泛适用的证书语法和数据接口,X.509称之为证书。
X.509给出的鉴别框架是一种基于公开密钥*的鉴别业务密钥管理。一个用户有两把密钥:一把是用户的专用密钥,另一把是其他用户都可利用的公共密钥。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之附于信息之上,这样接收者可用对应的专用密钥打开DES密锁,并对信息解密。该鉴别框架允许用户将其公开密钥存放在它的目录款项中。一个用户如果想与另一个用户交换秘密信息,就可以直接从对方的目录款项中获得相应的公开密钥,用于各种安全服务。
X.509 数字证书不仅包含用户名和公钥,而且还包含与用户有关的其他信息。这些证书并不仅仅是数字信任等级中的阶石。通过使用证书,CA 可以为证书接收者提供一种方法,使他们不仅信任证书主体的公钥,而且还信任有关证书主体的其他信息。其他信息可以包括电子邮件地址、授权对具有某种价值的文档进行签名、授权成为 CA 并为其他证书签名等等。
X.509 证书和许多其他证书都有有效期限。证书在期满后就会失效。CA 可以出于许多原因吊销证书。要吊销证书,CA 保存并分发一个吊销证书的列表,即证书吊销列表 (CRL)。网络用户访问 CRL 以确定证书的有效性。
在X.509方案中,一个用户有两把密钥:一把是用户的专用密钥,一把是其它用户都可利用的公共密钥。公共密钥加密系统有两种主要用途:密钥的分配与身份认证。用户可用常规密钥(如DES)为信息加密,然后再用接收者的公共密钥对DES进行加密并将之用对应的专用密钥打开DES密锁,并对信息解密。
X.509第3版数字证书的有三大变数的证书,证书和签名证书签名算法. 证书版本的优点,例如说,算法证、编号、签发、对象效力,但公钥信息,扩大选择等问题,像开独一无二的标识. 主题公钥信息特征更加详细的公钥算法和公钥问题,认为合法性是有其他选择的日期上下限*,最后决定生活证书.
目前,X.509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等。
参考资料:http://www.microsoft.com/china/technet/security/guidance/secmod39.mspx
