信任鏈,即數(shù)字證書鏈,是指從根證書開始,通過層層信任,使持有終端實體證書的人可以獲得委托信任,以證明身份。基于信息安全的考慮,在進行電子商務或使用政府服務時,交易對方的用戶基于根證書,憑借對發(fā)證機構(gòu)的信任,相信持有信任鏈端點的證書持有者確實是同一個人,并通過公鑰加密保證通信的保密性,通過數(shù)字簽名保證內(nèi)容的準確性,以及保證對方的不可抵賴性。
公鑰基礎(chǔ)設(shè)施在X.509和RFC 5280中規(guī)定了使用信任鏈的認證路徑驗證算法。其中,證書撤銷列表和OCSP檢查手中的證書是否在過期前被證書機構(gòu)撤銷。另一方面,在頒發(fā)新的證書時,證書頒發(fā)機構(gòu)也可以通過證書透明化來公布證書頒發(fā)的記錄,供公眾查詢,以防止其他機構(gòu)在未經(jīng)當事人同意的情況下頒發(fā)虛假的證書來偽造其身份。
背景介紹在互聯(lián)網(wǎng)上,任何組織都可以注冊域名,設(shè)立服務器,供廣大公眾連接和交流,進行電子商務或使用政府服務。雖然公鑰加密可以保證通信的保密性,數(shù)字簽名可以保證內(nèi)容的準確性,保證對方無法否認,但如果數(shù)字證書沒有經(jīng)過可信的數(shù)字證書認證機構(gòu)的數(shù)字簽名(即自簽名證書),對方的真實身份仍然值得懷疑(除非通信雙方已經(jīng)認識對方,并事先通過安全渠道交換了數(shù)字證書)。
數(shù)字證書認證機構(gòu)在公鑰密碼基礎(chǔ)設(shè)施中起著非常重要的作用,計算機軟件安裝并信任其根證書后,根據(jù)其私鑰簽發(fā)的下級證書可以自動被信任(基于數(shù)字簽名),如果是中介證書,那么下級的終端實體證書也自動被信任,這就構(gòu)成了一個信任鏈。
京公網(wǎng)安備 11010802030320號